Firewall-Regel zum Verweigern des Zugriffs von einem IP-Bereich auf ein bestimmtes Gerät

tag-icon tag-icon firewall zyxel zywall
Firewall-Regel zum Verweigern des Zugriffs von einem IP-Bereich auf ein bestimmtes Gerät

Zunächst einmal weiß ich nicht wirklich, ob dies der richtige Ort für diese Frage ist, aber da der Serverfehler definiert ist alsFür System- und Netzwerkadministratoren, Ich versuche es mal.

Ich habe eine Firewall (Zywall 110). Und ich möchte den Zugriff auf eine bestimmte Ressource (im LAN) verweigern, wenn die lokale IP aus einem bestimmten Bereich (im selben LAN) stammt.

Also ging ich in die Konfiguration > Sicherheitsrichtlinie > Richtlinienkontrolle und fügte eine neue Regel hinzu

FROM : LAN
TO : LAN
SOURCE : IP_RANGE(192.168.1.50 - 192.168.1.100)
DESTINATION : IP ADDRESS (192.168.1.3)
SERVICE : ANY
USER : ANY
SCHEDULE : NONE
ACTION : DENY
LOG : LOG

Und habe versucht, von einer Maschine im Bereich darauf zuzugreifen, 192.168.1.3und es ist möglich. Ich habe auch versucht, LANdurch zu ersetzen ANY, gleiches Problem. Und das Protokoll wird nicht einmal erstellt.

Das einzige, was funktioniert, ist, den gesamten Zugriff aus diesem bestimmten Bereich zu blockieren. Wenn ich also ANYalles außer der Quelle eingebe, hat die Maschine keinen Zugriff auf das WAN, aber immer noch Zugriff auf alles im LAN ...

Mir ist aufgefallen, dass diese Lizenz nicht aktiviert ist Bildbeschreibung hier eingeben

Entweder blockiert diese Firewall lediglich den WAN-Zugriff oder es handelt sich um ein Problem mit einer nicht aktivierten Lizenz.

Kann das jemand bestätigen? Oder übersehe ich einfach etwas?

Antwort1

In den meisten Netzwerken wird der interne LAN-Verkehr nicht über den Router/die Firewall geleitet, die Clients kommunizieren direkt miteinander. Wenn Sie also den Zugriff auf 192.168.1.3 verweigern möchten, sollten Sie dies unter 192.168.1.3 tun oder sicherstellen, dass der Verkehr durch die Firewall geleitet wird (wenn Switches usw. beteiligt sind), bevor die Firewall-Regeln angewendet werden können.

UTM steht für „Unified Threat Management“, was Phishing-Schutz, Zentralisierung der Konfiguration usw. beinhaltet und eine zusätzliche Funktion ist, die Sie für Ihre Aufgabe nicht benötigen. Was Sie tun möchten, ist eine einfache IP-basierte Regel, die nichts mit der Lizenz zu tun hat.

Kurz gesagt: Ihr Datenverkehr wird nicht gefiltert, da er nie durch die Firewall geht.

verwandte Informationen