[Sammelthread] Sophos UTM-Sammelthread
- Ersteller XTaZY
- Erstellt am
Naja. GTA Online basiert auf einem Mischmasch aus Server und P2P - Deshalb läuft es so beknackt. Bin gerade am Rumfummeln. 443 und 80 Ports abgeschalten in DMZ - Lief bei kleinen Lobbys heute eig. einwandfrei, nur große hauts mich nach 2-3 min raus. Nervig :/
Hi,
ich habe ein VLAN Interface in der Sophos UTM eingerichtet mit der VID. Lustigerweise funktioniert der Ping nicht vom VLAN-Interface zum internen bzw. externen aber pinge ich eine Webseite an funktioniert die Hostauflösung: "ping -I eth0.3 192.168.99.1" --> no respond
"ping -I eth0.3 heise.de" --> Namensauflösung aber kein ICMP-Reply.
Ich hatte probeweise sogar die Firewall auf ANY-ANY-ANY gesetzt, um das auszuschließen aber keine Chance. Was fehlt also in der Konfiguration, damit das VLAN-Interface auch mit der Außenwelt spricht?
ich habe ein VLAN Interface in der Sophos UTM eingerichtet mit der VID. Lustigerweise funktioniert der Ping nicht vom VLAN-Interface zum internen bzw. externen aber pinge ich eine Webseite an funktioniert die Hostauflösung: "ping -I eth0.3 192.168.99.1" --> no respond
"ping -I eth0.3 heise.de" --> Namensauflösung aber kein ICMP-Reply.
Ich hatte probeweise sogar die Firewall auf ANY-ANY-ANY gesetzt, um das auszuschließen aber keine Chance. Was fehlt also in der Konfiguration, damit das VLAN-Interface auch mit der Außenwelt spricht?
suchmich1983
Neuling
- Mitglied seit
- 23.03.2017
- Beiträge
- 38
was von der Web-Protection ist denn aktiv? Im Transparent Mode?
Am besten schlau machen was für Ports und Zieladressen die Technik benötigt und dementsprechend aufmachen. Das siehst du ja auch in den Logs.
Ich geh davon aus das du DDNS usw. eingerichtet hast.
Oder du machst alles per VPN.
Ich habe die entsprechenden Ports aus den Logs schon freigegeben. Hab als Ziel den Server der T-Com eingetragen und die jeweiligen Ports freigeben. Jedoch klappt es noch nicht so recht. Damit habe ich bisher noch keinen Erfolg gehabt.
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Hallo Zusammen
ich habe mir inzwischen VPN-SSL eingerichtet und es läuft auch wunderbar geschmeidig.
1. Jetzt habe ich die kryptografischen Einstellungen mal testweise auf
AES-256-CBC
SHA2 512
Schlüssellänge auf 4096 Bit hochgedreht.
An einem Telekom-Hotspot wird jetzt der Zugang per RDP und VNC schnarch langsam.
Habt ihr mir einen Tipp, wie die Einstellungen zu setzen sind, damit sinnvolle Sicherheit erreicht wird, bei akzeptabler Geschwindigkeit??
2. Seit der VPN-Zugang eingerichtet ist, hab ich vermehrt Port-Scans.
Werde ich den größten Teil der bösen Buben los bzw. erhöhe ich überhaupt die Sicherheit, wenn ich den VPN-Port auf > 1024 setze? Und genügt es, wenn ich den neuen Port einfach in Fernzugriff/SSL/Einstellungen eintrage oder muss in der Firewall dieser Port explizit auch eingetragen werden? Welche Stolperfallen tun sich für mich dann auf, wenn ich den Port wechsle?
ich habe mir inzwischen VPN-SSL eingerichtet und es läuft auch wunderbar geschmeidig.
1. Jetzt habe ich die kryptografischen Einstellungen mal testweise auf
AES-256-CBC
SHA2 512
Schlüssellänge auf 4096 Bit hochgedreht.
An einem Telekom-Hotspot wird jetzt der Zugang per RDP und VNC schnarch langsam.
Habt ihr mir einen Tipp, wie die Einstellungen zu setzen sind, damit sinnvolle Sicherheit erreicht wird, bei akzeptabler Geschwindigkeit??
2. Seit der VPN-Zugang eingerichtet ist, hab ich vermehrt Port-Scans.
Werde ich den größten Teil der bösen Buben los bzw. erhöhe ich überhaupt die Sicherheit, wenn ich den VPN-Port auf > 1024 setze? Und genügt es, wenn ich den neuen Port einfach in Fernzugriff/SSL/Einstellungen eintrage oder muss in der Firewall dieser Port explizit auch eingetragen werden? Welche Stolperfallen tun sich für mich dann auf, wenn ich den Port wechsle?
bhyve - FreeBSD Wiki
Q: What VM operating systems does bhyve support?
A: bhyve supports any version of FreeBSD i386/amd64 with VirtIO support. OpenBSD, NetBSD and GNU/Linux are supported using the using the sysutils/grub2-bhyve port. UEFI support is available for FreeBSD, GNU/Linux, SmartOS and Windows:
FreeBSD 8.4-RELEASE and newer, including CURRENT
OpenBSD amd64/i386 5.2 and newer
GNU/Linux amd64/i386 (Many distributions)
NetBSD amd64 6.1 and newer
SmartOS 20151001 and newer
Windows x64 Vista, 7, 8, 10
Windows Server 2008r2, 2012r2, 2016
Tested GNU/Linux distributions include:
CentOS/RHEL 6.2, 6.3, 6.4, 6.5 and 7.0
Debian 6.0.7, 7.0, 7.6 netinstall i386/amd64
Fedora 20
OpenSUSE 12.3 and 13.1 amd64
Ubuntu server 10.04, 12.04, 13.04, 14.04, 14.10, 15.04, 15.10, 16.04 i386/amd64
aka wohl nie für prop Systeme (welche nicht der basis oben entsprechen) wenn das Sophos nicht patched (und nein, das ist nicht die Schuld von bhyve)
Zuletzt bearbeitet:
Mr Deluxe sagt das es nicht geht ... ich selbst nutze das nicht und beantwortete nur seine Frage
Hilf Ihm gerne weiter
Zuletzt bearbeitet:
Ich sehe nicht das er irgendwo schreibt das es nicht funktioniert. Er fragt ob es (irgendwann) unterstützt wird.
@pumuckel: Du hast geschrieben "aka wohl nie für prop Systeme (welche nicht der basis oben entsprechen) wenn das Sophos nicht patched (und nein, das ist nicht die Schuld von bhyve)"
Die Sophos UTM ist kein proprietäres OS in dem Sinne. (wie gesagt, Suse basiert)
@MrDeluxe: installier doch einfach mal, es sollte laufen. Wenn klappt oder nicht klappt poste doch mal hier, bei Problemen gibt es vielleicht auch noch Möglichkeiten diese auszumerzen.
Da die meisten PortScans auf Standard Ports abzielen bist damit schon etwas aus der Schussbahn,
Einfaches ändern des VPN Ports reicht, Problem bekommst du insofern wenn du kein freies Internet verwendest sondern in irgendwelchen Hotspots unterwegs bist, da wird der Port dann vermutlich auch nicht freigeschaltet sein ergo geht dann dein VPN nicht.
layerbreak
Enthusiast
- Mitglied seit
- 30.12.2010
- Beiträge
- 590
Danke @Fr3@k, dann bleibt mir aber nichts anderes übrig, als den Standardport zu belassen. Kein funktionierendes VPN ist die noch viel schlechtere Alternative.
Kannst du mir noch etwas zu den kryto-Einstellungen sagen? Was sind da die sinnvollen Einstellungen?
OpenSUSE 12.3 and 13.1 amd64 und VirtIO Support
Zuletzt bearbeitet:
Fatality
Enthusiast
- Mitglied seit
- 29.12.2004
- Beiträge
- 1.868
hat bei euch jemand passende webfilter-ausnahmen für amazin 4k streaming?
bei mir ruckelt bzw kommt es zur fehlermeldungen am tv das nicht nicht genügend bandbreite übrig wäre trotz:
"[x] Streaming-Inhalte nicht scannen"
könnte die intrusion-detection evtl noch stören?
schalte ich den webfilter ab, flutscht alles sofort..
bei mir ruckelt bzw kommt es zur fehlermeldungen am tv das nicht nicht genügend bandbreite übrig wäre trotz:
"[x] Streaming-Inhalte nicht scannen"
könnte die intrusion-detection evtl noch stören?
schalte ich den webfilter ab, flutscht alles sofort..
MrDeluxe: hab es nur mal kurz probiert. Das Problem ist nicht das die Sophos Behyve nicht unterstützt sonder umgekehrt. Du bekommst bei Behyve nur mit EFI Boot einen KVM Bildschirm. Ansonsten nur serielle Konsole. Die Serielle Konsole nimmt meine Eingaben nicht an, ich bin schon am Installationsauswahlbildschirm gelandet, komme dort nur nicht weiter...
- - - Updated - - -
fatality: schalte den webfilter für dein amazon fire tv aus, exception anlegen. Webfilter dafür ist eh überflüssig.
- - - Updated - - -
fatality: schalte den webfilter für dein amazon fire tv aus, exception anlegen. Webfilter dafür ist eh überflüssig.
suchmich1983
Neuling
- Mitglied seit
- 23.03.2017
- Beiträge
- 38
Ich habe mir generell für Streaming ne Ausnahme gebaut:
Code:
^https?://.*\.mp4
^https?://.*\.avi
^https?://.*\.flv
^https?://.*\.mpg
^https?://.*\.mkv
^https?://.*\.wmv
^https?://.*\.mov
^https?://.*\.vob
^https?://.*\.ogg
^https?://.*\.ogv
^https?://.*\.m4p
^https?://.*\.m4v
^https?://.*\.webmFatality
Enthusiast
- Mitglied seit
- 29.12.2004
- Beiträge
- 1.868
danke probier ich heut abend aus, ansonsten geb ich dem tv ne feste ip, leg ihn als host an und setz ihn mal auf die ausnahme-host-liste
