BlackWinter Promo
Sparen Sie jetzt bis zu 50%80%70%70%70%70%70%70%70% auf eine Sophos Firewall Ihrer Wahl.
XGS Firewall Modell wählenSparen Sie jetzt bis zu 50%80%70%70%70%70%70%70%70% auf eine Sophos Firewall Ihrer Wahl.
XGS Firewall Modell wählenZugegeben der Titel ist streng genommen falsch, da auf der Sophos Firewall hat keinen NTP Dienst läuft. Durch eine NAT Regel kann man dies jedoch so lösen, dass sich die Sophos Firewall um alle NTP Anfragen kümmert und auf dem Client oder Server weiterhin als NTP Server die Gateway-IP angegeben werden kann.
Zuerst erstelle ich nun eine NAT Regel, welche sich um das NTP Protokoll kümmert.
In der NAT Regel wird nun definiert, für welche lokalen Netzwerke die Sophos Firewall NTP Anfragen beantworten soll.
Hier werden die Netzwerke oder auch einzelne IP-Adressen eingetragen, welche diese NAT Regel verwenden sollen. Also z.B. 192.168.33.0/24 oder auch ANY, wenn jede Anfrage berücksichtigt werden soll.
Hier listet man alle IP-Adressen auf, auf welche die Sophos Firewall hören soll. Also z.B. die Gateway Adresse: 192.168.12.1 oder auch ANY, wenn jede Anfrage berücksichtigt werden soll.
Als Protokoll wird NTP angegeben, was auf der Firewall bereits ein vordefinierter Service ist.
Die Firewall soll ein IP Masquerading durchführen und darum wählen wir hier MASQ als Wert.
Hier tragen wir die NTP Server Adresse ein, an welche die Firewall alle Zeitanfragen senden soll. Ich verwende hier den FQDN time.google.com oder ebenfalls beliebt ist pool.ntp.org.
Zusätzlich kann man z.B. auch noch die lokalen Interfaces hinterlegen, damit man sich sicher ist, dass man keine WAN Anfragen beantwortet. Ich belasse es hier auf ANY und löse dies danach über die Firewall Regel.
Damit der Traffic der NAT Regel nun auch erlaubt wird, benötigt man eine Firewall Regel, welche man nun erstellt.
Hier listen wir alle Source Zonen auf, wie z.B. LAN. Was wir hier nicht sehen wollen, ist die Zone WAN, da wir hier kein NTP Server fürs Internet bereitstellen wollen.
Hier können wir dieselben Netzwerke auflisten wie in der NAT Regel bei Punkt 1. Original Source. Da ich dies hier über die Zone löse, belasse ich es hier auf ANY, man kann aber natürlich auch beides hinterlegen Zone und Source Netzwerke.
Da unser Zeitserver im Internet steht, wähle ich hier die WAN Zone.
In der NAT Regel habe ich time.google.com als NTP Server definiert. Darum wähle ich hier auch diesen FQDN, könnte es aber auf ANY belassen, da dies bereits in der NAT Regel definiert ist. Doch sehe ich gerne gleich in der Firewall Regel, wohin der Traffic geht.
Wie bei der NAT Regel verwenden wir das vordefinierte Protokoll NTP.
Man hat die Firewall, da man auch etwas Sicherheit ins Netzwerk bringen möchte. Ebendarum stellen wir auch eine IPS Regel für den NTP Traffic bereit. Hierfür habe ich einfach eine IPS Regel mit dem Smart Filter nat erstellt.
⚠️ Die Funktion IPS (Intrusion Prevention) benötigt eine Network Protection Lizenz.
Sparen Sie jetzt bis zu 50%80%70%70%70%70%70%70%70% auf eine Sophos Firewall Ihrer Wahl.
XGS 107
30%40%30%30%30%30%30%30%30% RabattXGS 116
40%70%40%40%40%40%40%40%40% RabattXGS 126
50%70%50%50%50%50%50%50%50% RabattXGS 136
50%70%50%50%50%50%50%50%50% RabattXGS 2100
50%80%60%60%60%60%60%60%60% RabattXGS 2300
50%80%70%70%70%70%70%70%70% RabattXGS 3100
50%80%70%70%70%70%70%70%70% RabattXGS 3300
20%70%50%50%50%50%50%50%50% RabattXGS 4300
50%70%50%50%50%50%50%50%50% RabattXGS 4500
50%70%50%50%50%50%50%50%50% RabattXGS 5500
50%70%50%50%50%50%50%50%50% RabattXGS 6500
50%70%50%50%50%50%50%50%50% Rabatt