Hoppa till innehållet
Avanet

Konfigurera Sophos Firewall som NTP-server

Sophos Firewall

Titeln är visserligen strikt taget fel, eftersom ingen NTP-tjänst körs på Sophos Firewall. Med en NAT-regel kan detta ändå lösas så att Sophos Firewall hanterar alla NTP-förfrågningar och gateway-IP:n fortfarande kan anges som NTP-server på klienten eller servern.

Skapa NAT NTP-regel

Först skapar jag en NAT-regel som hanterar NTP-protokollet.

Sophos Firewall NAT-regel för NTP-servern
Sophos Firewall NAT-regel för NTP-servern

I NAT-regeln definieras nu för vilka lokala nätverk Sophos Firewall ska besvara NTP-förfrågningar.

Detaljvy av Sophos Firewall NAT-regeln för NTP
Detaljvy av Sophos Firewall NAT-regeln för NTP

1. Original Source

Här anges nätverk eller enskilda IP-adresser som ska använda denna NAT-regel. Till exempel 192.168.33.0/24 eller även ANY om varje förfrågan ska hanteras.

2. Original Destination

Här listar man alla IP-adresser som Sophos Firewall ska lyssna på. Till exempel gateway-adressen: 192.168.12.1 eller även ANY om varje förfrågan ska hanteras.

3. Original Service

Som protokoll anges NTP, vilket redan är en fördefinierad service på firewallen.

4. Translated Source (SNAT)

Firewallen ska utföra IP Masquerading och därför väljer vi MASQ som värde här.

5. Translated destination (DNAT)

Här anger vi NTP-serveradressen dit firewallen ska skicka alla tidsförfrågningar. Jag använder här FQDN time.google.com. pool.ntp.org är också populärt.

Inbound Interface

Dessutom kan man till exempel lägga in de lokala interfacen för att vara säker på att inga WAN-förfrågningar besvaras. Jag lämnar detta på ANY här och löser det därefter via firewall-regeln.

Firewallregel för NTP-tjänsten

För att trafiken från NAT-regeln också ska tillåtas behövs en firewallregel, som vi skapar nu.

Sophos Firewall-regel för NTP-servern
Sophos Firewall-regel för NTP-servern

Sophos Firewall-regel för NTP-servertrafik

1. Source Zones

Här listar vi alla source-zoner, till exempel LAN. Det vi inte vill se här är zonen WAN, eftersom vi inte vill tillhandahålla en NTP-server för internet.

2. Source Networks and Devices

Här kan vi lista samma nätverk som i NAT-regeln under punkt 1. Original Source. Eftersom jag löser detta via zonen lämnar jag det här på ANY, men man kan förstås även lägga in både zon och source-nätverk.

3. Destination Zones

Eftersom vår tidsserver finns på internet väljer jag här WAN-zonen.

4. Destination Networks

I NAT-regeln har jag definierat time.google.com som NTP Server. Därför väljer jag även detta FQDN här, även om jag skulle kunna lämna det på ANY eftersom det redan är definierat i NAT-regeln. Men jag vill gärna direkt i firewall-regeln se vart trafiken går.

5. Services

Som i NAT-regeln använder vi det fördefinierade protokollet NTP.

6. Detect and prevent exploits (IPS)

Man har firewallen eftersom man också vill föra in viss säkerhet i nätverket. Just därför skapar vi även en IPS-regel för NTP-trafiken. För detta skapade jag helt enkelt en IPS-regel med Smart Filter nat.

IPS NAT-regel
IPS NAT-regel
Lägg till ny IPS-regel för NAT
Lägg till ny IPS-regel för NAT

⚠️ Funktionen IPS (Intrusion Prevention) kräver en Network Protection-licens.