Implementieren transparenter Subnetz-Gateways mithilfe von Proxy ARP

Proxy ARP ist eine Technik bei der ARP-Anfragen über den Router beantwortet werden. Proxy ARP kann Host auf einem Subnetz helfen, andere Subnetze ohne zusätzliche Konfiguration zu erreichen. Ein Administrator kann ein transparentes Subnetz Gateway so aufsetzen, dass zwei physische Segmente mit dem selben IP-Adressbereich, über den Router, mit dem sie verbunden sind, über ARP miteinander kommunizieren können.

Gilt für folgende Sophos Produkte und Versionen
Sophos Firewall
 
Proxy ARP konfigurieren

Das folgende Netzwerkdiagramm zeigt die Aufstellung für dieses Beispiel.  Die Sophos Firewall liegt zwischen dem Upstream-Router auf der WAN-Zone und den Mail- und Webserver in der DMZ.  Die Mail- und Webserver teilen sich beide die öffentliche IP mit dem Router
Innerhalb dieses Artikels werden wir die Netzwerkparameter, wie unten gezeigt, verwenden.
 
⦁ Navigieren sie zu Konfiguration > Netzwerk > Interfaces , klicken sie auf den Interface Namen und bearbeiten sie die Details wie folgt:
⦁  Physical Interface : Wählen sie welches physische Interface benutzt wird. Beispiel : Port 3
⦁  Netzwerkzone : Wählen sie die Zone, zu der das Interface gehört. Beispiel : DMZ
⦁  IP-Zuweisung : Wählen sie DHCP, Statisch oder PPPOE. Beispiel : Static
⦁  IP-Addresse : Geben sie die IP-Adresse des Interfaces an. Beispiel : 10.10.1.1
⦁  Netzmaske : Geben sie die Netzwerkmaske, die für das Interface verwendet werden soll, an. Beispiel : /24 (255.255.255.0)
 
 
 
Klicken sie auf Speichern und das Interface Port 3 sollte erfolgreich aktualisiert worden sein.

⦁ Die WAN- und DMZ-Interfaces müssen nun so konfiguriert werden, dass sie Proxy ARP akzeptieren und antworten.

a. Loggen sie sich über Telnet oder SSH bei CLI ein. Sie können CLI über Admin > Konsole  in der oberen rechten Ecke des Adminkonsolenbildschirm erreichen.
b. Wählen sie Option 4: Geräte-Konsole.
c. Führen sie folgende Befehle aus:
set proxy-arp add interface Port2 dst_ip 1.1.1.3
set proxy-arp add interface Port2 dst_ip 1.1.1.4
set proxy-arp add interface Port3 dst_ip 1.1.1.1
 
a. Um die Änderungen zu verifizieren, führen sie folgenden Befehl in der Konsole aus:
show proxy-arp
 
⦁ Erstellen sie statische Routen für die DMZ- und WAN-Interfaces. Die statische Route liefert SFOS Informationen über den nächsten Sprung (next hop information).
Wechseln sie zu Konfiguration > Routing > Statisches Routing , klicken sie auf Hinzufügen im IPv4 Unicast Route Bereich um eine neue statische Route festzulegen. Füllen sie wie folgt aus
⦁  Ziel-IP: Geben sie die Ziel-IP-Adresse ein.   Beispiel : 1.1.1.1
⦁  Netzmaske : Geben sie die Subnetzmasske ein.   Beispiel : /32(255.255.255.255)
⦁  Interface : Wählen sie Interface: Physisch, Virtuell, oder Alias.  Beispiel : Port 2 - 1.1.1.2
⦁  Distanz : Geben sie die Routingdistanz an. Diese kann zwischen 0 und 255 liegen.   Beispiel: 0

Klicken sie auf Speichern und die Unicast-Route wird angelegt.
Erstellen sie, mithilfe der obigen Schritte, solche Routen auch für die anderen beiden Server.
⦁ Erstellen sie folgende Firewallregeln, um den Datenverkehr von und zu den Web- & Mail-Servern zuzulassen:
⦁  LAN to DMZ : Erlaubt den Zugang vom internen Netzwerk zu den Mail- und Webservern.
⦁  WAN to DMZ :  Erlaubt Zugang zu den Web- und Mailservern aus dem Internet.
⦁  DMZ to WAN : Erlaubt den Web- und Mailservern Zugang zum Internet.
Als Beispiel haben wir eine LAN to DMZ Regel erstellt. Diese Regel erlaubt Zugang vom internen Netzwerk zu den Web- und Mailservern.
Wechseln sie zu Firewall und klicken sie auf Firewallregel hinzufügen um eine Firewallregel, wie unten gezeigt, hinzuzufügen.
 
Klicken sie auf Speichern, um die Firewallregel zu erstellen.
Erstellen sie die anderen Firewallregeln, wie oben beschrieben, um die Konfiguration abzuschließen und den Datenverkehr wie gewünscht fließen zu lassen.