Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 27 subscribers
  • Views 1395 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT Portweiterleitung

NPZler

Hallo zusammen,

an folgendem Szenario scheitern wir leider zur Zeit und finden leider keinen weiteren Anhaltspunkt, wie wir das Problem angehen sollen:
Wir möchten gerne eine Portweiterleitung in der Sophos UTM einrichten, die alle Anfragen aus dem internen Netz auf einen definierten Host auf einem definierten Port umleiten an einen anderen Host und anderen Port weiterleiten soll.

Also ganz konkret: Alle Hosts aus 172.18.0.0/16 sollen bei einer Anfrage auf 172.18.0.1:2222 auf 172.18.0.2:22 umgeleitet werden.

Hierfür haben wir eine DNAT Regel angelegt:

Type: DNAT
For traffic from: 172.18.0.0/16
useing Service: 2222
going to: 172.18.0.1
-
change destination to: 172.18.0.2
And the service to: 22

[x] Automatic firewall rules

Das ganze funktioniert aber nicht. Also haben wir getestet, ob 172.18.0.2 auf Port 22 antwortet. Ja, das tut er. 
Also haben wir "Log initial packets" aktiviert und ins Log geguckt. Auch hier erscheint der Eintrag, dass die Regel greift. 

Scheinbar landen wir aber trotzdem nicht am gewünschten Ort. Nur wie finden wir heraus, wo wir laden bzw. welche Regeln noch greifen? 

Wir sind über jeden Tipp dankbar! 



This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Jason Klein

    Danke, der TCPDump hat nur insofern geholfen, dass wir nun sicher sind, dass die Pakete dort ankommen, wo sie ankommen sollen.

    Daraus haben wir die Idee entwickelt das DNAT auf FullNAT umzustellen und die Source IP auf die Sophos zu stellen.

    Nun klappt es mit der Verbindung, aber offenbar fehlt es uns am Grundverständnis, um zu verstehen, warum.

  • +1 in reply to NPZler

    Naja, wenn die IP-Adressen, die du oben genannt hast, tasächlich alle im gleichen Subnetz sind, dann lässt sich das leicht erklären.
    Bei DNAT wird ja nur die Ziel-IP ersetzt. Und da innerhalb eines Subnetzes die Hosts direkt kommunizieren anstatt über das Gateway, wird die Rückantwort des Zielservers direkt zur Quell-IP gehen anstatt über die UTM. Dann passt aber der Port, mit dem der Zielserver die Rückantwort gibt nicht mehr zu dem Port, den der Quell-PC angefragt hat.

    Bei FullNAT wird dagegen Quell- und Ziel-IP ersetzt und damit geht auch der Rückweg über die UTM, die auch die Ports wieder "zurückübersetzt".

  • 0 in reply to scorpionking

    Danke - so verstehe auch ich das :-) 

  • 0 in reply to NPZler

    Hallo,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Scorpionking is right.  This is the same underlying issue as with Accessing Internal or DMZ Webserver from Internal Network.  With a DNAT, the server knows how to reach the IP of the client without sending the packet back to the UTM.

    MfG - Bob (Bitte auf Deutsch weiterhin.)