Thread Info
  • State Verified Answer
  • Locked Locked
  • Replies 5 replies
  • Answers 1 answer
  • Subscribers 27 subscribers
  • Views 1395 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT Portweiterleitung

NPZler

Hallo zusammen,

an folgendem Szenario scheitern wir leider zur Zeit und finden leider keinen weiteren Anhaltspunkt, wie wir das Problem angehen sollen:
Wir möchten gerne eine Portweiterleitung in der Sophos UTM einrichten, die alle Anfragen aus dem internen Netz auf einen definierten Host auf einem definierten Port umleiten an einen anderen Host und anderen Port weiterleiten soll.

Also ganz konkret: Alle Hosts aus 172.18.0.0/16 sollen bei einer Anfrage auf 172.18.0.1:2222 auf 172.18.0.2:22 umgeleitet werden.

Hierfür haben wir eine DNAT Regel angelegt:

Type: DNAT
For traffic from: 172.18.0.0/16
useing Service: 2222
going to: 172.18.0.1
-
change destination to: 172.18.0.2
And the service to: 22

[x] Automatic firewall rules

Das ganze funktioniert aber nicht. Also haben wir getestet, ob 172.18.0.2 auf Port 22 antwortet. Ja, das tut er. 
Also haben wir "Log initial packets" aktiviert und ins Log geguckt. Auch hier erscheint der Eintrag, dass die Regel greift. 

Scheinbar landen wir aber trotzdem nicht am gewünschten Ort. Nur wie finden wir heraus, wo wir laden bzw. welche Regeln noch greifen? 

Wir sind über jeden Tipp dankbar! 



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    Ist im Grunde richtig so. Du kannst einen Tcpdump durchführen, wenn du exakt wissen willst ob, und wohin die Pakete die utm verlassen. Um genaueres sagen zu können ist mir Deine Netzwerktopolgie zu unbekannt.

  • 0 in reply to Jason Klein

    Danke, der TCPDump hat nur insofern geholfen, dass wir nun sicher sind, dass die Pakete dort ankommen, wo sie ankommen sollen.

    Daraus haben wir die Idee entwickelt das DNAT auf FullNAT umzustellen und die Source IP auf die Sophos zu stellen.

    Nun klappt es mit der Verbindung, aber offenbar fehlt es uns am Grundverständnis, um zu verstehen, warum.

Reply
  • 0 in reply to Jason Klein

    Danke, der TCPDump hat nur insofern geholfen, dass wir nun sicher sind, dass die Pakete dort ankommen, wo sie ankommen sollen.

    Daraus haben wir die Idee entwickelt das DNAT auf FullNAT umzustellen und die Source IP auf die Sophos zu stellen.

    Nun klappt es mit der Verbindung, aber offenbar fehlt es uns am Grundverständnis, um zu verstehen, warum.

Children