Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 25 subscribers
  • Views 5004 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Generic Proxy

Hallowach2
Hallo zusammen,

ich versuche auf einer ASG320 ein Port Forwarding von innen nach aussen einzurichten. Dazu wollte ich den Generic Proxy benutzen weil

a) das default Gateway der Clients nicht auf die ASG zeigt
b) möglichst keine Masquerading Regeln eingerichtet werden sollen
c) mir die möglichkeit gefällt, keine zusätzlichen PF Regeln machen zu müssen

Was ich also erreichen möchte, ist das ich z.B. auf dem internen Interface den Port 10010 anspreche und die Packte dann an einen Host im I-Net auf Port 8000 weitergeleitet werden. (die einzelnen Definitionen gibt es schon)

Was muß man denn so alles konfigurieren, damit das funktioniert?

Viele Grüße
Manfred


This thread was automatically locked due to age.
Parents
  • 0
    Der Generic Proxy ist eigentlich dafür gedacht, Verbindungen von AUSSEN nach INNEN durchzuschalten, nicht andersherum. Aber da die Astaro keinen wirklich existentiellen Unterschied zwischen "innen" und "aussen" kennt geht´s natürlich auch andersherum. Um aber allzugroße Erwartungen vorzubeugen: du kannst genausogut eine PF rule und eine DNAT Rule und ein MASQ machen - dein generischer Proxy ist technisch nix anderes (du hast also keinen SIcherheitsvorteil vom generischen Proxy gegenüber einer PF rule). Das siehst du, wenn du die iptables Regeln anschaust, die die ASG automatisch generiert, sobald du einen gener. Proxy aktivierst.
    Das blöde an den generischen Proxies ist tatsaechlich, dass man keinerlei Logging hat, da die generierte PF rule keinen "log" Eintrag hat.

    Aber funktionieren muss es. Ich habs ausprobiert, bei mir tuts problemlos mit folgenden Einstellungen:
    Interface: internal
    Service: 10010
    Host: Rechner im Inet
    Service: 8000
    allowed network: internes Netz 2

    Mit tcpdump -np -i any port 8000   or port 10010  auf deiner ASG siehst du, ob die Pakete auf port 10010 korrekt ankommen und auf port 8000 auf der "anderen" seite wieder rausgehen - und ob dein Internet-Rechner dort auch wieder was zuruecksendet. Bist du sicher, dass der Rechner im Internet auf port 8000 ansprechbar ist?
    Bitte den output vom tcpdump hier posten!
Reply
  • 0
    Der Generic Proxy ist eigentlich dafür gedacht, Verbindungen von AUSSEN nach INNEN durchzuschalten, nicht andersherum. Aber da die Astaro keinen wirklich existentiellen Unterschied zwischen "innen" und "aussen" kennt geht´s natürlich auch andersherum. Um aber allzugroße Erwartungen vorzubeugen: du kannst genausogut eine PF rule und eine DNAT Rule und ein MASQ machen - dein generischer Proxy ist technisch nix anderes (du hast also keinen SIcherheitsvorteil vom generischen Proxy gegenüber einer PF rule). Das siehst du, wenn du die iptables Regeln anschaust, die die ASG automatisch generiert, sobald du einen gener. Proxy aktivierst.
    Das blöde an den generischen Proxies ist tatsaechlich, dass man keinerlei Logging hat, da die generierte PF rule keinen "log" Eintrag hat.

    Aber funktionieren muss es. Ich habs ausprobiert, bei mir tuts problemlos mit folgenden Einstellungen:
    Interface: internal
    Service: 10010
    Host: Rechner im Inet
    Service: 8000
    allowed network: internes Netz 2

    Mit tcpdump -np -i any port 8000   or port 10010  auf deiner ASG siehst du, ob die Pakete auf port 10010 korrekt ankommen und auf port 8000 auf der "anderen" seite wieder rausgehen - und ob dein Internet-Rechner dort auch wieder was zuruecksendet. Bist du sicher, dass der Rechner im Internet auf port 8000 ansprechbar ist?
    Bitte den output vom tcpdump hier posten!
Children
No Data
Unfiltered HTML