Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 5 subscribers
  • Views 850 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

XGS Firewall Regeln + NAT

Martin Nowak

Moin,

wir haben noch eine SG115w und wollen auf eine XGS116 wechseln. Erstere Versuche die FW Regeln mit NAT richtig zu erstellen, haben bisher nicht geklappt. Raus aus dem LAN und Wifi klappt wunderbar und auch SSLVPN rein aber nicht aus dem Internet zu unseren Servern.

Ich komme nicht so ganz klar mit der UI, die nicht gerade leicht zu verstehen ist.

In den Regeln habe ich z.B. Folgendes stehen.

Ist das so richtig? Ich verstehe das so: Aus Zone WAN darf alles/jeder in die Zone LAN zu allen Zielen aber nur HTTP und HTTPS.

Dazu noch eine NAT-Regel...

Also Quelle *alles* über #Port7 (WAN/Public IP), Dienst HTTP/S wird umgeleitet zu einem neuen Ziel.

Ich komme einfach nicht zum Host im LAN. Da ist sicher etwas nicht ganz richtig aber was genau? In der UTM war das wesentlich einfacher eine NAT-Regel zu erstellen. Einfach Quelle, Dienst, Ziel und neues Ziel bzw. Dienst eingeben, dazu Haken bei "Automatische Firewallregel" und fertig.



This thread was automatically locked due to age.
  • 0

    Hallo Martin,

    da kann ich nur zustimmen. Das war auf der SG einfacher.

    Aber Sophos hat eine Hilfe eingebaut. Damit wird die DNAT-Rule und die passende FW-Rule erstellt (und evtl. 2 weitere NAT Rules, welche gleich wieder gelöscht werden können)

    Guck mal unter NAT/Rules -- add NAT Rule ... da findest du den "Server access assistant (DNAT)"


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Die NAT Rule und Firewall Rule sieht richtig aus. Ich würde im Packet Capture schauen, ob der Traffic wirklich ankommt. Du solltest im Packet Capture im WebUI schnell sehen, ob dieser TK Traffic wirklich ankommt und ob er weitergeleitet wird. 

    __________________________________________________________________________________________________________________

  • 0 in reply to LuCar Toni

    Ich kann im Packet Capture sehen, dass Pakete an dem WAN Port ankommen, z.B. ICMP oder Anmeldung am Userportal Port 9443. Wenn ich aber HTTP oder HTTPS versuche, dann sehe ich das hier...

    Zusätzlich habe ich unter "Connection List" diese Einträge

    Port7 ist das WAN Interface und Port6 ist im LAN.

    Trotz allem keine entsprechenden Einträge im FW Log zu finden. HTTP/S von Extern kommt nicht zustande.

Cookie Information Banner