Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 571 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port Forwarding - Default Drop trotz DNAT Regel

xenon2008

Hallo zusammen!

Ich bräuchte mal wieder eure Hilfe um ehrlich zu sein!


habe hier eine Sophos UTM SG 135 mit der aktuellen UTM installiert & versuche einen Port freizugeben, um von extern via RDP/VNC auf einen PC im Netzwerk zugreifen zu können!

Folgendes Setup hab ich hier stehen:

2 unterschiedliche Internet Uplinks, welche an der UTM angeschlossen sind! (die öffentliche IP liegt leider nicht direkt an den Interfaces der UTM an, aber das Forwarding etc. bis zur UTM funktioniert!)

Ich habe eine DNAT Regel erstellt, & diese scheint auch so weit zu funktionieren, denn laut Firewall LOG wird das PAKET entweder durch meine LETZTE Firewall Regel any - any -any DENY verboten, oder wenn ich diese Testweiße deaktiviere, wird der Zugriff durch einen Default Drop verboten!

Wenn ich die DNAT Regel die ich erstellt habe, deaktiviere, steht im Drop, die Externe WAN Adresse meiner Firewall.

Aktiviere ich die DNAT Regel jedoch, steht im Drop im LiveLog die lokale 192.x Adresse des Clients!

Jetzt habe ich probeweiße auch noch eine normale zusätzliche Firewall Regel erstellt, welche vor der ANY ANY ANY Deny Regel platziert ist die wie folgt aussieht:

Wenn ich diese Regel aktiviere, klappt der Zugriff bzw. wird erlaubt.

Jetzt stellt sich mir natürlich die Frage, warum ich noch eine Firewall Regel erstellen muss, damit der Zugriff funktioniert? Weil ich habe bei der DNAT das Häcken bei der Automatischen Firewall Regel erstellen gesetzt & die Regel ist  auch sichtbar...
Ohne diese "automatische Firewall Regel" die via DNAT erstellt wird, habe ich im LiveLog der Firewall natürlich auch einen DROP, dann aber schon mit der WAN IP der UTM (was ja auch logisch ist)

Könnt ihr mir das erklären, oder mache ich hier etwas falsch?

Danke & LG

EDIT:
Habe nun nochmals die von mir zusätzliche FW Regel deaktiviert & es funktioniert plötzlich? - Muss ich das verstehen?

Etwas anderes aber noch...

Nun habe ich im LiveLog folgendes:


meine NAT Regel 1 (DNAT) erlaubt den Zugriff, gleichzeitig verbietet ihn aber meine letzte Firewall Regel (die any any any => deny)
Der Zugriff funktioniert aber, das habe ich gerade getestet!

Ist so ein Verhalten normal?



This thread was automatically locked due to age.
  • 0

    Hallo,

    die NAT Regel mit dem Haken "automatische Firewall-Rule" sollte reichen. (original destination = externe Interface Adresse ... bei mehreren ext. IP's mehrere NAT Rules bauen)

    ... und die automatische FW-Rule ist vertretbar, da die Kommunikationsbeziehung in der NAT Rule bereits ziemlich genau definiert ist.

    Funktionieren wird die TCP-Verbindung. Viele Clients "probieren" es dann aber auch mal mit UDP ... das wird hier geblockt.

    Zeige mal die NAT-regeln oder schalte auf den automatisch erstellten Rules das logging ein.

    Dann lässt sich evtl. genaueres sagen. 


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    ah verstehe vielen dank für deine Antwort!
    Ich weiß zwar ehrlich gesagt nicht was ich da  Gestern falsch gemacht habe, aber jetzt funktioniert es!
    Vielen lieben dank für deine Antwort!

Unfiltered HTML