This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Pakete für z-Push duchlassen

Hallo,

ich nutze hinter der Firewall einen z-Push-Dienst zum synchronisieren von Mobilen Geräten mit der Groupware. Auf den Dienst wird über den HTML-Port 80 zugegriffen.

Ich habe in der Firewal eine Paketfilter-Regel bei der Quelle, Dienst und Ziel mit Any, Any, Any definiert sind. Bei der Aktion ist Zulassen angegeben. Damit sollte die Firewall doch offen sein.

Wenn ich aber von außen versuche auf den HTML-Port 80 zuzugreifen, sehe ich im Paketfilterlog:

12:20:41 Default DROP TCP 79.215.238.xx : 59211 →
192.168.1.100 : 80 [SYN] len=52 ttl=125 tos=0x00 rcmac=88:25:2c:a3:c0:34 dstmac=0:16:a:1c:7e:60

79.215.238.xx ist meine IP beim Provider. Ein Speedport leitet hier local die HTML - Angragen auf die Astaro weiter. Die Astaro selber soll dann diesen HTML-Verkehr auf einen Server hier im Netz weiterleiten über eine DNAT - Regel, die ist auch schon eingerichtet.

Kann wer erkennen, was ich hier noch falsch mache?

Gruß Nixdorf

This thread was automatically locked due to age.

Parents

0 trollvottel over 14 years ago

Genau: Du hast bei der DNAT-Regel als 'Datenverkehrsziel' dasselbe Objekt ausgewählt wie für das 'Ziel'. Da der Traffic vom Speedport aber an 'External (Address)' DNATed wird, musst Du dies auch als 'Datenverkehrsziel' auswählen, damit die Regel greift.

Im übrigen ist das ein sehr häßliches Setup, doppelt zu maskieren. Gibt es im Speedport nicht vielleicht die Möglichkeit, ihn als reines DSL-Modem zu betreiben (ohne Routerfunktion) und dann das ASG am 'External' Interface PPPoE machen zu lassen?
Cancel
Vote Up 0 Vote Down

Cancel
0 nixdorf over 14 years ago in reply to trollvottel

Hallo, danke fpr die Antwort.

ich habe die DNAT Regel jetzt wie im Bild mAnhang abgeändert. Leider bekomme ich im liveprotokoll des Paketfilter immer noch folgende Meldung, wenn versuche die Verbindung aufzubauen:

10:00:51 Default DROP TCP 217.81.16.12 : 51971 → 192.168.1.100 : 80 [SYN] len=52 ttl=125 tos=0x00 srcmac=88:25:2c:a3:c0:34 dstmac=0:16:a:1c:7e:60

Habe ich da noch etwas falsch verstanden und ist nicht der Paketfilter der Astaro für das DROPen des Datanpakets zuständig?

Den Router kann ich als DSL-Modem verwenden. Wenn ich das am Router einschalte, muß ich eigentlich nichts weiter an der Astoro ändern oder? Bei der der Schnitstelle External WAN ist ja der Router als Gateway angegeben.

Wie muß ich dann aber meine DNAT Regel abändern?

Was muß dann beiden folgenden Einträgen stehen:

Datenverkehrsquelle:
Datenverkehrsdienst: HTML
Datenverkehrsziel: zarafa

NAT-Modus: DNAT (Ziel)

Ziel:
Zieldienst: HTML

Vielen Dank für die Hilfe...

Gruß NIxdorf
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 nixdorf over 14 years ago in reply to trollvottel

Hallo, danke fpr die Antwort.

ich habe die DNAT Regel jetzt wie im Bild mAnhang abgeändert. Leider bekomme ich im liveprotokoll des Paketfilter immer noch folgende Meldung, wenn versuche die Verbindung aufzubauen:

10:00:51 Default DROP TCP 217.81.16.12 : 51971 → 192.168.1.100 : 80 [SYN] len=52 ttl=125 tos=0x00 srcmac=88:25:2c:a3:c0:34 dstmac=0:16:a:1c:7e:60

Habe ich da noch etwas falsch verstanden und ist nicht der Paketfilter der Astaro für das DROPen des Datanpakets zuständig?

Den Router kann ich als DSL-Modem verwenden. Wenn ich das am Router einschalte, muß ich eigentlich nichts weiter an der Astoro ändern oder? Bei der der Schnitstelle External WAN ist ja der Router als Gateway angegeben.

Wie muß ich dann aber meine DNAT Regel abändern?

Was muß dann beiden folgenden Einträgen stehen:

Datenverkehrsquelle:
Datenverkehrsdienst: HTML
Datenverkehrsziel: zarafa

NAT-Modus: DNAT (Ziel)

Ziel:
Zieldienst: HTML

Vielen Dank für die Hilfe...

Gruß NIxdorf
Cancel
Vote Up 0 Vote Down

Cancel

Children

No Data