Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 30 replies
  • Answers 13 answers
  • Subscribers 3 subscribers
  • Views 61405 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 Firewall regeln erstellen, Dienste freigeben

LinuxBastler

Hi, ich habe vor ein paar Tagen meine Sophos UTM 9 eingerichtet. Soweit funktioniert auch alles bis auf ein paar Dienste. Dienste wie z.b Steam oder Teamspeak, die eine Verbindung zum Internet aufbauen funktionieren irgendwie
nicht. Da steht dann Verbindung zum Netzwerk nicht möglich oder Verbindung fehlgeschlagen. Die InternetVerbindung für Skype z.b. ist aber da. Auch die Internetverbindung generell ist da. In den Firewall Logs sehe ich das das Paket mit dem Port 9987 (Teamspeak Port) z.b. gedroppt wird. Nun muss ich wahrscheinlich eine Firewall Regeln anlegen die sowas erlaubt. Könntet ihr mir ein Beispiel geben? Hab es nämlich versucht mehrere Male aber es hat nicht geklappt. Oder habt ihr z.b. eine Anleitung mit der ich sie erstellen kann. Eigentlich ist es ja ganz logisch, ich trage den freizugebenden Port ein und Quell und Ziel... Klappt aber nicht.

Ich will keine Portweiterleitung machen sondern einfach nur die verschiedenen Dienste für das Internet nutzen



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    bei STEAM findest Du die benötigten Ports in der Hilfe. [8-|]

    Gebe einfach diese Ports in der Firewall für Deine Gamer frei:

  • 0 in reply to StefanLorenzen

    jetzt auch mit den Ports / Port-Range:

    TCP/UDP 27000:27000

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Erstmal danke für die Antworten. Ich habe jetzt Firewall Regeln für Steam erstellt. Im Internet habe ich nach den Steam Ports geschaut und die Firewall Regeln erstellt.

    Als QuellHost habe ich mein Internal Network eingetragen, als Dienst jeweils die Dienstdefinitionen mit allen Ports. Bei Ziel habe ich Any eingetragen. Es funktioniert aber immer noch nicht. Mit derselben Konfiguration habe ich das mal für Teamspeak 3 probiert. Habe dann als Port 9987 eingegeben. Funktioniert auch nicht. Ledeglich im Firewall-Log wird angezeigt das jeweils die Filterregel NR.x angewendet wurde. Passiert aber nichts, ist genau wie vorher.

    Ich habe keine Ahnung was ich noch machen soll.

  • 0 in reply to LinuxBastler

    Hallo,


    hast Du die die "Goldenen Regeln"  von Bob beachtet?

    --> ausgehenden Traffic hinter der "externen" IP-Adresse verstecken

    Es gibt sonst Probleme mit den Anfrage/Antworten.  Der (DSL-)Router oder auch Provider verwirft ggf. die Pakete, bzw der Rückweg ist nicht möglich.

    WIe sieht denn Dein Firewall-Log aus? Ohne die Freigabe der STEAM-Ports sollten die Verbindungsversuche vom Client auf den unterschiedlichen Ports zusehen sein.

    Hier ist ein Beispiel für eine Firewall-Regel:

    Ist der Service richtig definiert?

    MfG Stefan

Reply
  • 0 in reply to LinuxBastler

    Hallo,


    hast Du die die "Goldenen Regeln"  von Bob beachtet?

    --> ausgehenden Traffic hinter der "externen" IP-Adresse verstecken

    Es gibt sonst Probleme mit den Anfrage/Antworten.  Der (DSL-)Router oder auch Provider verwirft ggf. die Pakete, bzw der Rückweg ist nicht möglich.

    WIe sieht denn Dein Firewall-Log aus? Ohne die Freigabe der STEAM-Ports sollten die Verbindungsversuche vom Client auf den unterschiedlichen Ports zusehen sein.

    Hier ist ein Beispiel für eine Firewall-Regel:

    Ist der Service richtig definiert?

    MfG Stefan

Children
  • 0 in reply to StefanLorenzen

    Nochmal danke dafür das du dir die Zeit genommen hast sogar Beispiele mit in die Antwort zu bringen. Die "goldene" Regel habe ich nicht beachtet, werde ich mal morgen testen ob es funktioniert. Wahrscheinlich lag es daran. Die Firewall Regeln müssten soweit passen sonst kann ich ja nochmal gucken.

    Nochmal Danke, ich probiere es mal Morgen aus!

  • 0 in reply to StefanLorenzen

    Ich habs jetzt nochmal ausprobiert. Ich habe es jetzt exakt so gemacht wie du es beschrieben hast. Im Firewall Log wird zwar angezeigt das die Paketfilterregel Nr.x angewendet wird aber sonst passiert absolut nichts. Bei allen Diensten die ich Freigeben muss passiert einfach nichts. Hier eine Beispiel-Zeile aus dem FW-LOG

    2016:03:23-17:21:39 firewall ulogd[4366]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="3" initf="eth0" outitf="eth1" srcmac="x" dstmac="x" srcip="192.168.x.x" dstip="162.254.197.40" proto="17" length="64" tos="0x00" prec="0x00" ttl="127" srcport="53153" dstport="27019"

    Es muss wahrscheinlich an was anderem liegen, da ich die Firewall Regeln genauso erstellt habe, wie du oben sogar beschrieben hast.

  • 0 in reply to LinuxBastler

    Hallo,

    meine Portliste war nicht ganz vollständig.

    Hier ist die Liste aufgeführt:

    https://support.steampowered.com/kb_article.php?ref=8571-GLVN-8711&l=german

    • UDP 27000 bis & inklusive 27015 (Spiele-Client-Traffic)
    • UDP 27015 bis & inklusive 27030 (Normalerweise für Matchmaking und HLTV)
    • TCP 27014 bis & inklusive 27050 (Steam-Downloads)
    • UDP 27031 und 27036 (eingehend, für In-Home Streaming)
    • TCP 27036 und 27037 (eingehend, für In-Home Streaming)
    • UDP 4380

    Steht Deine UTM direkt im Internet? Hinter einem (DSL-)Router? Eingehend werden einige auch einige Ports benötigt...

    Du hast sicher auch Webprotection aktiviert? Wird dort etwas geblockt?

    Zum Test kannst Du auch mal Webprotection abschalten. Dann siehst Du den ganzen Traffic im Firewall-Log und kannst dort erstmal analysieren/reagieren.

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Hi,

    Ich hab alle Steam Ports eingetragen,hatte auf ner Site nach den Ports geschaut. Die Utm liegt direkt hinter nem unitymedia kabelmodem. Den Webfilter kann ich ausmachen, zum Test.

  • 0 in reply to LinuxBastler

    Hallo,

    erst einmal Funktionalität herstellen. Mit abgeschalteten Webfilter musst Du nur in einem Log suchen.

  • 0 in reply to StefanLorenzen

    So ich habe testweise den Proxy und das IPS deaktiviert. Habe es nochmal probiert:

    2016:03:24-15:12:16 firewall ulogd[4373]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="3" initf="eth0" outitf="eth1" srcmac="x" dstmac="x" srcip="192.168.x.x" dstip="162.254.197.42" proto="17" length="64" tos="0x00" prec="0x00" ttl="127" srcport="51196" dstport="27017

    Die Firewall scheint ja das Paket zu akzeptieren.... aber es funktioniert immer noch nicht. Bekomme keine Verbindung. Könnte es an der Hardware liegen? Sonst wüsste ich nicht was man noch machen kann zur Fehlerbehebung

  • 0 in reply to LinuxBastler

    Hallo,


    Deine Informationen sind sehr dürftig. Meine Fragen hast Du leider nicht beantwortet.

    Die Hardware ist meist nicht das Problem. Der Fehler steckt meist zwischen den Kopfhörern. [;)]

    Was ist mit dem NAT? (der erste Tip von Bob) Hast Du die Grundregeln aus den RULZ beachtet?!

    Was ist mit einem eventuell vorgeschalteten Router? Wie sieht die Anbindung aus? Kannst Du überhaupt von dem Client über die UTM surfen?

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Die Grundregeln habe ich soweit beachtet. Masquerading-Regel habe ich auch erstellt.

    Aufbau: Unitymedia-Kabelmodem 192.168.0.1 -> Sophos  UTM 9 Wan Schnittstelle 192.168.0.2 -> Interne Schnittstelle 192.168.1.1 ->  Netzwerkgeräte 192.168.1.x

    Und ja ich weiss das es an mir liegt ich bekomm es nur nicht raus :D

    Ich kann so ohne Probleme mit der UTM ins Internet, keine Probleme, keine Verbindungsabbrüche etc. Was mir jetzt aufgefallen ist: Wenn ich den Web Proxy deaktiviere, trotz Firewall Regel das HTTP erlaubt ist kann ich mich nirgendwo mehr finden, keine Dienste mehr nutzen nix? Auch ein Ping an Google wird mit Zeitüberschreitung beantwortet.


    Ich habe aber sonst alle Systeme deaktiviert, bis auf den Webfilter. Aber ich habe alle Webfilter Einstellungen auf zulassen. Hier siehst du nochmal éin paar Screenshots.

  • 0 in reply to LinuxBastler

    Hallo,

    nutzen Deine internen Clients die UTM als Gateway? Dann müsstest Du alle Anfragen ins Internet im Firewall Log sehen. Gewünschter Traffic kann dann erlaubt werden.

    Erlaubst Du denn Deinem Client ICPM (PING)? Im Log wird nur protokolliert, wenn es für eine Regel oder grundsätzlich aktiviert wurde.

    Wenn der Proxy aktiviert ist, wird unter WEB Protection --> Filtering Options --> Misc eingstellt, welche DIenste über den Proxy gehen.

    Alle anderen Dienste sollten im Firewall-Log erscheinen.

    MfG Stefan

  • 0 in reply to StefanLorenzen

    ICPM erlaube ich meinen Clients, die Clients nutzen die UTM als Gateway, das ist richtig. Alle Verbindungsversuche ausser die Dienste die über den Proxy gehen sehe ich auch im Firewall-Log. Im Firewall-log sehe ich auch das die Firewall den Verbindungsversuch zum Port 9987 akzeptiert. (Hatte mal vorher ne Regel für Teamspeak3 erstellt).

    Aber es ist immer noch so das ich mich nicht verbinden kann. Trotz Firewall Regel, trotz Beachten der Rulz. Was mir vll. aufgefallen ist, das insgesamt nur zwei mal von der Firewall die Verbindungsversuche zum Teamspeak Server akzeptiert wurden. Die anderen 2-3 Versuche tauchen gar nicht im Log auf?

    Ich erlaube den gewünschten Traffic durch eine Firewall-Regel. Im Log wird auch der Verbindungsversuch akzeptiert, nur auf dem Client bekomme ich keine Verbindung?

Cookie Information Banner