Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 30 replies
  • Answers 13 answers
  • Subscribers 3 subscribers
  • Views 61426 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9 Firewall regeln erstellen, Dienste freigeben

LinuxBastler

Hi, ich habe vor ein paar Tagen meine Sophos UTM 9 eingerichtet. Soweit funktioniert auch alles bis auf ein paar Dienste. Dienste wie z.b Steam oder Teamspeak, die eine Verbindung zum Internet aufbauen funktionieren irgendwie
nicht. Da steht dann Verbindung zum Netzwerk nicht möglich oder Verbindung fehlgeschlagen. Die InternetVerbindung für Skype z.b. ist aber da. Auch die Internetverbindung generell ist da. In den Firewall Logs sehe ich das das Paket mit dem Port 9987 (Teamspeak Port) z.b. gedroppt wird. Nun muss ich wahrscheinlich eine Firewall Regeln anlegen die sowas erlaubt. Könntet ihr mir ein Beispiel geben? Hab es nämlich versucht mehrere Male aber es hat nicht geklappt. Oder habt ihr z.b. eine Anleitung mit der ich sie erstellen kann. Eigentlich ist es ja ganz logisch, ich trage den freizugebenden Port ein und Quell und Ziel... Klappt aber nicht.

Ich will keine Portweiterleitung machen sondern einfach nur die verschiedenen Dienste für das Internet nutzen



This thread was automatically locked due to age.
Parents
  • 0

    Hallo,

    bei STEAM findest Du die benötigten Ports in der Hilfe. [8-|]

    Gebe einfach diese Ports in der Firewall für Deine Gamer frei:

  • 0 in reply to StefanLorenzen

    jetzt auch mit den Ports / Port-Range:

    TCP/UDP 27000:27000

    MfG Stefan

  • 0 in reply to LinuxBastler

    Hallo,

    erst einmal Funktionalität herstellen. Mit abgeschalteten Webfilter musst Du nur in einem Log suchen.

  • 0 in reply to StefanLorenzen

    So ich habe testweise den Proxy und das IPS deaktiviert. Habe es nochmal probiert:

    2016:03:24-15:12:16 firewall ulogd[4373]: id="2002" severity="info" sys="SecureNet" sub="packetfilter" name="Packet accepted" action="accept" fwrule="3" initf="eth0" outitf="eth1" srcmac="x" dstmac="x" srcip="192.168.x.x" dstip="162.254.197.42" proto="17" length="64" tos="0x00" prec="0x00" ttl="127" srcport="51196" dstport="27017

    Die Firewall scheint ja das Paket zu akzeptieren.... aber es funktioniert immer noch nicht. Bekomme keine Verbindung. Könnte es an der Hardware liegen? Sonst wüsste ich nicht was man noch machen kann zur Fehlerbehebung

  • 0 in reply to LinuxBastler

    Hallo,


    Deine Informationen sind sehr dürftig. Meine Fragen hast Du leider nicht beantwortet.

    Die Hardware ist meist nicht das Problem. Der Fehler steckt meist zwischen den Kopfhörern. [;)]

    Was ist mit dem NAT? (der erste Tip von Bob) Hast Du die Grundregeln aus den RULZ beachtet?!

    Was ist mit einem eventuell vorgeschalteten Router? Wie sieht die Anbindung aus? Kannst Du überhaupt von dem Client über die UTM surfen?

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Die Grundregeln habe ich soweit beachtet. Masquerading-Regel habe ich auch erstellt.

    Aufbau: Unitymedia-Kabelmodem 192.168.0.1 -> Sophos  UTM 9 Wan Schnittstelle 192.168.0.2 -> Interne Schnittstelle 192.168.1.1 ->  Netzwerkgeräte 192.168.1.x

    Und ja ich weiss das es an mir liegt ich bekomm es nur nicht raus :D

    Ich kann so ohne Probleme mit der UTM ins Internet, keine Probleme, keine Verbindungsabbrüche etc. Was mir jetzt aufgefallen ist: Wenn ich den Web Proxy deaktiviere, trotz Firewall Regel das HTTP erlaubt ist kann ich mich nirgendwo mehr finden, keine Dienste mehr nutzen nix? Auch ein Ping an Google wird mit Zeitüberschreitung beantwortet.


    Ich habe aber sonst alle Systeme deaktiviert, bis auf den Webfilter. Aber ich habe alle Webfilter Einstellungen auf zulassen. Hier siehst du nochmal éin paar Screenshots.

  • 0 in reply to LinuxBastler

    Hallo,

    nutzen Deine internen Clients die UTM als Gateway? Dann müsstest Du alle Anfragen ins Internet im Firewall Log sehen. Gewünschter Traffic kann dann erlaubt werden.

    Erlaubst Du denn Deinem Client ICPM (PING)? Im Log wird nur protokolliert, wenn es für eine Regel oder grundsätzlich aktiviert wurde.

    Wenn der Proxy aktiviert ist, wird unter WEB Protection --> Filtering Options --> Misc eingstellt, welche DIenste über den Proxy gehen.

    Alle anderen Dienste sollten im Firewall-Log erscheinen.

    MfG Stefan

  • 0 in reply to StefanLorenzen

    ICPM erlaube ich meinen Clients, die Clients nutzen die UTM als Gateway, das ist richtig. Alle Verbindungsversuche ausser die Dienste die über den Proxy gehen sehe ich auch im Firewall-Log. Im Firewall-log sehe ich auch das die Firewall den Verbindungsversuch zum Port 9987 akzeptiert. (Hatte mal vorher ne Regel für Teamspeak3 erstellt).

    Aber es ist immer noch so das ich mich nicht verbinden kann. Trotz Firewall Regel, trotz Beachten der Rulz. Was mir vll. aufgefallen ist, das insgesamt nur zwei mal von der Firewall die Verbindungsversuche zum Teamspeak Server akzeptiert wurden. Die anderen 2-3 Versuche tauchen gar nicht im Log auf?

    Ich erlaube den gewünschten Traffic durch eine Firewall-Regel. Im Log wird auch der Verbindungsversuch akzeptiert, nur auf dem Client bekomme ich keine Verbindung?

  • 0 in reply to LinuxBastler

    Hallo,

    In Deinem Firewall-Log sind IP, und MAC-Adressen unkenntlich.

    srcmac="x" dstmac="x" srcip="192.168.x.x"

    Hast Du diese Informationen ausgeblendet?

    Beim Firewall Regelwerk ist zu beachten: "first match wins".

    Erstelle doch mal eine neue Firewall-Regel ganz am Anfang mit den allen STEAM Ports für diesen Client.

    MfG Stefan

  • 0 in reply to StefanLorenzen

    So ich habe jetzt eine Firewall Regel erstellt nochmal mit allen Steam Ports für meinem PC. Funktioniert einfach nicht. Testweise habe ich auch mal die Firewall des Kabelmodems deaktiviert, funktioniert auch nicht. Im Firewall-Log steht doch das die Anfragen akzeptiert werden.... aber ich bekomme einfach keine Verbindung auf meinem Client. Sonst habe ich keine weiteren Geräte die die Verbindung zu Steam blocken könnten. Hat auch vor der Installation von Sophos funktioniert. Und ja die Mac Adressen habe ich unkenntlich gemacht, sind doch auch nicht weiter wichtig?  Wie du siehst habe ich die Position 1 gewählt, und auch natürlich die Firewall Regel aktiviert :D. Die ganzen Dienste für Steam habe ich auch erstellt. Wie gesagt im Firewall Log steht ja das das Paket akzeptiert wird. Bekomme aber keine Verbindung.

  • 0 in reply to LinuxBastler

    Hallo,

    Hast Du es mal zum Test mit ANY bei den Diensten probiert?

    Einfach um einen Tippfehler bei den Diensten oder Ports (TCP, UDP, TCP/UDP) auszuschließen...

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Ich hab das mal mit Any bei den Diensten probiert, keine Verbindung unverändert! Aber wenn die Regel alle Dienste erlaubt kann es ja nicht an den Regeln liegen?

Reply Children
  • 0 in reply to LinuxBastler

    Hallo,


    Hast Du bei dem Test den Proxy deaktiviert?

    Bei eingeschalteten Proxy wird der Datenstrom bearbeitet! Die Firewall sieht dann nur noch einen Auszug des Traffics.

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Dort habe ich es im dem Proxy versucht. Ich hab es jetzt mal ohne Proxy versucht. Ich sehe jetzt z.b. die HTTP-Anfragen ins Internet, also die Dienste die vorher über den Proxy liefen. Nur leider habe ich mit ausgeschaltetem Proxy keine Verbindung zum Internet. Ein Verbindungsversuch scheitert mit Zeitüberschreitung im internen Lan. Ein Ping von der Sophos ins interne Netzwerk funktioniert einwandfrei.  Auch ein Ping von der Sophos ins Internet funktioniert tadellos! Nur ein Verbindungsversuch vom internen Lan ins Internet scheitert. Ich sehe im Firewall Log aber die Anfragen der Netzwerkgeräte des internen Lans.... Das heißt das die Netzwerkgeräte im internen Lan die Sophos erreichen können...

    Auch akzeptiert die Sophos jegliche Anfragen im Firewall Log.

  • 0 in reply to StefanLorenzen

    Wenn die Sophos also die Anfragen akzeptiert müssten sie doch irgendwo vor der Sophos geblockt werden? Ich habe ja den Aufbau; Internet -> Kabelmodem(192.168.0.1)-> Sophos Wan(192.168.0.2) -> Sophos intern(192.168.1.1) -> Netzwerkgeräte (192.168.1.x).

    Die Sophos akzeptiert im Firewall Log jegliche Pakete auch mit ausgeschaltetem Proxy! Dann müsste es doch zwischen Kabelmodem und Sophos noch irgendein Problem geben? den interne Geräte können die Sophos erreichen, die Sophos akzeptiert, aber die Netzwerkgeräte bekommen keine Verbindung. Auf der Sophos hat man eine Verbindung da ein Ping ins Internet funktioniert.

  • 0 in reply to LinuxBastler

    Hallo,

    jetzt kommst Du schon ein Paar Schritte weitern ;-)

    Wenn Du mit ausgeschalteten Proxy arbeitest, die Firewall öffnest, ist es nur noch ein bisschen Routing.... ;-) Masquerading nicht zu vergessen!

    Erreicht Dein PC das Modem? Dein Modem wird das Client-Netzwerk nicht kennen. Daher dürften nur Antworten kommen, wenn das Masquerading stimmt.

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Nein mein PC erreicht das Modem bei ausgeschaltetem Proxy nicht! Dann müsste ja das Masquerading nicht stimmen?

    Das ist zurzeit meine einzige Masquerading-Regel. Die müsste dann ja Fehlerhaft sein?

    MFG

  • 0 in reply to LinuxBastler

    Hallo,

    Der Ping von der UTM funktioniert?

    Support --> Tools --> Ping Check

    Wenn die UTM eine Antwort erhält, scheint dort etwas im Argen zu sein.

    Kontrolliere mal die Objekte. Das Interface hat nur eine IP-Adresse?

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Ein Ping von der UTM zum Kabelmodem funktioniert. Soll ich bei der Maskerading-Regel doch das komplette internal Network nehmen oder nur die internal Adress, so verstehe ich deine Frage, ob das Interface nur eine IP-Adresse hat?

  • 0 in reply to StefanLorenzen

    Es FUNKTIONIERT! Ich habe statt Internal Adress, Internal Network eingetragen. Proxy deaktiviert... versucht zu verbinden... klappt! Auch wenn ich den Proxy aktiviere und die Any-Regel deaktiviere funktionieren die Regeln endlich, d.h. ich kann mich in Steam einloggen, trotz Proxy usw.

    Ich glaube wir haben den Fehler gefunden! Naja aufjedenfall funktioniert jetzt erstmal alles

    Nochmal echt tausend Dank das du soviel Geduld aufgebracht hast :D

    MFG

  • 0 in reply to LinuxBastler

    Hallo,

    diese Information (IP-Adresse statt Netz) war aus dem Screenshot nicht zu erkennen.

    Schön, dass Du erfolgreich warst.

    Jetzt gilt es für Dich Dein Heim-Netz wieder abzusichern ;-)

    Konfiguration Proxy, Firewall-Regelwerk, ...

    MfG Stefan

  • 0 in reply to StefanLorenzen

    Jo IPS, Proxy und Regelwerk ist wieder richtig eingestellt und frei von unnötigen Regeln :)

    Nochmal danke :)

Cookie Information Banner