DNAT und PAT für SSHD hinter efw

Servus Leute,

hab ein seltsames Problem:
- Habe hinter der efw (GRÜN) einen SSHD der aus dem Internet erreichbar sein soll.
- Da ich die efw selbst auch per SSH von aussen erreichen möchte, dachte ich auch ein PAT zu machen

Deshalb habe ich eine DNAT regel erstellt die da lautet:
Ziel: Uplink main (Es gibt nur einen (ROT) und das ist ein PPPoE Interface mit fester IP á la Telekom Business)
Dienst: TCP/1022
Richtlinie: Gestatten ohne IPS
Übersetze zu: InterneIP : 22
Zugriff eingeschränkt auf eine bestimmte IP.
Logging für diese Regel ist an.

Im Log sehe ich:
PORTFWACCESS:ACCEPT:2 TCP (ppp0) externeIP:12471 -> InterneIP:22 (br0)
MAC= LEN=48 TOS=00 PREC=0x00 TTL=120 ID=29721 DF SEQ=1237621265 ACK=0 WINDOW=8192 SYN URGP=0

Das heisst doch die Verbindung ist erlaubt, richtig?

Fragen, die mich beschäftigen:
- Warum funktioniert mein Putty von aussen dann nicht?
-- Vermutung: Das System mit dem SSHD hat den falschen DefaultGateway. Sprich: Nicht die efw. Kann ich aber nicht prüfen, da ich keinen Zugriff auf das Ding hab
- Ist mit der DNAT Regel, die Paketfilterregel gleich mit erstellt?
- Wie erstellt man eine Paketfitlerregel ohne NAT? Finde keinen logischen Eintrag dazu.
- Funzt die efw nach den Regeln DNAT, Paketfilter, SRC wie zB eine Juniper oder CISCO?

Danke und Grüße
ItalianStallion

Hi nochmal,

bin irgendwie davon ausgegangen, dass es ne einfache Sache ist und ich nur den Wald vor lauter Bäumen nicht sehe.
Vllt kann mir wenigstens jemand sagen ob es evtl. damit zu tun hat, dass die efw selbst auf dem externen Interface (RED) auf 22 lauscht?
Und: Ob der Log-Eintrag tatsächlich das beudeutet was ich vermute; Nämlich: Dass das PAT und NAT erfolgreich war durch die Meldung "PORTFWACCESS ACCEPT)

Danke
ItalianStallion

Hi Sabine,

die richtige IP leite ich weiter. Hier habe ich 100x nach Tippfehlern o.ä. geschaut.
Ob der richtige GW eingetragen ist kann ich nicht ohne weiteres prüfen, denn ich hab keinen Zugriff auf das Gerät und ohne die Regel der Inhaber des Geräts auch nicht.
Hier beisst sich die KAtze in den Schwanz.

Ich versuch erstmal die Geschichte mit dem richtigen GW zu verfolgen.

Danke erstmal.

...und wie das weh tut.

Is n CISCO Router, der nich in meiner Hoheit liegt sondern von externen Beratern.
Die kommen von außen nicht drauf und ich darf das Kennwort nicht kennen.
Da haben wir wieder die Katze...mit Schwanz usw.

Idee ist: Ich lass die Kollegen per Teamviewer o.ä. auf nen REchner dort im Netz und dann mit Putty auf deren CISCO!

Ich wette hier ist es exakt das Selbe...aber kann ich erst richtig stellen wenn die Jungs auf ihre CISCO kommen.
Und deren Firewalladmin from Hell ist seit heute im Urlaub...sprich: Das wird wohl erst im Januar was.

Danke und Grüße

Da sind wir doch einer Meinung!
Wird wohl Januar, aber was solls...kommt in den besten Familien vor!

Mal was anderes: Ihr beide als Speziallisten: Kann man schon auf die 2.5.2 oder lieber bei der 2.3.0 bleiben?

Hab da n paar alte Threads gesehen, da kotzt ihr gnaz schön über die 2.5.2 ab...

Grüße

Dann empfiehlst du mir also die...?

2.51?
Ne beta würd ich gern meiden

Die Finals scheinen ja schon Beta genug zu sein...

Danke jedenfalls

Hallo ihr Lieben,

ein halbes Jahr später kram ich den hier mal wieder aus und frage:

Gilt das immer noch, dass die 2.5.1 die passendste für den produktiven Einsatz ist?
Müsste aktuell mal wieder eine neue bauen.

Übrigens, dazu noch 1-2 Fragen:
- Für Portfiltering, Web-Proxy und Antispam: Ein empfohlenes Sizing? Sprich: CPU, RAM und netto Plattengröße.
- Welche Quadport-Karten funktionieren aus Eurer Erfahrung?

Danke und Grüße
Stallion