Eingehender Traffic wird immer geblockt

1. offizieller Beitrag

    Hallo Community,

    ich habe folgendes Szenario und komme einfach nicht mehr weiter:

    Ich habe ein öffentliches IP Segment, das auf eine IP in meinem Trasfernetz geroutet wird.
    Die Endian FW soll den Verkehr zwischen Internet und dem Öffentlichen IP Segment (DMZ) regeln.

    Ich habe 3 Netzwerkkarten zur Verfügung, die ich so belegt habe.

    1 Interface (Rot) mit IP Adresse in dem Transfernetz, Auf die IP wird das Segment geroutet.
    1 Interface (Grün) , mit IP Adresse im LAN (für management)
    1 Interface (Orange), mit IP Adresse in der DMZ (öffentliche IP Segment).

    Die Server in der DMZ haben jeder eine eigene öffentliche IP. Der Verkehr von den Servern ins Internet funktioniert nach den Freischaltungen in der FW ohne Probleme.
    Eingehender Traffic wird einfach geblockt. Trotz Regel dass das ROTE Netz in das ORANGE Netz alles darf.

    Der Log zeigt folgende Meldung bei einem Ping Versuch auf die ÖIP: INPUT:DROP UDP (eth2) 0.0.0.0:68 -> 255.255.255.255:67

    Hat jemand eine Idee, woran das liegen kann?

    Liebe Grüße Michael

    • Offizieller Beitrag
    Zitat

    Trotz Regel dass das ROTE Netz in das ORANGE Netz alles darf.

    Wo hast die gemacht ?

    Du musst eine Regel ( Portweiterleitung )von Rot nach Orange machen . . und das für jeden Port einzeln . .

    Gruß sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo nochmals,

    ich habe noch das gleiche Problem auch mit eingetragenem Forwarding.

    Kann man das nicht auch über eine Route lösen?
    Dass man den gesamten Verkehr auf die Schnittstelle in der DMZ routet und dann von innerhalb des Orange Netzwerks Regeln erstellt?

    Oder bin ich mit der Belegung der Netzwerke falsch?

    Die Einrichtung habe ich mir etwas leichter vorgestellt.. gerade das freigeben.

    • Offizieller Beitrag

    1.Wenn du alle Ports Weiterleitest hast du keine Firewall mehr . . . . . . . :o . . . der Server würde alle Angriffe aus dem Internet ausgesetzt sein . . . . :twisted:

    2.Die Firewall weiß ja gar nicht an welche IP er die Ports weiterleiten soll . . . der Port wird dann einmal auf die IP xxxx und beim nächsten mal auf die IP yyyy geleitet . .

    Hmm ich glaub ich versteh die Dekweise bei der Endian FW nicht..

    Ich kenn das nur von einer ASA. 2 Interfaces.

    Eins mit einer IP im Trasfernetz und eine IP in der Offentlichen IP Segment in der DMZ.

    Regel die alles blockiert und dann einzeln die IP`s mit Ports für die Endgeräte feischalten, die aus dem Intrnet ja mit Ihrer eigenen öffentlichen IP erreichbar sein sollen und sind.

    Deswegen verstehe ich die Konfiguration über NAT und Forwarding nicht.

    Vielleicht kann mir jemand die Vorgehensweise bei dem System erklären. :anbet:

    Auf dieser Seite wird die funktionsweise der Endian sehr gut erklärt! Hier findest du alle Info´s die dich diesbezüglich interessieren!

    http://docs.endian.com/archive/2.1/ef…troduction.html

    If you have servers in the DMZ in ORANGE and need to allow access from the internet, you can create a port forwarding rule. You may flexibly forward different ports from the same ip address to different servers within the DMZ or different ports from different ip addresses to the same servers, just as you wish.

    Port Forwarding siehe:

    http://help.endian.com/entries/200612…ard-Basic-Setup

    und

    http://docs.endian.com/archive/2.1/ef…forwarding.html

    LG Matze

    • Offizieller Beitrag

    Sage ich doch . . . . ich habe auch noch nie gehört das jemand alle Ports auf seinen Server weiterleitet . . . was soll das für einen Sinn machen . . . außer das es nicht lange dauert bis er gehackt wird . . :roll:

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final