 |
|
|
|
| Autor |
Nachricht |
Starmanager
Anmeldungsdatum: 19.03.2009
Beiträge: 43
|
 Verfasst am:
Do 19 Nov, 2009 16:26 |
  |
|
Hallo Leute,
ich komme meinem Ziel immer naeher. Nun habe ich eine Frage. Wie stelle ich die Firewall ein wenn ich ein Portforwarding auf einen E-mail Server mache?
Die IP ist 192.168.110.10 Nun moechte ich dass der Port 25 zwar weitergeleitet wird aber nur fuer eine Hand voll Adressen verwendet werden darf. Wir haben einen Provider der die E-Mails grob filtert bevor die alle in die Firma kommen moechte ich nur die Adressen der Rechner im Internet durchlassen.
Vielen Dank fuer Die Unterstuetzung.
MFG
Starmanager |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Do 19 Nov, 2009 19:42 |
|
|
Hi!
Das erreichst du mit einer Firewallregel:
Aktionen: Übertragen
Verbindungs-Quelle: hier die zulässigen IP's (oder Bereiche) eintragen
Verbindungs-Ziel: IP 192.168.110.10, oder den Stationsname
Protokolle/Ziel-Dienste: TCP, Port 25 |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Fr 20 Nov, 2009 02:01 |
|
|
Hallo Starmanager,
filou geht davon aus, dass in der Firewall eine deny-all-Strategie gefahren wird. Das nur noch mal als Hinweis, weil es ja auch nicht standardmäßig der Fall ist.
Viele Grüße,
Jirka |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 20 Nov, 2009 21:51 |
|
|
@Jirka
Vielen Dank für den wichtigen Hinweis! (Sorry, dass man immer in mehrere Richtungen denken muss!)
@Starmanager
Ja, der Hinweis von Jirka ist natürlich auch von nicht zu verschweigender Bedeutung.
Erzähle uns diesbezüglich etwas! |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Starmanager
Anmeldungsdatum: 19.03.2009
Beiträge: 43
|
| Verfasst am:
Mo 23 Nov, 2009 11:10 |
|
|
Von Aussen ist doch standardmaessig alles Dicht oder taeusche ich mich da? Ich habe nur die Standard Config drin. Muss man die Deny all Regel denn von Wan und Lan einrichten? 
Gruss
Starmanager |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Mo 23 Nov, 2009 18:31 |
|
|
Hi!
| Starmanager hat folgendes geschrieben:
|
|
Von Aussen ist doch standardmaessig alles Dicht oder taeusche ich mich da?
|
Aber nur mit NAT.
| Zitat:
|
|
Ich habe nur die Standard Config drin. Muss man die Deny all Regel denn von Wan und Lan einrichten?
|
Eine Deny-All-Strategie ist auf alle Fälle von Vorteil und macht im Nachhinein weniger Arbeit... Erstmal alles schließen und dann bei Bedarf öffnen.
Du kannst aber auch alles so lassen, machst dir aber zwei Regeln...
Eine ALLOW-Regel:
So, wie ichs schon weiter oben beschrieben habe.
Eine DENY-(Verbiete)-Regel:
Hier musst du nun alle Internet-IP-Bereiche eintragen und auf Port 25(TCP) verbieten. Am besten 0.0.0.0-255.255.255.254, wobei da dann auch die privaten Adressbereiche mit eingeschlossen sind.
Siehe auch Wikipedia IP-Adresse.
Und vorallem, die Firewall im Router auf aktiv setzen. |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mo 30 Nov, 2009 17:24 |
|
|
Hi filou
| Zitat:
|
|
Am besten 0.0.0.0-255.255.255.254
|
davon möchte ich abraten, weil das in der Firewall eine Unmenge von Filtern erzeugt... Am einfachsten ist, "alle Stationen" zu verbieten ("ANYHOST" bzw. "%a0.0.0.0 %m0.0.0.0")
Gruß
Backslash |
|
|
|
|
Starmanager
Anmeldungsdatum: 19.03.2009
Beiträge: 43
|
| Verfasst am:
Mo 14 Dez, 2009 14:36 |
|
|
Ich habe nun alles eingerichtet und es hat leider nicht geklappt. Wie ist denn nun genau die Port Forwarding Firewall Regel die dazu passt wenn man die Deny all Regel hat.
Ich habe ein Portforwarding eingerichtet Port 7800 mit UDP auf Port 7800 auf eine IP Adresse 192.168.100.10. Ich sehe keine Fehlermeldung im Firewall Trace und keinerlei Verkehr zum Server. Wo kann ich noch weiterforschen?
Eventuell ist es ja wichtig da ich 2 Zugaenge habe. Der eine ist eine 20Mbit Leitung und der andere ist ein DSL Zugang.
Der 20Mbit Zugang ist der den wir fuer den Port forwarding verwenden.
MFG
Starmanager |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Mo 14 Dez, 2009 20:25 |
|
|
Jetzt verwirrst du mich (uns ?) aber...
| Starmanager hat folgendes geschrieben:
|
|
Ich habe ein Portforwarding eingerichtet Port 7800 mit UDP auf Port 7800 auf eine IP Adresse 192.168.100.10.
|
UDP? Port 7800?
| Zitat:
|
|
Eventuell ist es ja wichtig da ich 2 Zugaenge habe. Der eine ist eine 20Mbit Leitung und der andere ist ein DSL Zugang.
|
Das ist schon wichtig, wo die Pakete reinrommen sollen 
Hast du eventuell noch fixe IP-Bereiche?
Wie sind die 20-MBit-Leitung und DSL aufgegliedert? ...oder gibt es eine Backup-Leitung?
Ich finde gerade meine Glaskugel nicht, sonst hätte ich eventuell ein Antwort...
Lass uns nicht im Dunkeln stehen! |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Starmanager
Anmeldungsdatum: 19.03.2009
Beiträge: 43
|
| Verfasst am:
Mi 16 Dez, 2009 09:10 |
|
|
Hallo Jens,
vielen Dank fuer Deine Antwort. Es handelt sich dabei um 2 fixe IP Adressen. Die eine ist fuer den staendigen Verkehr der VPNs zustaendig die ADSL Leitung fuer den ausgehenden Verkehr wie http, ftp und https. Alles andere ist ja zu damit die Jungs und Maedels hier nicht wie wild das Internet umgraben.
Ich habe ein load Balancing mit den Routing Tags erstellt
Internet= Routing Tag 1
ADSL= Routing Tag 2
und natuerlich
Loadbalancing= Routing Tag 0.
Nun moechte ich dass die Externen Mitarbeiter mit unserer Port 7800 VPN Loesung ueber die den Internet Zugang hereinkommen und zwar braucht es nur denUDP Port 7800. Der Rechner steht im Netzwerk Intranet das den Routing Tag 4 hat.
Gleichzeitig habe ich das E-mail das per SMTP auf Port 25 hereinkommen soll. Das ist eigentlich schon alles. Der Rechner steht in der DMZ und diese hat noch den Routing Tag 4
Die Netzwerke Inhouse haben die Routing Tags 4,5,6 und sind mit ARF gesplittet damit keiner einen Zugriff aus den Netzen Technet und Telefon auf das Intranet hat. Ich hoffe die Verwirrung ist nicht zu gross.
Gruss
Klaus |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 17 Dez, 2009 20:33 |
|
|
Hi Starmanager
| Zitat:
|
|
Nun moechte ich dass die Externen Mitarbeiter mit unserer Port 7800 VPN Loesung ueber die den Internet Zugang hereinkommen und zwar braucht es nur denUDP Port 7800. Der Rechner steht im Netzwerk Intranet das den Routing Tag 4 hat.
|
Wenn die ARF-Netze getaggt sind, dan mußt du entweder die Gegenstellen, über die die Pakete reinkommen sollen ebenfalls taggen (unter Kommuniktation -> Gegenstellen -> WAN-Tag-Tabelle für die Internet-Verbindung das Schnittstellen-Tag 4 vergeben) oder die einkommenden Pakete selbst über eine Firewallregel passend taggen:
| Code:
|
Routing-Tag: 4
Aktion: übertragen
Quelle: alle Stationen
Ziel: IP des jeweiligen Servers
Dienste: UDP, Zielport 7800 bzw. TCP, Zielport 25
|
Gruß
Backslash |
|
|
|
|
Starmanager
Anmeldungsdatum: 19.03.2009
Beiträge: 43
|
| Verfasst am:
Fr 25 Dez, 2009 16:09 |
|
|
Leider klappt das nicht. Ich habe folgende Traces wenn ich Tag 1 in der Firewall Regel verwende,
[Firewall] 2009/12/25 14:54:47,010
Packet matched rule ALLOW-NETMOTION-IN
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 92, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
[IP-Router] 2009/12/25 14:54:47,010
IP-Router Rx (INTERNET, RtgTag: 1):
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 92, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Network unreachable (no route) => Discard
Bei verwendung des Tags 4 erhalte ich folgende Meldungen
[Firewall] 2009/12/25 15:01:07,160
Packet matched rule intruder detection
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 340, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Filter info: packet received from invalid interface INTERNET
send SNMP trap
packet dropped
[IP-Router] 2009/12/25 15:01:07,160
IP-Router Rx (INTERNET, RtgTag: 4):
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 340, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Filter (Port)
Ich verzwiefle langsam. Der Rechner 192.168.100.5 ist im VLAN 50 erreichbar. Das Netzwerk hat den Tag 4. Alle Rechner koennen aufs Internet aber von Aussen kommt nichts ueber den Router
Dir Firmware habe ich auch auf den letzten Stand gebracht,
DEVICE: LANCOM 7111 VPN
HW-RELEASE: C
VERSION: 7.70.0099Rel / 12.08.2009
Vielen Dank fuer die Hilfe. Ich wuensche Euch allen noch gesegnete Feiertage.
MFG
Starmanager |
|
|
|
|
Starmanager
Anmeldungsdatum: 19.03.2009
Beiträge: 43
|
| Verfasst am:
Mo 11 Jan, 2010 08:05 |
|
|
So nun habe ich des Raetsels Loesung bekommen.
Die Loesung ist unter "Kommunikation - Gegenstellen -> WAN-TAG Tabelle" zu finden. Den Eintrag auf 'Manuell' setzen. Danach auch den Tag in der Firewall auf 1 und alles klappt.
Herzlichen Dank an alle die mir hier geholfen haben und auch an die Mitarbeiter des Supportes von Lancom die sogar zwischen den Jahren Hilfe leisten.
MFG
Starmanager |
|
|
|
|
hsudholz
Anmeldungsdatum: 17.01.2008
Beiträge: 23
Wohnort: Oldenburg
|
| Verfasst am:
Mo 11 Jan, 2010 14:16 |
|
|
Hi Starmanager,
du machst mich richtig neidisch.
Das habe ich so leider nicht hinbekommen.
Habe hier http://www.lancom-forum.de/topic,9228,-Loa...rding.html schon mal um Hilfe gebeten, aber wahrscheinlich in der falschen Form.
Als Anfänger ist es schwierig die richtigen Fragen zu stellen, weil einem das Vokabular fehlt.
Gruß, Horst |
|
|
   |
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Mo 11 Jan, 2010 17:25 |
|
|
Hi hsudholz
schau nochmal in den Thread...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
