HILFE Unlogisches Verhalten der Firewall bei Portforwarding

Anmeldungsdatum: 02.04.2007 Beiträge: 4

Hallo alle zusammen!

Ich habe folgendes Problem / Verhalten der Firewall eines Lancom 7111:

Habe per Portforwarding 3 Server im Lan und DMZ für MSTSC (Remote Desktop) erreichbar gemacht!

Externer Port / Intern

33100 -> 10.0.0.100:3389
33110 -> 10.0.0.101:3389
33120 -> 10.10.0.102:3389 (DMZ)

Es funktionierte alles ordnungsgemäß!

Habe jetzt die Firewall nach einem Deny All Prinzip konfiguriert.

Unter amderem eine Regel ALLOW-MSTSC

- Aktion: Übertragen,
- Stationen: Alle im lokalen Netz
- Dienste -> Ziel Port 3389 TCP;

Ergebnis: 33110 und 33120 funktionieren und 33100 nicht!

Im Firewall log schlägt immer die DenyAll an und zwar scheint die ANfrage nicht von dem Port 33100 auszugehen, sondern von einem Port (Quellport) zwischen 64000 und 65000 ???

Habe sogar testweise die Range 64000 bis 65000 als Quellport freigegeben - aber keine Änderung. Deaktiviere ich die Deny All funktioniert es???
Woran kann das liegen?

Für Hilfe wäre ich sehr dankbar.

Anmeldungsdatum: 01.03.2005 Beiträge: 1201 Wohnort: Mont de Cerf

Hi!

topspeed hat folgendes geschrieben:

Im Firewall log schlägt immer die DenyAll an und zwar scheint die ANfrage nicht von dem Port 33100 auszugehen, sondern von einem Port (Quellport) zwischen 64000 und 65000 ???

Die Ports 33100 33110 u. 33120 sind in dem Fall ja auch keine Quellports, sondern Zielports, die vom WAN aus angesprochen und dann auf den (Intranet)-Zielport 3389 gemappt werden. Nicht weitergeleitet... Gemappt (umgesetzt)!

Die eigentlichen Quellports können so verschieden sein, dass es eigentlich keinen Sinn macht, diese in der Firewallregel anzugeben.

Versuche mal deine Regel ohne Quellportangabe.

Anmeldungsdatum: 02.04.2007 Beiträge: 4

Danke für die schnelle ANtwort. Hatte ich erst ohne Quellports. Funktioniert leider nicht!

Das seltsame ist ja, dass 2 Ports funktionieren und der 3. nicht!

Anmeldungsdatum: 01.03.2005 Beiträge: 1201 Wohnort: Mont de Cerf

Wie sehen deine spez. Firewallregeln dazu aus?
Kannst du die Filtertabelle hier mal posten?

Anmeldungsdatum: 02.04.2007 Beiträge: 4

Wo finde ich die Filtertabelle?

Die Regeln habe ich irgendwo aus dem Netz, machen aber Sinn. Die Allow-MSTSC habe ich oben dargestellt. DIcht wird alles mit einer DENY ALL Regel.

Anmeldungsdatum: 01.03.2005 Beiträge: 1201 Wohnort: Mont de Cerf

WEBCONFIG

Experten-Konfiguration/Status/IP-Router/Filter-Liste

Anmeldungsdatum: 02.04.2007 Beiträge: 4

Würde hier Rahmen sprengen die ganze Liste zu posten!

hier mal die zwei Zeilen, die zu der MSTSC Regel gehören:

0003 6 000000000000 10.16.0.0 255.255.248.0 0 0 000000000000 0.0.0.0 0.0.0.0 3389 3389 limit: accept nein 1 0
0004 6 000000000000 10.15.0.0 255.255.248.0 0 0 000000000000 0.0.0.0 0.0.0.0 3389 3389 limit: accept nein 1 0

10.16 = DMZ
10.15 = LAN

Moderator Anmeldungsdatum: 08.11.2004 Beiträge: 4571 Wohnort: Aachen

Hi topspeed

dein Fehler ist, daß du als Quelle "Alle Stationen im lokalen Netz" ausgewählt hast. das kann nicht funktionieren.

Deine Regel muß so aussehen:

Code:

Quelle: alle Stationen
Ziel: 10.0.0.100, 10.0.0.101, 10.0.0.102
Dienste: Zielport 3389

Gruß
Bckslash

Anmeldungsdatum: 01.03.2005 Beiträge: 1201 Wohnort: Mont de Cerf

Hallo topspeed,

Wie backslash schon schrieb...
Es müsste dann so aussehen:

0003 6 000000000000 0.0.0.0 0.0.0.0 0 0 000000000000 10.16.0.0 255.255.248.0 3389 3389 limit: accept nein 1 0
0004 6 000000000000 0.0.0.0 0.0.0.0 0 0 000000000000 10.15.0.0 255.255.248.0 3389 3389 limit: accept nein 1 0

Aus deinem ersten post ging das nicht vor, ob die Stationen Ziele o. Quellen sein sollen...

Zitat:

- Aktion: Übertragen,
- Stationen: Alle im lokalen Netz
- Dienste -> Ziel Port 3389 TCP