 |
|
|
|
| Autor |
Nachricht |
Raudi
Anmeldungsdatum: 16.07.2005
Beiträge: 367
Wohnort: Bremen
|
 Verfasst am:
Fr 24 Aug, 2007 09:34 |
  |
|
Hallo,
ich habe eine DMZ mit privaten IP Adressen, vom Internet wird Port 25, 80 etc. dort hin maskiert. In der Firewall habe ich eine Deny All Regel erstellt und zwei weitere Regeln die den eingehenden und ausgehenden Traffic regeln. Nun möchte ich noch NetBios vom Intranet in die DMZ zulassen.
Dazu habe ich eine Regel WWW_SYNC erstellt bei der sowohl als Quelle und auch als Ziel die IP der Quelle und des Ziels eingetragen sind. Und zum testen habe ich auch den gesamten Traffic erlaubt.
Intranet -> DMZ
192.168.20.101 -> 192.168.21.2
Bei einem Firewall Trace bekomme ich jedoch immer dieses und ich kann auch nicht auf die IP zugreifen:
[Firewall] 1900/01/03 16:40:27,980
Packet matched rule WWW_SYNC
DstIP: 192.168.20.101, SrcIP: 192.168.21.2, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 16523, SrcPort: 445, Flags: RA
bad TCP state (SYN/ACK expected)
packet dropped
[Firewall] 1900/01/03 16:40:27,980
Packet matched rule WWW_SYNC
DstIP: 192.168.20.101, SrcIP: 192.168.21.2, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 16524, SrcPort: 139, Flags: RA
bad TCP state (SYN/ACK expected)
packet dropped
Was kann ich dagegen tun? Bzw. was mus ich machen, damit das funktioniert?
Gruß
Stefan |
_________________
1x 1781A - 2x 1722 VoIP - 2x VP-100 - 1x 1721 VPN - 1x 1711 VPN - 1x OAP-54 (O-9a) - 1x L-54 dual (O-9a & O-18a) - 1x L-54ag (O-18a) - 3x 1x L-54ag - 1x DSL/I 1611 Office - 1x 1100 Office |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 24 Aug, 2007 12:26 |
|
|
Hallo Raudi,
| Zitat:
|
Dazu habe ich eine Regel WWW_SYNC erstellt bei der sowohl als Quelle und auch als Ziel die IP der Quelle und des Ziels eingetragen sind. Und zum testen habe ich auch den gesamten Traffic erlaubt.
|
Dumm gefragt...
Ist dort zufälligerweise "Nur Defaultroute" angehakt? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Raudi
Anmeldungsdatum: 16.07.2005
Beiträge: 367
Wohnort: Bremen
|
| Verfasst am:
Fr 24 Aug, 2007 12:44 |
|
|
Nein, dann würde ich sicherlich auch andere Meldungen im Trace bekommen, das diverse andere Pakete nicht erlaubt sind...
Ich habe aber grade festgestellt, das ich auf der IP 192.168.20.101 im Explorer \\192.168.21.2 eingehen kann und ein leeres Fenster erhalte. Freigaben werden nicht angezeigt. Wenn ich nun \\192.168.21.2\inetpub$ angebe dann bekomme ich eine Fehlermeldung, das diese nicht existiert.
Gruß
Stefan |
_________________
1x 1781A - 2x 1722 VoIP - 2x VP-100 - 1x 1721 VPN - 1x 1711 VPN - 1x OAP-54 (O-9a) - 1x L-54 dual (O-9a & O-18a) - 1x L-54ag (O-18a) - 3x 1x L-54ag - 1x DSL/I 1611 Office - 1x 1100 Office |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 24 Aug, 2007 12:58 |
|
|
| Zitat:
|
DstIP: 192.168.20.101, SrcIP: 192.168.21.2
.....
bad TCP state (SYN/ACK expected)
|
Da fällt mir gerade noch etwas auf...
Die Meldung kommt von der DMZ-Station, als Quelle.
D.h. Die Netbios-Freigaben(Regel) brauchst du vermutlich auch in die andere Richtung... Was natürlich wiederum nicht so toll wäre...
| Zitat:
|
|
Ich habe aber grade festgestellt, das ich auf der IP 192.168.20.101 im Explorer \\192.168.21.2 eingehen kann und ein leeres Fenster erhalte. Freigaben werden nicht angezeigt.
|
Ping geht aber? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Raudi
Anmeldungsdatum: 16.07.2005
Beiträge: 367
Wohnort: Bremen
|
| Verfasst am:
Fr 24 Aug, 2007 13:04 |
|
|
Ich habe gehofft, das ich, wenn ich beides (Quelle und Ziel) bei der Firewall Regel jeweils bei Quelle und Ziel eintrage sollte das für beide Richtungeng gelten. (Erstmal mit einer offenen Konfig testen und dann langsam dicht machen.)
Ich kann pingen, und Mails von dem Server (VirusWall) werden auch an den internen Server weitergeleitet. Auch die internen Clients nutzen diesen Server als HTTP Proxy. Also Kummunikation ist gegeben...
Gruß
Stefan |
_________________
1x 1781A - 2x 1722 VoIP - 2x VP-100 - 1x 1721 VPN - 1x 1711 VPN - 1x OAP-54 (O-9a) - 1x L-54 dual (O-9a & O-18a) - 1x L-54ag (O-18a) - 3x 1x L-54ag - 1x DSL/I 1611 Office - 1x 1100 Office |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 24 Aug, 2007 13:12 |
|
|
Was hast du als Quelle und Ziel eingetragen?
Die Ports oder die Stationen? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Raudi
Anmeldungsdatum: 16.07.2005
Beiträge: 367
Wohnort: Bremen
|
| Verfasst am:
Fr 24 Aug, 2007 13:16 |
|
|
Ports? Wie in meinem 1. Post beschrieben habe ich in der Regel folgendes eingetragen.
Quelle:
192.168.20.101
192.168.21.2
Ziel:
192.168.20.101
192.168.21.2
Ports: Gesamter Traffic
Gruß
Stefan |
_________________
1x 1781A - 2x 1722 VoIP - 2x VP-100 - 1x 1721 VPN - 1x 1711 VPN - 1x OAP-54 (O-9a) - 1x L-54 dual (O-9a & O-18a) - 1x L-54ag (O-18a) - 3x 1x L-54ag - 1x DSL/I 1611 Office - 1x 1100 Office |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 24 Aug, 2007 13:48 |
|
|
|
|
|
Raudi
Anmeldungsdatum: 16.07.2005
Beiträge: 367
Wohnort: Bremen
|
| Verfasst am:
Fr 24 Aug, 2007 14:10 |
|
|
Nicht wirklich, dort geht es ja eher um die Namensauflösung und die Anzeige in der Netzwerkumgebung. Ich möchte ja einfach nur über einen UNC Pfad mit IP auf den Server zugreifen.
Der einzigen Utnerschied, ich habe das NetBios Modul im Lancom nicht aktiviert, aber wozu auch, er soll ja einfach nur IP Pakete von Netz A nach Netz B Routen.
Gruß
Stefan |
_________________
1x 1781A - 2x 1722 VoIP - 2x VP-100 - 1x 1721 VPN - 1x 1711 VPN - 1x OAP-54 (O-9a) - 1x L-54 dual (O-9a & O-18a) - 1x L-54ag (O-18a) - 3x 1x L-54ag - 1x DSL/I 1611 Office - 1x 1100 Office |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 24 Aug, 2007 15:33 |
|
|
| Zitat:
|
|
auf der IP 192.168.20.101 im Explorer \\192.168.21.2 eingehen kann und ein leeres Fenster erhalte.
|
Dann meinst du den Internet-Explorer.
Das hättest du auch dazu schreiben können, denn hier...
| Zitat:
|
Freigaben werden nicht angezeigt. Wenn ich nun \\192.168.21.2\inetpub$ angebe dann bekomme ich eine Fehlermeldung, das diese nicht existiert.
|
...schreibst du wieder von Freigaben und was du im ersten Posting gelistet hast, hat auch mit http nichts zu tun. Deshalb war ich die ganze Zeit bei Windows-Freigaben 
Also was willst du? Einen Webserver(IIS) auf 192.168.21.2 erreichen?
Ist der denn überhaupt lokal (127.0.0.1) auf 192.168.21.2 erreichbar?
Sorry, da haben wir die ganze Zeit aneinander vorbei geredet... |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Fr 24 Aug, 2007 16:49 |
|
|
Hi Raudi,
der Trace sagt doch alles:
| Zitat:
|
[Firewall] 1900/01/03 16:40:27,980
Packet matched rule WWW_SYNC
DstIP: 192.168.20.101, SrcIP: 192.168.21.2, Len: 40, DSCP/TOS: 0x00
Prot.: TCP (6), DstPort: 16523, SrcPort: 445, Flags: RA
bad TCP state (SYN/ACK expected)
packet dropped
|
Statt eines SYN/ACK-Paktes kommt ein RST/ACK. Das bedeutet, daß auf dem angesprochenen Rechner (192.168.21.2) niemand auf den Port 445 reagiert. Hast du auf dem Rechner überhaupt etwas freigegeben?
Das ist kein Problem der Firewall - mit der Ausnahme, daß das überhaupt gemeldet wird...
Gruß
Backslash |
|
|
|
|
Raudi
Anmeldungsdatum: 16.07.2005
Beiträge: 367
Wohnort: Bremen
|
| Verfasst am:
Fr 24 Aug, 2007 18:21 |
|
|
Hallo,
filou, hast Du schon mal einfach nur mal \\rechnername im Explorer eingegeben? Dann werden alle Freigaben angezeigt und zusätzlich auch noch "Drucker und Faxgeräte".
Backslash, das niemand reagiert war der Hinweis. Ich habe zum Test mal lokal auf der 192.168.21.2 versucht auf die Freigabe zu gelangen. Das funktionierte auch nicht, mit der gleichen Fehlermeldung. Ein Blick in die Konfiguration der Netzwerkumgebung hat dann die Lösung gebracht. Der Harken bei "Datei und Druckfreigabe für Microsoft-netzwerke" wurde entfernt.
Komisch nur, das es vor ca. 2 Wochen mit der anderen Firewall noch funktionierte. Da dachte wohl irgendjemand, wozu Freigaben in der DMZ und hat es entfernt... Ich denke natürlich nun bei einer Neukonfiguration als erstes an die Firewall, da es letztens ja noch mit der alten klappte....
Gruß
Stefan |
_________________
1x 1781A - 2x 1722 VoIP - 2x VP-100 - 1x 1721 VPN - 1x 1711 VPN - 1x OAP-54 (O-9a) - 1x L-54 dual (O-9a & O-18a) - 1x L-54ag (O-18a) - 3x 1x L-54ag - 1x DSL/I 1611 Office - 1x 1100 Office |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 24 Aug, 2007 19:44 |
|
|
| Zitat:
|
filou, hast Du schon mal einfach nur mal \\rechnername im Explorer eingegeben? Dann werden alle Freigaben angezeigt und zusätzlich auch noch "Drucker und Faxgeräte".
|
Das ist mir schon bekannt 
Nur wo nix ist, kann eben auch nix angezeigt werden.
Man geht davon aus, wenn über den Zaun springen will, dass man sich überzeugt hat, dass dahinter auch ein Boden ist und nicht das Pferd von hinten aufzäumt.
Nun gut, der Tipp mit dem lokalen Test, hat dich ja nun auf die Spur gebracht...  |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Raudi
Anmeldungsdatum: 16.07.2005
Beiträge: 367
Wohnort: Bremen
|
| Verfasst am:
Fr 24 Aug, 2007 19:52 |
|
|
Sagen wir es mal so... Du springst täglich mit deimen Pferd über den Zaun. nach dem Urlaub möchtest Du ein anderes Pferd nutzen und das will plötzlich nicht über den Zaun springen und du hast keine Ahnung warum.
Es funktioniert ja nun wieder alles, und es reicht auch die Firewall in nur eine Richtung zu öffnen. Trotz dem Danke für die Tipps!
Gruß
Stefan |
_________________
1x 1781A - 2x 1722 VoIP - 2x VP-100 - 1x 1721 VPN - 1x 1711 VPN - 1x OAP-54 (O-9a) - 1x L-54 dual (O-9a & O-18a) - 1x L-54ag (O-18a) - 3x 1x L-54ag - 1x DSL/I 1611 Office - 1x 1100 Office |
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Fr 24 Aug, 2007 23:46 |
|
|
@backslash
Was mich an der ganzen Geschichte noch wundert bzw. interessiert...
Warum matcht eine ALLOW-Regel negativ und warum überhaupt, wenn ein System nicht antwortet? |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
|
|
|
|
| |
|
|
