Hallo Leute,
ich komme meinem Ziel immer naeher. Nun habe ich eine Frage. Wie stelle ich die Firewall ein wenn ich ein Portforwarding auf einen E-mail Server mache?
Die IP ist 192.168.110.10 Nun moechte ich dass der Port 25 zwar weitergeleitet wird aber nur fuer eine Hand voll Adressen verwendet werden darf. Wir haben einen Provider der die E-Mails grob filtert bevor die alle in die Firma kommen moechte ich nur die Adressen der Rechner im Internet durchlassen.
Vielen Dank fuer Die Unterstuetzung.
MFG
Starmanager
Email Server von extern ueber Portforwarding absichern
Moderator: Lancom-Systems Moderatoren
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Hi!
Das erreichst du mit einer Firewallregel:
Aktionen: Übertragen
Verbindungs-Quelle: hier die zulässigen IP's (oder Bereiche) eintragen
Verbindungs-Ziel: IP 192.168.110.10, oder den Stationsname
Protokolle/Ziel-Dienste: TCP, Port 25
Das erreichst du mit einer Firewallregel:
Aktionen: Übertragen
Verbindungs-Quelle: hier die zulässigen IP's (oder Bereiche) eintragen
Verbindungs-Ziel: IP 192.168.110.10, oder den Stationsname
Protokolle/Ziel-Dienste: TCP, Port 25
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
@Jirka
Vielen Dank für den wichtigen Hinweis! (Sorry, dass man immer in mehrere Richtungen denken muss!)
@Starmanager
Ja, der Hinweis von Jirka ist natürlich auch von nicht zu verschweigender Bedeutung.
Erzähle uns diesbezüglich etwas!
Vielen Dank für den wichtigen Hinweis! (Sorry, dass man immer in mehrere Richtungen denken muss!)
@Starmanager
Ja, der Hinweis von Jirka ist natürlich auch von nicht zu verschweigender Bedeutung.
Erzähle uns diesbezüglich etwas!
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Hi!
Du kannst aber auch alles so lassen, machst dir aber zwei Regeln...
Eine ALLOW-Regel:
So, wie ichs schon weiter oben beschrieben habe.
Eine DENY-(Verbiete)-Regel:
Hier musst du nun alle Internet-IP-Bereiche eintragen und auf Port 25(TCP) verbieten. Am besten 0.0.0.0-255.255.255.254, wobei da dann auch die privaten Adressbereiche mit eingeschlossen sind.
Siehe auch Wikipedia IP-Adresse.
Und vorallem, die Firewall im Router auf aktiv setzen.
Aber nur mit NAT.Starmanager hat geschrieben:Von Aussen ist doch standardmaessig alles Dicht oder taeusche ich mich da?
Eine Deny-All-Strategie ist auf alle Fälle von Vorteil und macht im Nachhinein weniger Arbeit... Erstmal alles schließen und dann bei Bedarf öffnen.Ich habe nur die Standard Config drin. Muss man die Deny all Regel denn von Wan und Lan einrichten?
Du kannst aber auch alles so lassen, machst dir aber zwei Regeln...
Eine ALLOW-Regel:
So, wie ichs schon weiter oben beschrieben habe.
Eine DENY-(Verbiete)-Regel:
Hier musst du nun alle Internet-IP-Bereiche eintragen und auf Port 25(TCP) verbieten. Am besten 0.0.0.0-255.255.255.254, wobei da dann auch die privaten Adressbereiche mit eingeschlossen sind.
Siehe auch Wikipedia IP-Adresse.
Und vorallem, die Firewall im Router auf aktiv setzen.
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Ich habe nun alles eingerichtet und es hat leider nicht geklappt. Wie ist denn nun genau die Port Forwarding Firewall Regel die dazu passt wenn man die Deny all Regel hat.
Ich habe ein Portforwarding eingerichtet Port 7800 mit UDP auf Port 7800 auf eine IP Adresse 192.168.100.10. Ich sehe keine Fehlermeldung im Firewall Trace und keinerlei Verkehr zum Server. Wo kann ich noch weiterforschen?
Eventuell ist es ja wichtig da ich 2 Zugaenge habe. Der eine ist eine 20Mbit Leitung und der andere ist ein DSL Zugang.
Der 20Mbit Zugang ist der den wir fuer den Port forwarding verwenden.
MFG
Starmanager
Ich habe ein Portforwarding eingerichtet Port 7800 mit UDP auf Port 7800 auf eine IP Adresse 192.168.100.10. Ich sehe keine Fehlermeldung im Firewall Trace und keinerlei Verkehr zum Server. Wo kann ich noch weiterforschen?
Eventuell ist es ja wichtig da ich 2 Zugaenge habe. Der eine ist eine 20Mbit Leitung und der andere ist ein DSL Zugang.
Der 20Mbit Zugang ist der den wir fuer den Port forwarding verwenden.
MFG
Starmanager
Jetzt verwirrst du mich (uns ?) aber...
Hast du eventuell noch fixe IP-Bereiche?
Wie sind die 20-MBit-Leitung und DSL aufgegliedert? ...oder gibt es eine Backup-Leitung?
Ich finde gerade meine Glaskugel nicht, sonst hätte ich eventuell ein Antwort...
Lass uns nicht im Dunkeln stehen!
UDP? Port 7800?Starmanager hat geschrieben:Ich habe ein Portforwarding eingerichtet Port 7800 mit UDP auf Port 7800 auf eine IP Adresse 192.168.100.10.
Das ist schon wichtig, wo die Pakete reinrommen sollenEventuell ist es ja wichtig da ich 2 Zugaenge habe. Der eine ist eine 20Mbit Leitung und der andere ist ein DSL Zugang.
Hast du eventuell noch fixe IP-Bereiche?
Wie sind die 20-MBit-Leitung und DSL aufgegliedert? ...oder gibt es eine Backup-Leitung?
Ich finde gerade meine Glaskugel nicht, sonst hätte ich eventuell ein Antwort...
Lass uns nicht im Dunkeln stehen!
Gruß
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Hallo Jens,
vielen Dank fuer Deine Antwort. Es handelt sich dabei um 2 fixe IP Adressen. Die eine ist fuer den staendigen Verkehr der VPNs zustaendig die ADSL Leitung fuer den ausgehenden Verkehr wie http, ftp und https. Alles andere ist ja zu damit die Jungs und Maedels hier nicht wie wild das Internet umgraben.
Ich habe ein load Balancing mit den Routing Tags erstellt
Internet= Routing Tag 1
ADSL= Routing Tag 2
und natuerlich
Loadbalancing= Routing Tag 0.
Nun moechte ich dass die Externen Mitarbeiter mit unserer Port 7800 VPN Loesung ueber die den Internet Zugang hereinkommen und zwar braucht es nur denUDP Port 7800. Der Rechner steht im Netzwerk Intranet das den Routing Tag 4 hat.
Gleichzeitig habe ich das E-mail das per SMTP auf Port 25 hereinkommen soll. Das ist eigentlich schon alles. Der Rechner steht in der DMZ und diese hat noch den Routing Tag 4
Die Netzwerke Inhouse haben die Routing Tags 4,5,6 und sind mit ARF gesplittet damit keiner einen Zugriff aus den Netzen Technet und Telefon auf das Intranet hat. Ich hoffe die Verwirrung ist nicht zu gross.
Gruss
Klaus
vielen Dank fuer Deine Antwort. Es handelt sich dabei um 2 fixe IP Adressen. Die eine ist fuer den staendigen Verkehr der VPNs zustaendig die ADSL Leitung fuer den ausgehenden Verkehr wie http, ftp und https. Alles andere ist ja zu damit die Jungs und Maedels hier nicht wie wild das Internet umgraben.
Ich habe ein load Balancing mit den Routing Tags erstellt
Internet= Routing Tag 1
ADSL= Routing Tag 2
und natuerlich
Loadbalancing= Routing Tag 0.
Nun moechte ich dass die Externen Mitarbeiter mit unserer Port 7800 VPN Loesung ueber die den Internet Zugang hereinkommen und zwar braucht es nur denUDP Port 7800. Der Rechner steht im Netzwerk Intranet das den Routing Tag 4 hat.
Gleichzeitig habe ich das E-mail das per SMTP auf Port 25 hereinkommen soll. Das ist eigentlich schon alles. Der Rechner steht in der DMZ und diese hat noch den Routing Tag 4
Die Netzwerke Inhouse haben die Routing Tags 4,5,6 und sind mit ARF gesplittet damit keiner einen Zugriff aus den Netzen Technet und Telefon auf das Intranet hat. Ich hoffe die Verwirrung ist nicht zu gross.
Gruss
Klaus
Hi Starmanager
Gruß
Backslash
Wenn die ARF-Netze getaggt sind, dan mußt du entweder die Gegenstellen, über die die Pakete reinkommen sollen ebenfalls taggen (unter Kommuniktation -> Gegenstellen -> WAN-Tag-Tabelle für die Internet-Verbindung das Schnittstellen-Tag 4 vergeben) oder die einkommenden Pakete selbst über eine Firewallregel passend taggen:Nun moechte ich dass die Externen Mitarbeiter mit unserer Port 7800 VPN Loesung ueber die den Internet Zugang hereinkommen und zwar braucht es nur denUDP Port 7800. Der Rechner steht im Netzwerk Intranet das den Routing Tag 4 hat.
Code: Alles auswählen
Routing-Tag: 4
Aktion: übertragen
Quelle: alle Stationen
Ziel: IP des jeweiligen Servers
Dienste: UDP, Zielport 7800 bzw. TCP, Zielport 25Backslash
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
Leider klappt das nicht. Ich habe folgende Traces wenn ich Tag 1 in der Firewall Regel verwende,
[Firewall] 2009/12/25 14:54:47,010
Packet matched rule ALLOW-NETMOTION-IN
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 92, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
[IP-Router] 2009/12/25 14:54:47,010
IP-Router Rx (INTERNET, RtgTag: 1):
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 92, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Network unreachable (no route) => Discard
Bei verwendung des Tags 4 erhalte ich folgende Meldungen
[Firewall] 2009/12/25 15:01:07,160
Packet matched rule intruder detection
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 340, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Filter info: packet received from invalid interface INTERNET
send SNMP trap
packet dropped
[IP-Router] 2009/12/25 15:01:07,160
IP-Router Rx (INTERNET, RtgTag: 4):
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 340, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Filter (Port)
Ich verzwiefle langsam. Der Rechner 192.168.100.5 ist im VLAN 50 erreichbar. Das Netzwerk hat den Tag 4. Alle Rechner koennen aufs Internet aber von Aussen kommt nichts ueber den Router
Dir Firmware habe ich auch auf den letzten Stand gebracht,
DEVICE: LANCOM 7111 VPN
HW-RELEASE: C
VERSION: 7.70.0099Rel / 12.08.2009
Vielen Dank fuer die Hilfe. Ich wuensche Euch allen noch gesegnete Feiertage.
MFG
Starmanager
[Firewall] 2009/12/25 14:54:47,010
Packet matched rule ALLOW-NETMOTION-IN
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 92, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
[IP-Router] 2009/12/25 14:54:47,010
IP-Router Rx (INTERNET, RtgTag: 1):
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 92, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Network unreachable (no route) => Discard
Bei verwendung des Tags 4 erhalte ich folgende Meldungen
[Firewall] 2009/12/25 15:01:07,160
Packet matched rule intruder detection
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 340, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Filter info: packet received from invalid interface INTERNET
send SNMP trap
packet dropped
[IP-Router] 2009/12/25 15:01:07,160
IP-Router Rx (INTERNET, RtgTag: 4):
DstIP: 192.168.100.5, SrcIP: 193.247.250.1, Len: 340, DSCP/TOS: 0x00
Prot.: UDP (17), DstPort: 5008, SrcPort: 29752
Filter (Port)
Ich verzwiefle langsam. Der Rechner 192.168.100.5 ist im VLAN 50 erreichbar. Das Netzwerk hat den Tag 4. Alle Rechner koennen aufs Internet aber von Aussen kommt nichts ueber den Router
Dir Firmware habe ich auch auf den letzten Stand gebracht,
DEVICE: LANCOM 7111 VPN
HW-RELEASE: C
VERSION: 7.70.0099Rel / 12.08.2009
Vielen Dank fuer die Hilfe. Ich wuensche Euch allen noch gesegnete Feiertage.
MFG
Starmanager
-
Starmanager
- Beiträge: 59
- Registriert: 19 Mär 2009, 13:19
So nun habe ich des Raetsels Loesung bekommen.
Die Loesung ist unter "Kommunikation - Gegenstellen -> WAN-TAG Tabelle" zu finden. Den Eintrag auf 'Manuell' setzen. Danach auch den Tag in der Firewall auf 1 und alles klappt.
Herzlichen Dank an alle die mir hier geholfen haben und auch an die Mitarbeiter des Supportes von Lancom die sogar zwischen den Jahren Hilfe leisten.
MFG
Starmanager
Die Loesung ist unter "Kommunikation - Gegenstellen -> WAN-TAG Tabelle" zu finden. Den Eintrag auf 'Manuell' setzen. Danach auch den Tag in der Firewall auf 1 und alles klappt.
Herzlichen Dank an alle die mir hier geholfen haben und auch an die Mitarbeiter des Supportes von Lancom die sogar zwischen den Jahren Hilfe leisten.
MFG
Starmanager
Hi Starmanager,
du machst mich richtig neidisch.
Das habe ich so leider nicht hinbekommen.
Habe hier http://www.lancom-forum.de/topic,9228,- ... rding.html schon mal um Hilfe gebeten, aber wahrscheinlich in der falschen Form.
Als Anfänger ist es schwierig die richtigen Fragen zu stellen, weil einem das Vokabular fehlt.
Gruß, Horst
du machst mich richtig neidisch.
Das habe ich so leider nicht hinbekommen.
Habe hier http://www.lancom-forum.de/topic,9228,- ... rding.html schon mal um Hilfe gebeten, aber wahrscheinlich in der falschen Form.
Als Anfänger ist es schwierig die richtigen Fragen zu stellen, weil einem das Vokabular fehlt.
Gruß, Horst