Firewall-Regeln für Server in DMZ

[flexicam]

Ich habe ein Problem mit der Firewall für Server in der DMZ.

Als Grundlage habe ich das Dokument "Einrichten einer DMZ mit öffentlichen IP-Adressen" verwendet.

Szenario:

- LANCOM 1781EF+, FW8.82

- Hosting in Rechenzentrum (Colocation Rack)
- Öffentliches IP-Subnetz vom ISP:
-- IP: aaa.bbb.ccc.160 /28
-- Gateway: aaa.bbb.ccc.161
-- Maske: 255.255.255.240
-- Verwendbare IP-Adressen: aaa.bbb.ccc.162 bis aaa.bbb.ccc.174
- IP LANCOM 1781EF+ aaa.bbb.ccc.162

- Internet an WAN / DSL-1
- Intranet an ETH1 / LAN1, IP-Adresse 192.168.100.254, Netzmaske 255.255.255.0, Netzwerktyp Intranet, VLAN-ID 0, Schnittstelle LAN-1, Adressprüfung Flexibel, Tag 0
- DMZ an ETH2 / LAN2, IP-Adresse aaa.bbb.ccc.162, Netzmaske 255.255.255.240, Netzwerktyp DMZ, VLAN-ID 0, Schnittstelle LAN-2, Adressprüfung Flexibel, Tag 0

- Physikalische Trennung zwischen Intranet und DMZ, d.h. LAN1 und LAN2 sind jeweils mit einem eigenen Switch verbunden
- Datenübertragung zwischen diesem Switch-Port und den anderen unterbinden (Private Mode) ist für ETH1 und ETH2 aktiviert, ETH3 & ETH4 sind deaktiviert (keine Interface-Verwendung / Strom aus)
- Hardware-NAT ist aktiviert

- Das Intranet (Virtuelle Workstations & Server unter XenServer / VDI-in-a-Box) ist nur über VPN zu erreichen
- Das DMZ hat mehrere Server, u.a. Mailserver, NAS, SFTP etc. die vom Internet zugänglich sein sollen
- Das Intranet muß durch die Firewall geschützt sein, da viele Systeme keinen Internet-Zugang haben sollen; die Virtuellen Desktops haben Internet-Zugang nur über Content-Filter und ggf. zusätzliche FW-Regeln
- Die Server in der DMZ sollten vorzugsweise ebenfalls durch die Lancom-Firewall auf Portebene geschützt sein, also z.B. nur Port 22 für den SFTP-Server; alternativ komplettes Durchreichen aller Ports auf IP-Ebene ohne Portfilterung

- DHCP ist nur auf LAN1 / INTRANET aktiviert

- IPv4-Routing-Tabelle IP-Adresse 255.255.255.255, Router INTERNET, Mask. An (nur Intranet)

- VPN (Tunnel zu Büros, Einwahl für Roadwarrior) ist eingerichtet und funktioniert problemlos

Nun das Problem:

Wenn ich vom Internet auf einen Server in der DMZ zugreifen möchte (z.B. via SFTP auf Port 22 des NAS) dann ist dieser bei aktivierter Firewall nicht erreichbar.

Sobald ich die Firewall komplett deaktiviere klappt die Verbindung problemlos, allerdings ist dann auch das Intranet ungesichert.

Ich habe es probiert mit folgender FW-Regel, jedoch ohne Erfolg:
- Name: ALLOW_INTERNET-TO-NAS-SFTP
- Regel ist für Firewall aktiv
- Regel hält die Verbindungszustände nach
- Priorität: 9999
- Aktionen: ACCEPT
- Verbindungsquelle: Verbindungen von allen Stationen
- Verbindungsziel: Verbindungen an folgende Stationen: NAS-EXTERN, IP aaa.bbb.ccc.163 (=externe IP für NAS)
- Protokolle/Quell-Dienste: alle
- Protokolle/Quell-Dienste: SSH (port 22), alternativ auch alle Protokolle, macht jedoch keinen Unterschied

Was mach ich falsch?

Oder ist ein genereller Denkfehler in dem Ansatz?

[backslash]

Hi flexicam

- Protokolle/Quell-Dienste: alle
- Protokolle/Quell-Dienste: SSH (port 22), alternativ auch alle Protokolle, macht jedoch keinen Unterschied

ich hoffe dum meinst in der zweiten Zeile "Ziel-Dienste" und das Ganze ist nur ein Copy & Waste-Fehler...

Was mach ich falsch?

nichts... Das sollte so funktionieren.

Da hilft nur tracen (Ip-Router- und Firewall-Trace) um zu erfahren, was da passiert

Gruß
Backslash

[flexicam]

Ja, zweite Zeile war Ziel... sorry...

I hasse tracing...

[MariusP]

Hi,
Ist das nicht gerade das was die Fehlerbehebung auf Lancoms erst einfach macht?
Ohne die Traces wäre das Lancom wie eine Blackbox und man müsste raten was passiert.
Also gehet hin und tracet euch.
Gruß