Hallo zusammen. Ich habe ein Problem an dem ich nun schon seit ca. 14 Tagen sitze.
Folgendes Szenario:
Ich habe ein 1621 AnnexB (Intranet-IP 192.168.178.4) bei mir zu hause im Einsatz. Ich betreibe ein NAS in meinem Netz, auf dem ein Web-Server läuft mit der IP-Adresse 192.168.178.2. Zusätzlich habe ich eine DYNDNS-Adresse. In der Firewall gehe ich nach dem DENY-ALL-Prinzip, heißt also das nur der Datenverkehr zugelassen wird, denn ich auch explizit erlaube.
Nun möchte ich den Webserver meines NAS über die DYNDNS-Adresse und den Port 8080 im Intermet erreichbar machen. Bei der Konfiguration bin ich folgendermaßen vorgegangen:
1. Einrichtung eines Portfarwading von der Internet-Gegenstelle auf die interne IP-Adresse und den entsprechenden Port. Funktioniert auch soweit, wenn die DENY-ALL-Regel in der Firewall nicht aktiv ist.
2. Dann habe ich eine Regel in der Firewall angelegt, die es erlaubt, aus beliebigen Quellen auf das Ziel 192.168.178.2, also meinem Webserver, auf den Port 80 zu zugreifen. Die Prio der Regeln steht bei allen auf 0, wobei die DENY-ALL-Regel ganz unten auf der Liste steht und deshalb zuletzt "zuschlagen" müsste.
Problem bei der Sache ist nur, das die Regel die den Zurgriff auf den Webserver regelt nicht greift, sondern immer nur die DENY-ALL-Regel zu schlägt. Ich habe das schon getraced bzw. im Lan-Monitor beobachtet, nur kann ich mir das überhaupt nicht erklären.
Ich bin mit meinem Latein total am Ende. Selbst die Unterlagen aus den Lancom-NC-Workshops beschreiben genau die Vorgehensweise die ich eingeschlagen habe. Außerdem habe ich ähnliche Szenarien schon in der Firma in einem deutlich komplizierteren und größeren Umfeld umgesetzt. Selbst meine anderen Kollegen wissen keinen Rat. Vielleicht hat hier ja einer eine Idee.
Probleme mit Port-Forwarding und Firewall
Moderator: Lancom-Systems Moderatoren
Hi martenn
geh doch mal per Telnet auf das Gerät dun gib dort show filter ein. Dann werden dir alle aktiven Regeln aufgelistet
Gruß
Backslash
mehr mußt du auch nicht machen... Ich hoffe nur, daß du *keine* Quellports in der Regel angegeben hast.2. Dann habe ich eine Regel in der Firewall angelegt, die es erlaubt, aus beliebigen Quellen auf das Ziel 192.168.178.2, also meinem Webserver, auf den Port 80 zu zugreifen. Die Prio der Regeln steht bei allen auf 0, wobei die DENY-ALL-Regel ganz unten auf der Liste steht und deshalb zuletzt "zuschlagen" müsste.
geh doch mal per Telnet auf das Gerät dun gib dort show filter ein. Dann werden dir alle aktiven Regeln aufgelistet
Gruß
Backslash
hallo backslash
ich habe mir mit show die aktiven regeln angeschaut und da taucht wirklich meine regel auf, die den internen webserver erlaubt. passt also soweit alles.
natürlich habe ich in der regel die quellports nicht beschränkt, sondern nur die zielports
so langsam schleicht sich mir so das gefühl ein, das entweder der router eine macke hat oder die firmwareversion die ich benutze buggy ist. ich benutze die 7.82RU6, das ist die letzte die für diesen router bereitgestellt wurde
ich habe mir mit show die aktiven regeln angeschaut und da taucht wirklich meine regel auf, die den internen webserver erlaubt. passt also soweit alles.
natürlich habe ich in der regel die quellports nicht beschränkt, sondern nur die zielports
so langsam schleicht sich mir so das gefühl ein, das entweder der router eine macke hat oder die firmwareversion die ich benutze buggy ist. ich benutze die 7.82RU6, das ist die letzte die für diesen router bereitgestellt wurde
so problem gelöst. 
irgendwie war in der firewall das aktionsobjekt "accept" nicht mehr ganz original, denn dort war der haken nur bei gesendeten paketen aktiviert. somit konnten meine portweiterleitungen und firewall-regeln, welche sich auf empfangene pakete beziehen, nicht greifen. hab das nun nach einem tipp vom support geändert und siehe da es geht. keine ahnung warum das aktionsobjelt manipuliert wurde, ich war es jedenfalls nicht bewusst
irgendwie war in der firewall das aktionsobjekt "accept" nicht mehr ganz original, denn dort war der haken nur bei gesendeten paketen aktiviert. somit konnten meine portweiterleitungen und firewall-regeln, welche sich auf empfangene pakete beziehen, nicht greifen. hab das nun nach einem tipp vom support geändert und siehe da es geht. keine ahnung warum das aktionsobjelt manipuliert wurde, ich war es jedenfalls nicht bewusst