UF-xxx Portfreigaben von internem Gerät zu nur einer externen IP

[XJ8]

Hallo Zusammen,

für die hier eingestellte Frage meine ich schon mal einen Lösungsansatz gesehen zu haben, finde den aber nicht wieder .

Also, ich möchte von einem internen Gerät neben den vererbten Freigaben zwei weitere benutzer definierte Dienste nur für dieses Gerät einfügen.
Soweit ok, wenn das zu "any" im Internet gehen kann.
Allerdings sollen diese beiden Freigaben nach "draußen" nur zu jeweils einer externen IP funktionieren.
Mein Ansatz war zunächst, einen weiteren Internethost anzulegen und die beiden Benutzer definierten Ports nur dorthin zu gestatten.
Allerdings finde ich keinen Weg diesen Internethosts eine Adresse zuzuweisen.

Kann mir da jemand einen Weg weisen wie man das angeht?

Vielen Dank und eine schöne, kurze Woche

[lna]

Hi,
kannst du bitte mit Adressen beschreiben was du vor hast?

Verstanden habe ich, dass du einen service per dnat veröffentlichen möchtest, dieser aber nur von wenigen Hosts im Internet erreicht werden darf?

dnat.jpg

[XJ8]

5.png

1.png

14.png

Lukas, danke für Deine Mühe.
Ich will mal versuchen es anhand meiner "Zeichnung" zu erklären was ich vorhabe:

Im obersten Bild ist das Netz grob dargestellt. Die grünen Linien sollen die verschiedenen Verbindungen des internen Objektes zeigen.
Darunter die jeweiligen eingetragenen Verbindungen.
Bei den externen IPs habe ich mich an deinen Beispiel IPs orientiert.
Die oberste grüne Linie gehört zur Internetverbindung, sie erbt alles von der Definition des LAN an eth2 und oben drüber vier weitere
selbst definierte Dienste die nur dieses Objekt benötigt und die auch kein spezifisches Ziel haben.

Die zweite und dritte grüne Linie symbolisiert jeweils einen weiteren selbst definierten Dienst der jedoch vom selben internen Objekt nur
zu den speziellen externen Hosts 3.3.3.3 bzw 2.2.2.2 gelangen sollen, aber nicht z. B. zu 5.5.5.5 oder x.x.x.x

Die beiden externen Host Objekte habe ich beim erstellen an das Interface "Internet" angebunden.

Es geht hier also nicht um eine inbound Verbindung.
Die existiert zwar auch, aber die ist im zweite Bild in der Zeile vier definiert.

Hoffe, dass ich nun eine verständlichere Beschreibung geliefert habe

Ist dieses Vorgehen schlüssig oder bin ich da in einer Sackgasse gelandet ?

Viele Grüße und nochmals vielen Dank

kl

[lna]

Soweit sieht das richtig aus bis auf eine Sache.
In Bild 2 und 3 verwendest du denselben Service.
EMA-3003-T/U wenn du den einmal ausgehend in das gesamte Internet erlaubst, wird das durch die Einzelfreigabe nach 3.3.3.3 nicht wieder eingeschränkt.

In Bild 2 raus nehmen (dann fällt das in den impliziten default drop) oder in bild 2 auf "verboten" stellen, dann wird das ausgehend für das gesamte internet verboten, aber durch die granularere Regel zu 3.3.3.3 wieder für diese Verbindung überschrieben.

[XJ8]

Soweit sieht das richtig aus bis auf eine Sache.
In Bild 2 und 3 verwendest du denselben Service.
EMA-3003-T/U wenn du den einmal ausgehend in das gesamte Internet erlaubst, wird das durch die Einzelfreigabe nach 3.3.3.3 nicht wieder eingeschränkt.

In Bild 2 raus nehmen (dann fällt das in den impliziten default drop) oder in bild 2 auf "verboten" stellen, dann wird das ausgehend für das gesamte internet verboten, aber durch die granularere Regel zu 3.3.3.3 wieder für diese Verbindung überschrieben.

Ja, das mit den überlappenden Ports hatte ich vergessen in der Grafik zu korrigieren, in der realen Welt sind das alles unterschiedliche Dienste..

Danke nochmals