1781VAW - Probleme mit Firewall & Portweiterleitung

[mhddw]

Moin,

wir haben einen Lancom 1781VAW stehen, dessen Firewall mit der Deny-all-Strategie konfiguriert ist.

Für den Exchange soll nun Port 25 eingehend auf unseren Server weitergeleitet werden.
Dabei sollen aber nur Verbindungen von 5 öffentlichen IP-Adressen zugelassen werden, alles Andere von der Firewall geblockt werden.

Ich habe in der Firewall eine Regel erstellt, die als Quelle diese IP-Adressen enthält und für den Zielport 25 greifen soll.
Gleichzeitig habe ich die Portweiterleitung für den Port 25 eingerichtet.

Leider kommen trotzdem alle Verbindungen, auch von "falschen" IPs durch.

Ich hatte auch schon versucht, die Portweiterleitung nur für bestimmte WAN-Adressen zu konfigurieren (gleichzeitig in der Firewall Port 25 offen), dann bekomme ich von außen aber keine Verbindung mehr (auch nicht von den "richtigen" IPs).

Hat jemand eine Idee, wie das Problem zu lösen ist? Greift die Firewall bei Portweiterleitungen nicht?

Vielen Dank schon einmal im Voraus!

[Dr.Einstein]

Dann ist deine Deny All Regel keine richtige Deny All Regel. Es könnte zB sein, dass du alles von der Default Route geblockt hast, die Portweiterleitung aber über einen Anschluss reinkommt, der vielleicht über Routing Tag 1 reinkommt. Also hier nochmal genau schauen, ob die Deny Regel wirklich alles blockiert.

Alternativ könnte aufgrund einer Priorität eine andere Regel den Zugriff ebenfalls ermöglich, z.B. quelle/ziel beliebig, Zielport 25, mit dem Hintergedanken, dass alle Mitarbeiter abgehend Mailen können.

Gruß Dr.Einstein

[mhddw]

Hallo Dr. Einstein,

vielen Dank für die schnelle Antwort.
Ich konnte die neue Config leider erst heute ausprobieren, daher die späte Antwort.

Zur generellen Config:
Wir bekommen zwei Leitungen rein, die laut Tabelle mit Routing Tag 1 und 2 gekennzeichnet sind.
Alle Firewall-Regeln laufen über Tag 0 und blocken dort auch (gerade getestet mit FTP).
Um sicher zu gehen, habe ich die Deny-all-Regel auf die Tags 1 und 2 ausgeweitet, Besserung bringt das leider auch nicht.

Ich komme noch immer von allen IP-Adressen durch.

Hier noch einmal die genaue Regel:
Quelle: IP X
Ziel: Localhost, Port 25 (TCP&UDP)

Gleichzeitig ist noch eine Regel für Port 25 aktiv, sonst taucht der Port nirgendwo mehr auf:
Quelle: Localhost
Ziel: Any, Port 25 (TCP&UDP)

Auch als die zweite Regel noch nicht aktiv war, waren alle eingehenden Verbindungen möglich.

Was könnte ich noch tun?

[Dr.Einstein]

Dein komplettes Firewall-Regelwerk posten. Irgendwo muss sich was beißen.

Zur Not machst du eine Regel mit der obersten Priorität (sehr hohe Zahl):
Quelle: beliebig; Ziel: beliebig; QuellDienst: beliebig; ZielDienst: 25 TCP/UDP
Aktion: DROP
Routing-Tag: 0
QoS: leer

Mindestens damit sollte alles mit Port 25 unterdrückt sein, sowohl ankommend als auch abgehend.

[Bernie137]

Hi,
Ich denke bei Quelle bzw. Ziel bist mit "Localhost" aufm Holzweg. Verwende mal die konkreten IP-Ranges.

Vg Bernie

[mhddw]

Moin,

Hier das Regelwerk.



Objekt Exchange ist die interne Server-IP, Domain enthält die erlaubten IPs.

Mit der empfohlenen Block-Regel mit Prio 99 war tatsächlich die Verbindung zu.
Wenn ich die Allow_Exchange und die Allow_Send_Mail-Regel ausschalte, komme ich trotzdem noch durch.

Ich habe gerade noch ein bisschen getestet und es scheint so zu sein, dass QUELLE=LOCALNET bzw. %L das Problem war.
Habe in allen Regeln jetzt ANY eingetragen und scheinbar funktioniert es...

Danke für die Hilfe!