Hallo Lancomer,
ich habe nun meinen alten Fortigate Router gegen einen Lancom 1781EF+ eingetauscht.
Nach langem Kampf mit den VPN Tunneln läuft jetzt fast alles wie gewünscht.
Ich habe jetzt nur noch ein Problem mit dem Port-Forwarding bzw. mit der Firewall.
Ich habe einen Mailserver im eigenen Netz und habe ein Port-Forwarding für den Port 25 gesetzt.
Das hat auch wunderbar funktioniert. Anschließend habe ich in der Firewall eine "deny all" Regel erstellt.
Damit der Mailserver aus dem Internet erreichbar wird habe ich noch eine Regel erstellt:
Quelle: Gegenstelle Internet, Ziel: Mailserver, Aktion: accept
Leider greift diese Regel nicht, sondern die "deny all" regel.
Kann man nicht auf Gegenstellen filtern?
Anschließend habe ich eine Regel erstellt:
Quelle: Beliebig, Ziel: Mailserver, Aktion: accept
Das funktioniert, jedoch kann man jetzt auch aus einem VPN-Netz darauf zugreifen.
Habt ihr eine Idee wie ich das einrichten könnte, dass man aus dem Internet auf den Mailserver zugreifen kann aber nicht aus dem VPN Netz? Gibt es eine andere Station außer die Gegenstelle Internet, die das Internet bezeichnet?
Vielen Dank und schönen Gruß
Chris
Problem mit Port-Forwarding und Firewall
Moderator: Lancom-Systems Moderatoren
Re: Problem mit Port-Forwarding und Firewall
Hi chris0602,
Gruß
Backslash
doch und genau dafür ist das auch da... bist du sicher, daß du nich nicht vertippt hast?Quelle: Gegenstelle Internet, Ziel: Mailserver, Aktion: accept
Leider greift diese Regel nicht, sondern die "deny all" regel.
Kann man nicht auf Gegenstellen filtern?
und wo ist das Problem? Wenn jeder aus dem Internet darf, dann sollte doch das eigene VPN kein Problem darstellen...Anschließend habe ich eine Regel erstellt:
Quelle: Beliebig, Ziel: Mailserver, Aktion: accept
Das funktioniert, jedoch kann man jetzt auch aus einem VPN-Netz darauf zugreifen.
Gruß
Backslash
Re: Problem mit Port-Forwarding und Firewall
Hallo Backslash,
danke für die Antwort.
ich habe es jetzt erstmal so gelöst, dass ich eine zusätzliche DENY-Regel für das VPN-Netz und den Mailserver erstellt habe:
Quelle: 192.168.x.0, Ziel: Mailserver, Action: deny
Es würde mich aber dennoch brennend interessieren, warum die Internet zu Mailserverregel nicht funktioniert.
Gruß
Chris
danke für die Antwort.
Ich bin mir ziemlich sicher, dass ich mich nicht vertippt habe. Die Konfiguration habe ich über LANconfig vorgenommen und dort habe ich nichts getippt, sondern aus dem Menü ausgewählt. Im LANmonitor habe ich auch gesehen, dass die "DENY_ALL" Regel angewendet wurde.doch und genau dafür ist das auch da... bist du sicher, daß du nich nicht vertippt hast?
du hast recht, erstmal ist es kein Problem, aber theoretisch könnte man aus dem VPN Netz auf alle Ports des Mailservers zugreifen. z.B. auf Freigaben etc. Ich gehe nicht davon aus, dass mir aus dem fremden VPN Netz jemand etwas böses möchte, aber Vorsicht ist besser als Nachsicht.und wo ist das Problem? Wenn jeder aus dem Internet darf, dann sollte doch das eigene VPN kein Problem darstellen...
ich habe es jetzt erstmal so gelöst, dass ich eine zusätzliche DENY-Regel für das VPN-Netz und den Mailserver erstellt habe:
Quelle: 192.168.x.0, Ziel: Mailserver, Action: deny
Es würde mich aber dennoch brennend interessieren, warum die Internet zu Mailserverregel nicht funktioniert.
Gruß
Chris
Re: Problem mit Port-Forwarding und Firewall
Hi chris0602,
Gruß
Backslash
da solltest du dann mal einen Firewall-Trace machen...Es würde mich aber dennoch brennend interessieren, warum die Internet zu Mailserverregel nicht funktioniert.
Gruß
Backslash
Re: Problem mit Port-Forwarding und Firewall
Ich habe jetzt die Lösung gefunden auch wenn ich es nicht verstehe.
Die "DENY_ALL" Regel hat die Prio 0 und ich hatte die Internet zu Mailserver Regel auf Prio 1 mit einigen anderen Regeln.
Damit war immer die "DENY_ALL" Regel wirksam.
Jetzt habe ich die Internet zu Mailserver Regel auf Prio 3 gestellt (über alle anderen) und jetzt funktioniert es.
Das ist doch sehr seltsam schließlich war vorher die Internet zu Mailserver Regel mit Prio 1 schon vorher über der "DENY_ALL" Regel mit Prio 0. Und eine andere Regel mit Prio 1 die vor der Internet zu Mailserver Regel stand kann es auch nichts zu tun haben, da im LANmonitor stand, dass die "DENY_ALL" Regel verwendet wurde.
Hat jemand dafür eine Erklärung?
Werden die Regeln nicht nach der Reihenfolge abgearbeitet wie sie im LANconfig Programm stehen?
Gruß
Chris
Die "DENY_ALL" Regel hat die Prio 0 und ich hatte die Internet zu Mailserver Regel auf Prio 1 mit einigen anderen Regeln.
Damit war immer die "DENY_ALL" Regel wirksam.
Jetzt habe ich die Internet zu Mailserver Regel auf Prio 3 gestellt (über alle anderen) und jetzt funktioniert es.
Das ist doch sehr seltsam schließlich war vorher die Internet zu Mailserver Regel mit Prio 1 schon vorher über der "DENY_ALL" Regel mit Prio 0. Und eine andere Regel mit Prio 1 die vor der Internet zu Mailserver Regel stand kann es auch nichts zu tun haben, da im LANmonitor stand, dass die "DENY_ALL" Regel verwendet wurde.
Hat jemand dafür eine Erklärung?
Werden die Regeln nicht nach der Reihenfolge abgearbeitet wie sie im LANconfig Programm stehen?
Gruß
Chris
Re: Problem mit Port-Forwarding und Firewall
Hi chris0602,
das kann irgendwie nicht sein, weil die Mail-Server-Regel auch bei einer Prio 0 *über* der Deny-All-Regel steht, denn durch die Angabe des Mail-Servers als Ziel ist sie spezifischer als die Deny-All-Regel...
Es gibt immer nur Proibleme, wenn man eine Deny-All-Regel hat und dann eine "Accept-All"-Regel mit Prio 0 hinzufügen will, da ein "reject" stärker ist als ein "accept", wird in diesem Fall die Deny-All-Regel vor der Accept-All-Regel angelegt.
Die Sortierung der Regeln kannst du die im CLI entweder unter /Status/IP-Router/Filter-List oder über das Kommando "show filter" anzeigen lassen. Diese Liste wird "von oben nach unten" abgearbeitet und der erste Match gilt... (es sei denn, du hättest in der matchenden Regel "weitere Regeln beachtren" angehakt)
Gruß
Backslash
das kann irgendwie nicht sein, weil die Mail-Server-Regel auch bei einer Prio 0 *über* der Deny-All-Regel steht, denn durch die Angabe des Mail-Servers als Ziel ist sie spezifischer als die Deny-All-Regel...
Es gibt immer nur Proibleme, wenn man eine Deny-All-Regel hat und dann eine "Accept-All"-Regel mit Prio 0 hinzufügen will, da ein "reject" stärker ist als ein "accept", wird in diesem Fall die Deny-All-Regel vor der Accept-All-Regel angelegt.
Die Sortierung der Regeln kannst du die im CLI entweder unter /Status/IP-Router/Filter-List oder über das Kommando "show filter" anzeigen lassen. Diese Liste wird "von oben nach unten" abgearbeitet und der erste Match gilt... (es sei denn, du hättest in der matchenden Regel "weitere Regeln beachtren" angehakt)
Gruß
Backslash
Re: Problem mit Port-Forwarding und Firewall
Hallo Backslash,
danke für die Erläuterungen über das abarbeiten der Firewallregeln.
Ich kann mir auch nicht erklären warum es auf Prio 1 nicht funktioniert hat aber jetzt läuft es ja wie gewünscht auf Prio 3.
Das Häckchen "weitere Regeln beachten" ist aber definitiv nicht gesetzt gewesen.
Vielen dank und einen schönen Gruß
Chris
danke für die Erläuterungen über das abarbeiten der Firewallregeln.
Ich kann mir auch nicht erklären warum es auf Prio 1 nicht funktioniert hat aber jetzt läuft es ja wie gewünscht auf Prio 3.
Das Häckchen "weitere Regeln beachten" ist aber definitiv nicht gesetzt gewesen.
Vielen dank und einen schönen Gruß
Chris