Hallo,
Unsere Sophos UTM9 hat Schwierigkeiten mit einer DNAT Regel...
Es soll Port 8086 eines Uplink-Interfaces weitergeleitet werden zu Port 8086 auf einem internen Server.
Das Uplink-Interface ist ein PPPoE hinter ZyXel Router/Modem von Telekom mit statischer IP.
Konfiguration:
Als Datenverkehrsziel habe ich sowohl die Adresse als auch das Netzwerk des External2-Interfaces probiert.
Automatische Firewallregel ist angehakt, zusätzlich habe ich noch eine manuelle Regel hinzugefügt:
Wenn ich von einem Host im Internet versuche mich auf Port 8086 zu verbinden:
telnet XYZ 80
telnet: Unable to connect to remote host: Connection timed out
nmap -sT -p 8060 XYZ
Nmap scan report for XYZ
Host is up (0.039s latency).
PORT STATE SERVICE
8086/tcp filtered d-s-n
Das "Init-Paket" wird im Firewall-Log angezeigt, danach erscheint kein Traffic von/zur externen IP mehr:
Auf dem Zielhost (10.10.10.40) wird per iptables-regel alles an TCP/8086 in den Kernel-Log geschrieben. Verbindet sich ein Host aus dem LAN wird das korrekt protokolliert, vom Internet-Host aus wird nichts protokolliert.
Zwischen Sophos und Ziel-Host liegt nur ein L2-Switch (es kann also nichts abhanden kommen):
> ping -t 1 10.10.10.40
PING 10.10.10.40 (10.10.10.40) 56(84) bytes of data.
64 bytes from 10.10.10.40: icmp_seq=1 ttl=64 time=0.268 ms
64 bytes from 10.10.10.40: icmp_seq=2 ttl=64 time=0.155 ms
Was macht die Sophos also mit dem Protokollierten "Init"-Paket? Es wird ja korrekt protokolliert im Firewall-Log, auf dem Ziel-Host kommt es nicht an.
Der ARP-Cache Eintrag auf der Sophos ist korrekt, die Systeme können sich an-pingen, und der HTTP-Server auf dem Zielhost ist auch über einen virtuellen WebServer in der Sophos von Außen erreichbar (über das selbe Interface). Ich habe den Port ebenfalls zum Testen umgestellt von 8086 auf 60606, ohne Erfolg.
Andere DNAT-Regeln auf der Sophos funktionieren einwandfrei. Wo liegt der Fehler?
This thread was automatically locked due to age.