Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 38 subscribers
  • Views 8650 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Portweiterleitung / DNAT

Loko
Hi,
ich versuche derzeit auf einer UTM9 Firewall eine Portweiterleitung zu erstellen.
Die Firewall ist direkt mit dem Internet verbunden.
Die Weiterleitung betrifft den SSH Dienst.
Der Server steht im internen Netz.
Um Portprobleme auf den SSH Port zu vermeinden, habe ich den SSH Dienst auf dem Server auf den Port 8001 gelegt.

Nun lege ich ein DNAT nach dem folgenden Muster an.
Matching Condition
traffic from: ANY
Using service: 8001/tcp
Going to: External(WAN)(Address)

Action
Change the destination to: 192.168.1.120/internal Server
And the service to: 8001/tcp

Automatic Firewall rule und Initial packets are logged habe ich nicht aktiviert
Dafür habe ich eine eigene extra Firewall Regel nach dem folgenden Schema angelegt.
Source: ANY
Services: 8001/tcp
Destinations: External(WAN)(Address)
Action: Allow

Masquerading:
Internal (Network) -> External (WAN)

So, wenn ich nun in Putty die öffentliche IP der Astaro und den Port 8001 angebe, dann passiert gar nichts. Ich bekomme keinen Loginschirm aber auch keine Timeout- oder Disconnect-Meldung.

Der interne Server hat als Gateway das interne Interface der Firewall eingetragen. 

Hat wer eine Idee, was ich falsch mache?
Besten Dank für Anregungen.

Grüße


This thread was automatically locked due to age.
Parents
  • 0
    Hi Loko,

    hast du getestet, ob es mit dem AutoPaketFilter Haken funktioniert? Ich denke, deine manuelle Regel ist falsch. Ich meine, es müsste:
    Source: Internet
    Destination: 192.168.1.120/internal Server
    Service: 8001
    sein. 

    Die Reihenfolge in der die Dinge verarbeitet werden ist DNAT, Proxy (trifft hier nicht zu), manuelle Filterregeln. Dein DNAT biegt das Ziel zuerst auf deinen internen Server und dafür gibts dann keine Regel.

    Probier mal und gib bitte Feedback.

    Viele Grüße
    Manfred
Reply
  • 0
    Hi Loko,

    hast du getestet, ob es mit dem AutoPaketFilter Haken funktioniert? Ich denke, deine manuelle Regel ist falsch. Ich meine, es müsste:
    Source: Internet
    Destination: 192.168.1.120/internal Server
    Service: 8001
    sein. 

    Die Reihenfolge in der die Dinge verarbeitet werden ist DNAT, Proxy (trifft hier nicht zu), manuelle Filterregeln. Dein DNAT biegt das Ziel zuerst auf deinen internen Server und dafür gibts dann keine Regel.

    Probier mal und gib bitte Feedback.

    Viele Grüße
    Manfred
Children
  • 0 in reply to Hallowach2
    Hi Manfred,

    Danke für Deine schnelle Antwort.

    Also ich habe nun in der DNAT Regel noch "Automatic Firewall rule" angeschaltet und auch mal die manuelle Firewall Regel angepasst.
    Das Ergebnis ist das Selbe, ich bekomme keine Verbindung zum internen SSH Server.
    Der Server ist im internen Netz über den Port erreichbar.

    Was mich ein wenig stutzig macht, ist dass ich im LiveLog nicht sehe, dass die DNAT Regel greift. Ich meine mich erinnern zu können, dass das in der Version 7 bzw 8 im livelog der Firewall angezeigt wurde. Für UTM kann ich das nicht sagen.

    Grüße
  • 0 in reply to Loko


    Nun lege ich ein DNAT nach dem folgenden Muster an.
    Matching Condition
    traffic from: ANY
    Using service: 8001/tcp
    Going to: External(WAN)(Address)

    Action
    Change the destination to: 192.168.1.120/internal Server
    And the service to: 8001/tcp


    Hm - eine weitere gute Sitte ist, wenn du ein Feld in einer DNAT Regel nicht veränderst (bei dir der Port) soll man das Zielfeld leer lassen.

    Viele Grüße
    Manfred
  • 0 in reply to Hallowach2
    ich habe nun die DNAT Regel entsprechend angepasst. Einmal deaktiviert und wieder aktiviert.
    Jedoch ohne positives Ergebnis :-(
Unfiltered HTML