Wir haben kürzlich bei einem Kunden von einem anderen Hersteller auf die Sophos XGS87w gewechselt.
Ich müsste kurzzeitig einen Webserver auf Port 80 von extern erreichbar machen, was bis zum Wechsel per DNAT wunderbar funktioniert hat.
Der Webserver ist durchgängig per HTTPS erreichbar, dafür gibt es eine eigene NAT-Regel.
Die Firewall-Regeln erlauben den Zugriff auf das System per HTTP, HTTPS, HTTP-8081 (zum Testen)
Die DNAT-Regel leitet aktuell Port 8081 auf Port 80 am Zielsystem, damit funktioniert es.
Der spannende Teil: Sobald wir extern auf die 80 gehen (NAT-Regel wird natürlich angepasst) funktioniert der Zugriff nicht mehr. Extern kann ich jeden beliebigen Port nutzen, da funktioniert alles was nicht die 80 ist.
Was ich beobachten kann:
- Am Client werden 3 Pakete gesendet (+Retransmissions)
- Im Firewall Protokoll kann ich diese 3 Pakete sehen, die, unter Verwendung der korrekten Firewall- und NAT-Regel, durchgehen
- Am Server kann ich 3 Verbindungen auf Port 80 sehen (bzw. jeden anderen beliebigen definierten Zielport)
- Zurück zum Client kommt NICHTS
Intern funktioniert das alles wunderbar, daher die Vermutung, dass die Firewall (Sophos) im Wege steht.
Wie gesagt läuft es nur nicht wenn ich direkt von Außen auf die 80 gehe, alle anderen Kombinationen laufen.
Habt ihr hierfür Ansätze, was ich noch überprüfen kann?
Added TAGs
[edited by: Erick Jan at 1:19 AM (GMT -7) on 30 May 2023]
Quote