DNAT und PAT für SSHD hinter efw

  • Servus Leute,


    hab ein seltsames Problem:
    - Habe hinter der efw (GRÜN) einen SSHD der aus dem Internet erreichbar sein soll.
    - Da ich die efw selbst auch per SSH von aussen erreichen möchte, dachte ich auch ein PAT zu machen


    Deshalb habe ich eine DNAT regel erstellt die da lautet:
    Ziel: Uplink main (Es gibt nur einen (ROT) und das ist ein PPPoE Interface mit fester IP á la Telekom Business)
    Dienst: TCP/1022
    Richtlinie: Gestatten ohne IPS
    Übersetze zu: InterneIP : 22
    Zugriff eingeschränkt auf eine bestimmte IP.
    Logging für diese Regel ist an.


    Im Log sehe ich:
    PORTFWACCESS:ACCEPT:2 TCP (ppp0) externeIP:12471 -> InterneIP:22 (br0)
    MAC= LEN=48 TOS=00 PREC=0x00 TTL=120 ID=29721 DF SEQ=1237621265 ACK=0 WINDOW=8192 SYN URGP=0


    Das heisst doch die Verbindung ist erlaubt, richtig?


    Fragen, die mich beschäftigen:
    - Warum funktioniert mein Putty von aussen dann nicht?
    -- Vermutung: Das System mit dem SSHD hat den falschen DefaultGateway. Sprich: Nicht die efw. Kann ich aber nicht prüfen, da ich keinen Zugriff auf das Ding hab
    - Ist mit der DNAT Regel, die Paketfilterregel gleich mit erstellt?
    - Wie erstellt man eine Paketfitlerregel ohne NAT? Finde keinen logischen Eintrag dazu.
    - Funzt die efw nach den Regeln DNAT, Paketfilter, SRC wie zB eine Juniper oder CISCO?


    Danke und Grüße
    ItalianStallion

  • Hi nochmal,


    bin irgendwie davon ausgegangen, dass es ne einfache Sache ist und ich nur den Wald vor lauter Bäumen nicht sehe.
    Vllt kann mir wenigstens jemand sagen ob es evtl. damit zu tun hat, dass die efw selbst auf dem externen Interface (RED) auf 22 lauscht?
    Und: Ob der Log-Eintrag tatsächlich das beudeutet was ich vermute; Nämlich: Dass das PAT und NAT erfolgreich war durch die Meldung "PORTFWACCESS ACCEPT)


    Danke
    ItalianStallion

  • Zitat

    Im Log sehe ich:
    PORTFWACCESS:ACCEPT:2 TCP (ppp0) externeIP:12471 -> InterneIP:22 (br0)
    MAC= LEN=48 TOS=00 PREC=0x00 TTL=120 ID=29721 DF SEQ=1237621265 ACK=0 WINDOW=8192 SYN URGP=0


    Zitat

    Das heisst doch die Verbindung ist erlaubt, richtig?


    Ja, die Verbindung geht durch.


    Leitest du auch auf die richtige IP von dem Rechner weiter ?


    Ist auf dem Rechner den du erreichen willst auch die Endian als Standardgateway eingtragen ?


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hi Sabine,


    die richtige IP leite ich weiter. Hier habe ich 100x nach Tippfehlern o.ä. geschaut.
    Ob der richtige GW eingetragen ist kann ich nicht ohne weiteres prüfen, denn ich hab keinen Zugriff auf das Gerät und ohne die Regel der Inhaber des Geräts auch nicht.
    Hier beisst sich die KAtze in den Schwanz. ;)


    Ich versuch erstmal die Geschichte mit dem richtigen GW zu verfolgen.


    Danke erstmal.

  • Zitat

    Hier beisst sich die KAtze in den Schwanz.


    Auer , ,das tut doch weh . . .



    Was ist das für ein Gerät ?


    Man muss doch irgendwo die IP einstellen können . . . .und damit auch das Gateway . . :)


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • ...und wie das weh tut. ;)


    Is n CISCO Router, der nich in meiner Hoheit liegt sondern von externen Beratern.
    Die kommen von außen nicht drauf und ich darf das Kennwort nicht kennen.
    Da haben wir wieder die Katze...mit Schwanz usw.


    Idee ist: Ich lass die Kollegen per Teamviewer o.ä. auf nen REchner dort im Netz und dann mit Putty auf deren CISCO! ;)

  • Hallo,
    so ein gefrickel hatte ich auch schon mal.


    Firewall der Firma aber die Dritt Anbieter wollten
    unbedingt noch ein Cisco Router haben damit die drauf kommen.
    Also mit der Kirche ums Dorf aber klappte nach viel hin und her ...
    wobei zu erst die Dirttfirma immer meinte liegt am Firmen Server ... bis sich rausstelle die waren nur zu *)§"(&$V)*


    Die hatten das GW am Cisco falsch, wobei ich es wirklich X mal erklärt habe.

  • Ich wette hier ist es exakt das Selbe...aber kann ich erst richtig stellen wenn die Jungs auf ihre CISCO kommen.
    Und deren Firewalladmin from Hell ist seit heute im Urlaub...sprich: Das wird wohl erst im Januar was.


    Danke und Grüße

  • Zitat

    Idee ist: Ich lass die Kollegen per Teamviewer o.ä. auf nen REchner dort im Netz und dann mit Putty auf deren CISCO!


    Genau so machst du das . . . . die sollen auch mal was tun . . ;)


    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Da sind wir doch einer Meinung! ;)
    Wird wohl Januar, aber was solls...kommt in den besten Familien vor! :D


    Mal was anderes: Ihr beide als Speziallisten: Kann man schon auf die 2.5.2 oder lieber bei der 2.3.0 bleiben?


    Hab da n paar alte Threads gesehen, da kotzt ihr gnaz schön über die 2.5.2 ab...


    Grüße

  • Bin wieder bei der 2.51 . . . soweit alles in Ordnung . . . :)


    Habe auch die 3.0 im Produktivbetrieb . . . geht auch . . ist halt noch eine Beta wenn auch die 2


    Die 2.3 war soweit ich mich erinnern kann nicht die Krönung . .

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

  • Hallo ihr Lieben,


    ein halbes Jahr später kram ich den hier mal wieder aus und frage:


    Gilt das immer noch, dass die 2.5.1 die passendste für den produktiven Einsatz ist?
    Müsste aktuell mal wieder eine neue bauen.


    Übrigens, dazu noch 1-2 Fragen:
    - Für Portfiltering, Web-Proxy und Antispam: Ein empfohlenes Sizing? Sprich: CPU, RAM und netto Plattengröße.
    - Welche Quadport-Karten funktionieren aus Eurer Erfahrung?


    Danke und Grüße
    Stallion