alplertor
Goto Top

DMZ cisco RV260 VPN Router

Hallo zusammen, ich habe eine Frage Betreffs DMZ.

Gerät: cisco RV260 VPN Router

Vlan1:
192.168.0.2/24
255.255.255.0
DHCP Server: 192.168.0.3-192.168.0.20

Hardware DMZ:
Enable (Change LAN8 to DMZ port)
Subnet
DMZ IP Address: 192.168.1.2
Subnet Mask: 255.255.255.0

Port Forwarding: http,https, 192.168.1.3 zum Server

Access Rule:
Allowed http Wan to DMZ 192.168.1.3
Allowed https Wan to DMZ 192.168.1.3
Denied All Traffic Wan to DMZ 192.168.1.3
Allowed All Trafic DMZ to WAN

Server Debian:
Netzwerk
allow-hotplug eth0
iface eth0 inet static
address 192.168.1.3
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.2

Zugriff auf Webserver funktioniert einwandfrei. Nur wenn ich vom server her eine email absetzen will geht nichts raus. Also zBsp. ping google.de bleibt tot. Das ganze funktioniert ohne DMZ im gleichen Adressbereich also Zbsp:
address 192.168.0.3
netmask 255.255.255.0
network 192.168.0.0
broadcast 192.168.0.255
gateway 192.168.0.2
Access Rule und Port Forwarding angepasst, dann einwandfrei. Wo ist hier der haken noch (ausser 30cm vor dem Bildschirm). Besten Dank für Eure Bemühungen.

Content-Key: 666268

Url: https://administrator.de/contentid/666268

Ausgedruckt am: 29.09.2022 um 23:09 Uhr

Mitglied: aqui
aqui 30.04.2021 aktualisiert um 16:58:17 Uhr
Goto Top
Kein Wunder wenn man nur HTTP (TCP 80) und HTTPS (TCP 443) erlaubt. Die Email Protokolle wie SMTP TCP 25, 587 und 465 bleiben da doch logischerweise dann auf der Strecke.
Oder hattes du gedacht das Email auch mit HTTP(S) kommuniziert ?!
Firewall works as designed ! face-wink
Mitglied: alplertor
alplertor 30.04.2021 aktualisiert um 22:43:23 Uhr
Goto Top
Hallo, es geht hier nicht um den Eingang (was ja im Port Forwarding geschen würde und im Access Rule). Es geht um den Transport vom Server weg. Und da ist Allowed All Trafic DMZ WAN. Im übrigen ist smtp Eingang im Port Forwarding und Access Rule auch drinnen. Da es aber nicht darum geht habe ich es nicht aufgeführt. Bitte bemühe dich nicht weiter. Besten Dank !
Mitglied: aqui
aqui 30.04.2021 aktualisiert um 14:43:49 Uhr
Goto Top
Ein nichtssagendes "access rule" besagt ja leider nicht ob das inbound oder outbound gemeint war. Sorry das man als Helfender da dann ins Messer gelaufen ist. Aber OK. De facto stimmen ja deine Regeln nicht wie du selber ja sehen kannst am ICMP Blocking (Ping) und SMTP Blocking.
Wireshark ist da ein treuer Freund übrigens. Oder bei deinem Debian Server tuts auch ein einfaches apt install tcpdump Vielleicht hilft's und... der ist auch viel freundlicher.. 😉 ! Bin dann wie gefordert raus...