136046
02.01.2019
2354
14
0
Firewall SonicWall NSa 2650 - Port 25 öffnen
Hallo zusammen und ein frohes neues Jahr,
aktuell gelingt es mir nicht den Port 25 zu öffnen und die Anfragen an eine interne Spam Lösung weiterzuleiten.
Meine Konfiguration erscheint mir logisch, aber wahrscheinlich habe ich irgendwo einen Denkfehler. Vielleicht könnt ihr mir helfen.
Beschreibung:
X 1 IP = Schnittstelle öffentliche IP
SMTP = Name Service Object - TCP Port 25
srv-nospam01 - Name Adress Object - IP interner Server - Anti Spam Lösung
Access Rule:
FROM: WAN - TO: LAN - PRIORITY: 53 (Manual) - SOURCE: any - DESTINATION: X1 IP - SERVICE: SMTP - ACTION: allow - ENABLED: yes
FROM: WAN - TO: LAN - PRIORITY: 61 (Manual) - SOURCE: any - DESTINATION: any - SERVICE: any - ACTION deny - ENABLED: yes
NAT Policies:
SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 - SERVICE ORIGINAL: SMTP - SERVICE TRANSLATED: SMTP - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any - PRIORITY: 10 - ENABLED: Yes
Tests über externes Netz:
NMAP - Port 25 Filtered
Telnet - Es konnte keine Verbindung hergestellt werden, auf Port 25.
http://www.dnstools.ch/port-scanner.html - Der "STMP" Port ist geschlossen.
Vielen Dank im voraus!
aktuell gelingt es mir nicht den Port 25 zu öffnen und die Anfragen an eine interne Spam Lösung weiterzuleiten.
Meine Konfiguration erscheint mir logisch, aber wahrscheinlich habe ich irgendwo einen Denkfehler. Vielleicht könnt ihr mir helfen.
Beschreibung:
X 1 IP = Schnittstelle öffentliche IP
SMTP = Name Service Object - TCP Port 25
srv-nospam01 - Name Adress Object - IP interner Server - Anti Spam Lösung
Access Rule:
FROM: WAN - TO: LAN - PRIORITY: 53 (Manual) - SOURCE: any - DESTINATION: X1 IP - SERVICE: SMTP - ACTION: allow - ENABLED: yes
FROM: WAN - TO: LAN - PRIORITY: 61 (Manual) - SOURCE: any - DESTINATION: any - SERVICE: any - ACTION deny - ENABLED: yes
NAT Policies:
SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 - SERVICE ORIGINAL: SMTP - SERVICE TRANSLATED: SMTP - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any - PRIORITY: 10 - ENABLED: Yes
Tests über externes Netz:
NMAP - Port 25 Filtered
Telnet - Es konnte keine Verbindung hergestellt werden, auf Port 25.
http://www.dnstools.ch/port-scanner.html - Der "STMP" Port ist geschlossen.
Vielen Dank im voraus!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 397049
Url: https://administrator.de/contentid/397049
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
14 Kommentare
Neuester Kommentar
Auf den ersten Blick,
geh das nochmals durch.
Abgesehen davon, die Antispamlösung ist aktiv und horcht auch auf Port 25?
Abgesehen davon gilt wie immer, warum setzt man UTMs ein, de man nicht grundlegend beherrscht? Eine NAT ist nunmal keine superspezifische Anpassung, sondern eher das kleine 1x1? Bitte arbeite dich genauer in deine Systeme ein, sonst haben die keinen Sicherheitstechnischen Mehrwert für die Firma.
Dennoch viele Grüße
SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 - SERVICE ORIGINAL: SMTP - SERVICE TRANSLATED: SMTP - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any - PRIORITY: 10 - ENABLED: Yesgeh das nochmals durch.
Abgesehen davon, die Antispamlösung ist aktiv und horcht auch auf Port 25?
Abgesehen davon gilt wie immer, warum setzt man UTMs ein, de man nicht grundlegend beherrscht? Eine NAT ist nunmal keine superspezifische Anpassung, sondern eher das kleine 1x1? Bitte arbeite dich genauer in deine Systeme ein, sonst haben die keinen Sicherheitstechnischen Mehrwert für die Firma.
Dennoch viele Grüße
Hi,
vielen Dank für die schnelle Antwort. Ich sehe die Lösung nach wie vor nicht, sonst hätte ich diesen Beitrag nicht eröffnet.
Die Antispamlösung horcht auf Port 25. Die Tests mit NMAP zeigten einen geöffneten Port.
Magst du mir die Lösung verraten?
Viele Grüße
vielen Dank für die schnelle Antwort. Ich sehe die Lösung nach wie vor nicht, sonst hätte ich diesen Beitrag nicht eröffnet.
Die Antispamlösung horcht auf Port 25. Die Tests mit NMAP zeigten einen geöffneten Port.
Magst du mir die Lösung verraten?
Viele Grüße
Hallo,
Gruß,
Peter
Zitat von @136046:
Die Antispamlösung horcht auf Port 25. Die Tests mit NMAP zeigten einen geöffneten Port.
Du schreibst aber oben das der Port 25 geschlossen bzw. nicht horcht - was denn nun?Die Antispamlösung horcht auf Port 25. Die Tests mit NMAP zeigten einen geöffneten Port.
Magst du mir die Lösung verraten?
Mal gelesen? https://www.sonicwall.com/en-us/support/knowledge-base/170503477349850Gruß,
Peter
Hi,
der Port 25 der Firewall ist geschlossen. Der Port 25 auf dem internen Server ist bereits geöffnet.
der Port 25 der Firewall ist geschlossen. Der Port 25 auf dem internen Server ist bereits geöffnet.
Hallo,
Gruß,
Peter
Zitat von @136046:
der Port 25 der Firewall ist geschlossen. Der Port 25 auf dem internen Server ist bereits geöffnet.
Das ist auch gut so, Und wer hört nun auf den Port 25 - ein Mailserver oder deine Antispamlösung und wie kommen Verbindungsversuche von Aussen (Internet) zu deinenPort 25 auf deinen Server? Portforwarding oder Reverse Proxy... Für Portforwarding liest du hier weiter.der Port 25 der Firewall ist geschlossen. Der Port 25 auf dem internen Server ist bereits geöffnet.
Gruß,
Peter
Die Antispamlösung hört auf den Port 25. Dieser Server soll über den Port 25 über die öffentliche IP erreichbar sein. Die Anleitung bin ich nun mehrfach durchgegangen und es brachte nicht den gewünschten Erfolg.
Eigentlich ist das Ganze doch nicht schwer. Es gibt bestehende Regeln für HTTPS die vor langer Zeit von einem Dienstleister erstellt wurden. Diese sehen nicht anders aus oder ich sehe den Wald vor lauter Bäumne nicht.
Wenn certifiedit es auf dem ersten Blick gesehen hat, dann wäre ich um eine Erklärung dankbar damit ich aus meinem Fehler lernen kann.
Eigentlich ist das Ganze doch nicht schwer. Es gibt bestehende Regeln für HTTPS die vor langer Zeit von einem Dienstleister erstellt wurden. Diese sehen nicht anders aus oder ich sehe den Wald vor lauter Bäumne nicht.
Wenn certifiedit es auf dem ersten Blick gesehen hat, dann wäre ich um eine Erklärung dankbar damit ich aus meinem Fehler lernen kann.
Ich habe die Funktion Quick Configuration getestet. Auch hier kein Erfolg. Kann es sein das der Port 25 durch den ISP gesperrt ist?
Hallo,
Gruß,
Peter
Zitat von @136046:
Ich habe die Funktion Quick Configuration getestet.
Und zu welchem Ergebniss ist dein Test gekommen? Ich kenne die Funktion Quick Configuration nicht und was diese ändert, überschreibt usw.Ich habe die Funktion Quick Configuration getestet.
Kann es sein das der Port 25 durch den ISP gesperrt ist?
Nun, wenn dein ISP CGN (Carrier Grade NAT - Private IPs da nicht genügend Öffentliche IPs vorhanden und nix mit Portforwarding) macht, wird das so sein. Frage doch dein ISP.Gruß,
Peter
Hallo,
nach Rücksprache mit der Telekom werden keine Ports blockiert.
Bei der Funktion "Quick Configuration" handelt es sich um einen Assistenten mit dem man u. a. Portfreigaben einrichten kann.
Das Ergebnis hat den gleichen Aufbau wie bereits bestehende Regeln.
srv-nospam01 services = TCP Port 25
Access Rules
FROM: WAN - TO: LAN - PRIORITY: 52 - SOURCE: Any - DESTINATION: X1 IP - SERVICE: srv-nospam01 services - ACTION: Allow - ENABLED: Yes
NAT Policies
SOURCE ORIGINAL: Firewalled Subnets - SOURCE TRANSLATED: X1 IP - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 Private - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any
SOURCE ORIGINAL: srv-nospam01 Private - SOURCE TRANSLATED: X1 IP - DESTINATION ORIGINAL: Any - DESTINATION TRANSLATED: Original - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: X1
SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 Private - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any
Port 25 von extern: geschlossen
nach Rücksprache mit der Telekom werden keine Ports blockiert.
Bei der Funktion "Quick Configuration" handelt es sich um einen Assistenten mit dem man u. a. Portfreigaben einrichten kann.
Das Ergebnis hat den gleichen Aufbau wie bereits bestehende Regeln.
srv-nospam01 services = TCP Port 25
Access Rules
FROM: WAN - TO: LAN - PRIORITY: 52 - SOURCE: Any - DESTINATION: X1 IP - SERVICE: srv-nospam01 services - ACTION: Allow - ENABLED: Yes
NAT Policies
SOURCE ORIGINAL: Firewalled Subnets - SOURCE TRANSLATED: X1 IP - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 Private - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any
SOURCE ORIGINAL: srv-nospam01 Private - SOURCE TRANSLATED: X1 IP - DESTINATION ORIGINAL: Any - DESTINATION TRANSLATED: Original - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: X1
SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 Private - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any
Port 25 von extern: geschlossen
Hi,
Hast du auch wirklich den „public Server wizard“ verwendet? Ansicht auf klassisch umstellen (unten links dir drei Balken) dann ist der Assistent oben rechts. Vorher alle erstellten policies (Firewall & nat) löschen....
Ich persönlich wuerde den Spamfilter auch in die dmz stellen und nicht den „bösen“ Traffic bis ins lan vorlassen...
Gruss
Hast du auch wirklich den „public Server wizard“ verwendet? Ansicht auf klassisch umstellen (unten links dir drei Balken) dann ist der Assistent oben rechts. Vorher alle erstellten policies (Firewall & nat) löschen....
Ich persönlich wuerde den Spamfilter auch in die dmz stellen und nicht den „bösen“ Traffic bis ins lan vorlassen...
Gruss
Hi,
Gerade noch einmal geschaut. In beiden Ansichten handelt es um den gleichen Wizard.
Das sehe ich genauso. Ich habe drei Lösungen vorgeschlagen.
- NoSpamProxy im Lan
- NoSpamPorxy in DMZ
- externe Lösung (MessageLabs) - pers. Favorit
Man möchte erst einmal die Lösung im Lan testen.
Hast du auch wirklich den „public Server wizard“ verwendet? Ansicht auf klassisch umstellen (unten links dir drei Balken) dann ist der Assistent oben rechts. Vorher alle erstellten policies (Firewall & nat) löschen....
Gerade noch einmal geschaut. In beiden Ansichten handelt es um den gleichen Wizard.
Ich persönlich wuerde den Spamfilter auch in die dmz stellen und nicht den „bösen“ Traffic bis ins lan vorlassen...
Das sehe ich genauso. Ich habe drei Lösungen vorgeschlagen.
- NoSpamProxy im Lan
- NoSpamPorxy in DMZ
- externe Lösung (MessageLabs) - pers. Favorit
Man möchte erst einmal die Lösung im Lan testen.
Hallo,
https://www.nospamproxy.de/de/knowledge-base/
https://www.nospamproxy.de/de/support/trainingsvideos/
Gruß,
Peter
Zitat von @136046:
Port 25 von extern: geschlossen
Wie hast du dies Festgestellt bzw. getestet? Und dein NoSpamProxy läuft auch? Die (Windows?) Firewall blockiert nichts was von ausserhalb ihres LANs kommt?Port 25 von extern: geschlossen
https://www.nospamproxy.de/de/knowledge-base/
https://www.nospamproxy.de/de/support/trainingsvideos/
Und du hast den Test von ausserhalb deines LANs versucht?
Gruß,
Peter
Ich führe die Tests über ein externes Netzwerk durch. Der Server läuft. Wenn ich den Port des NoSpamProxy Servers direkt im Lan anspreche ist dieser geöffnet. Der Port 25 über die Firewall ist nach wie vor geschlossen.
Nachdem nun auch noch andere Kollegen auf den Fall geschaut haben, werden wir die Firewall heute nacht einmal neustarten. Ich werde berichten.
Nachdem nun auch noch andere Kollegen auf den Fall geschaut haben, werden wir die Firewall heute nacht einmal neustarten. Ich werde berichten.
Guten Morgen zusammen,
wir haben die Lösung gefunden.
Das Regelwerk war die ganze Zeit richtig. Auf dem Server (Spam Lösung) war noch ein anderer Gateway eingetragen.
Dieser wurde bei der Ersteinrichtung verwendet um eine externe VDSL Leitung zu verwenden um nicht die SDSL Leitung zu belasten.
Die Anfragen über Port 25 wurden also an den Server weitergereicht und die Antworten gingen ins Nirwana.
Nun haben wir den eigentlichen Gateway eingetragen und siehe da, der Port ist offen.
Vielen Dank für eure Zeit und liebe Grüße!
wir haben die Lösung gefunden.
Das Regelwerk war die ganze Zeit richtig. Auf dem Server (Spam Lösung) war noch ein anderer Gateway eingetragen.
Dieser wurde bei der Ersteinrichtung verwendet um eine externe VDSL Leitung zu verwenden um nicht die SDSL Leitung zu belasten.
Die Anfragen über Port 25 wurden also an den Server weitergereicht und die Antworten gingen ins Nirwana.
Nun haben wir den eigentlichen Gateway eingetragen und siehe da, der Port ist offen.
Vielen Dank für eure Zeit und liebe Grüße!
