136046
Goto Top

Firewall SonicWall NSa 2650 - Port 25 öffnen

Hallo zusammen und ein frohes neues Jahr,

aktuell gelingt es mir nicht den Port 25 zu öffnen und die Anfragen an eine interne Spam Lösung weiterzuleiten.
Meine Konfiguration erscheint mir logisch, aber wahrscheinlich habe ich irgendwo einen Denkfehler. Vielleicht könnt ihr mir helfen.


Beschreibung:

X 1 IP = Schnittstelle öffentliche IP
SMTP = Name Service Object - TCP Port 25
srv-nospam01 - Name Adress Object - IP interner Server - Anti Spam Lösung


Access Rule:

FROM: WAN - TO: LAN - PRIORITY: 53 (Manual) - SOURCE: any - DESTINATION: X1 IP - SERVICE: SMTP - ACTION: allow - ENABLED: yes
FROM: WAN - TO: LAN - PRIORITY: 61 (Manual) - SOURCE: any - DESTINATION: any - SERVICE: any - ACTION deny - ENABLED: yes


NAT Policies:

SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 - SERVICE ORIGINAL: SMTP - SERVICE TRANSLATED: SMTP - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any - PRIORITY: 10 - ENABLED: Yes


Tests über externes Netz:

NMAP - Port 25 Filtered
Telnet - Es konnte keine Verbindung hergestellt werden, auf Port 25.
http://www.dnstools.ch/port-scanner.html - Der "STMP" Port ist geschlossen.


Vielen Dank im voraus!

Content-ID: 397049

Url: https://administrator.de/contentid/397049

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

certifiedit.net
certifiedit.net 02.01.2019 aktualisiert um 15:31:30 Uhr
Goto Top
Auf den ersten Blick,

SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 - SERVICE ORIGINAL: SMTP - SERVICE TRANSLATED: SMTP - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any - PRIORITY: 10 - ENABLED: Yes

geh das nochmals durch.

Abgesehen davon, die Antispamlösung ist aktiv und horcht auch auf Port 25?

Abgesehen davon gilt wie immer, warum setzt man UTMs ein, de man nicht grundlegend beherrscht? Eine NAT ist nunmal keine superspezifische Anpassung, sondern eher das kleine 1x1? Bitte arbeite dich genauer in deine Systeme ein, sonst haben die keinen Sicherheitstechnischen Mehrwert für die Firma.

Dennoch viele Grüße
136046
136046 02.01.2019 um 15:49:56 Uhr
Goto Top
Hi,

vielen Dank für die schnelle Antwort. Ich sehe die Lösung nach wie vor nicht, sonst hätte ich diesen Beitrag nicht eröffnet.

Die Antispamlösung horcht auf Port 25. Die Tests mit NMAP zeigten einen geöffneten Port.

Magst du mir die Lösung verraten?


Viele Grüße
Pjordorf
Pjordorf 02.01.2019 um 16:01:52 Uhr
Goto Top
Hallo,

Zitat von @136046:
Die Antispamlösung horcht auf Port 25. Die Tests mit NMAP zeigten einen geöffneten Port.
Du schreibst aber oben das der Port 25 geschlossen bzw. nicht horcht - was denn nun?

Magst du mir die Lösung verraten?
Mal gelesen? https://www.sonicwall.com/en-us/support/knowledge-base/170503477349850

Gruß,
Peter
136046
136046 02.01.2019 um 16:08:39 Uhr
Goto Top
Hi,

der Port 25 der Firewall ist geschlossen. Der Port 25 auf dem internen Server ist bereits geöffnet.
Pjordorf
Pjordorf 02.01.2019 um 16:15:48 Uhr
Goto Top
Hallo,

Zitat von @136046:
der Port 25 der Firewall ist geschlossen. Der Port 25 auf dem internen Server ist bereits geöffnet.
Das ist auch gut so, Und wer hört nun auf den Port 25 - ein Mailserver oder deine Antispamlösung und wie kommen Verbindungsversuche von Aussen (Internet) zu deinenPort 25 auf deinen Server? Portforwarding oder Reverse Proxy... Für Portforwarding liest du hier weiter.

Gruß,
Peter
136046
136046 02.01.2019 um 16:43:11 Uhr
Goto Top
Die Antispamlösung hört auf den Port 25. Dieser Server soll über den Port 25 über die öffentliche IP erreichbar sein. Die Anleitung bin ich nun mehrfach durchgegangen und es brachte nicht den gewünschten Erfolg.


Eigentlich ist das Ganze doch nicht schwer. Es gibt bestehende Regeln für HTTPS die vor langer Zeit von einem Dienstleister erstellt wurden. Diese sehen nicht anders aus oder ich sehe den Wald vor lauter Bäumne nicht.

Wenn certifiedit es auf dem ersten Blick gesehen hat, dann wäre ich um eine Erklärung dankbar damit ich aus meinem Fehler lernen kann.
136046
136046 02.01.2019 um 16:48:18 Uhr
Goto Top
Ich habe die Funktion Quick Configuration getestet. Auch hier kein Erfolg. Kann es sein das der Port 25 durch den ISP gesperrt ist?
Pjordorf
Pjordorf 02.01.2019 um 17:15:56 Uhr
Goto Top
Hallo,

Zitat von @136046:
Ich habe die Funktion Quick Configuration getestet.
Und zu welchem Ergebniss ist dein Test gekommen? Ich kenne die Funktion Quick Configuration nicht und was diese ändert, überschreibt usw.

Kann es sein das der Port 25 durch den ISP gesperrt ist?
Nun, wenn dein ISP CGN (Carrier Grade NAT - Private IPs da nicht genügend Öffentliche IPs vorhanden und nix mit Portforwarding) macht, wird das so sein. Frage doch dein ISP.

Gruß,
Peter
136046
136046 03.01.2019 um 10:52:11 Uhr
Goto Top
Hallo,

nach Rücksprache mit der Telekom werden keine Ports blockiert.


Bei der Funktion "Quick Configuration" handelt es sich um einen Assistenten mit dem man u. a. Portfreigaben einrichten kann.
Das Ergebnis hat den gleichen Aufbau wie bereits bestehende Regeln.


srv-nospam01 services = TCP Port 25

Access Rules

FROM: WAN - TO: LAN - PRIORITY: 52 - SOURCE: Any - DESTINATION: X1 IP - SERVICE: srv-nospam01 services - ACTION: Allow - ENABLED: Yes


NAT Policies

SOURCE ORIGINAL: Firewalled Subnets - SOURCE TRANSLATED: X1 IP - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 Private - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any

SOURCE ORIGINAL: srv-nospam01 Private - SOURCE TRANSLATED: X1 IP - DESTINATION ORIGINAL: Any - DESTINATION TRANSLATED: Original - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: X1

SOURCE ORIGINAL: Any - SOURCE TRANSLATED: Original - DESTINATION ORIGINAL: X1 IP - DESTINATION TRANSLATED: srv-nospam01 Private - SERVICE ORIGINAL: srv-nospam01 Services - SERVICE TRANSLATED: Original - INTERFACE INBOUND: Any - INTERFACE OUTBOUND: Any


Port 25 von extern: geschlossen
sleaper
sleaper 03.01.2019 um 11:35:35 Uhr
Goto Top
Hi,

Hast du auch wirklich den „public Server wizard“ verwendet? Ansicht auf klassisch umstellen (unten links dir drei Balken) dann ist der Assistent oben rechts. Vorher alle erstellten policies (Firewall & nat) löschen....

Ich persönlich wuerde den Spamfilter auch in die dmz stellen und nicht den „bösen“ Traffic bis ins lan vorlassen...

Gruss
136046
136046 03.01.2019 um 11:58:42 Uhr
Goto Top
Hi,

Hast du auch wirklich den „public Server wizard“ verwendet? Ansicht auf klassisch umstellen (unten links dir drei Balken) dann ist der Assistent oben rechts. Vorher alle erstellten policies (Firewall & nat) löschen....


Gerade noch einmal geschaut. In beiden Ansichten handelt es um den gleichen Wizard.

Ich persönlich wuerde den Spamfilter auch in die dmz stellen und nicht den „bösen“ Traffic bis ins lan vorlassen...


Das sehe ich genauso. Ich habe drei Lösungen vorgeschlagen.
- NoSpamProxy im Lan
- NoSpamPorxy in DMZ
- externe Lösung (MessageLabs) - pers. Favorit

Man möchte erst einmal die Lösung im Lan testen.
Pjordorf
Lösung Pjordorf 03.01.2019 um 15:37:20 Uhr
Goto Top
Hallo,

Zitat von @136046:
Port 25 von extern: geschlossen
Wie hast du dies Festgestellt bzw. getestet? Und dein NoSpamProxy läuft auch? Die (Windows?) Firewall blockiert nichts was von ausserhalb ihres LANs kommt?
https://www.nospamproxy.de/de/knowledge-base/
https://www.nospamproxy.de/de/support/trainingsvideos/

Und du hast den Test von ausserhalb deines LANs versucht?

Gruß,
Peter
136046
136046 03.01.2019 um 16:14:56 Uhr
Goto Top
Ich führe die Tests über ein externes Netzwerk durch. Der Server läuft. Wenn ich den Port des NoSpamProxy Servers direkt im Lan anspreche ist dieser geöffnet. Der Port 25 über die Firewall ist nach wie vor geschlossen.

Nachdem nun auch noch andere Kollegen auf den Fall geschaut haben, werden wir die Firewall heute nacht einmal neustarten. Ich werde berichten.
136046
136046 09.01.2019 um 09:17:52 Uhr
Goto Top
Guten Morgen zusammen,

wir haben die Lösung gefunden.

Das Regelwerk war die ganze Zeit richtig. Auf dem Server (Spam Lösung) war noch ein anderer Gateway eingetragen.
Dieser wurde bei der Ersteinrichtung verwendet um eine externe VDSL Leitung zu verwenden um nicht die SDSL Leitung zu belasten.

Die Anfragen über Port 25 wurden also an den Server weitergereicht und die Antworten gingen ins Nirwana.

Nun haben wir den eigentlichen Gateway eingetragen und siehe da, der Port ist offen.


Vielen Dank für eure Zeit und liebe Grüße!