theonlyone
Goto Top

MOnOwall Inbound NAT Problem

Hallo zusammen,

ich habe auf einem ESX Server in Fankfurt eine virtuelle monowall laufen.

Eine NIC im öffentlichen Netz
Die andere NIC ist mit einem VSwitch verbunden.
Dahinter stehe ein Webserver der über Port 80 erreichbar wäre, nur zum testen.

Mir steht ein gewisser IP Adressen Range zur Verfügung. Ich will nicht das der Webserver direkt aus dem Netz erreichbar ist sondern er soll hinter der monowall stehen.

Das ganze würde ich ja erreichen mit einem InBound NAT?

Ich gebe unter ServerNAT eine freie öffentliche Adresse ein und erzeuge eine Inbound Rule.

External Adress die Adresse aus dem ServerNAT.
Protokoll TCP HTTP also Port 80
als NAT IP gebe ich die interne IP Adresse an sprich die 192.168.6.21

Die automaitsch erzeugte Firewall Rule macht den Rest

Entweder habe ich einen Denkfehler oder es funktioniert einfach nicht.

WEnn ich jetzt die öffentliche IP Adresse eingebe dann sollte ja mein Webserver erscheinen?

Helft mir mal auf die Sprünge face-smile

Sorry aber ich kann keine IP adressen angeben, wer weiss wer da alles mitliest ;)

Content-ID: 222179

Url: https://administrator.de/forum/monowall-inbound-nat-problem-222179.html

Ausgedruckt am: 23.12.2024 um 04:12 Uhr

aqui
aqui 16.11.2013 aktualisiert um 20:32:16 Uhr
Goto Top
Der klassische Denkfehler ist das fast immer folgende 2 Firewall Grundregeln vergessen werden:
1.) Filterlisten gelten bei pfSense oder Monowall ausschliesslich INBOUND
2.) 2te Grundregel ist First match wins D.H. nachdem die erste Firewallregel im Ruleset greift werden die folgenden im Ruleset NICHT mehr abgearbeitet !!
Es ist also essentiell wichtig DENY Regeln immer VOR den allow Regeln im Ruleset zu plazieren.
Hast du das bedacht ?? Vermutlich nicht !!
Du musst zusatzlich zum statischen NAT was du ja machst eine inbound allow Rule auf diese IP am WAN Port erlstellen, denn sonst wird diese IP logischerweise immer geblockt wie es bei einer Firewall ja üblich ist !
Das Firewall Log ist übrigens immer dein bester Freund !
TheOnlyOne
TheOnlyOne 16.11.2013 um 20:33:09 Uhr
Goto Top
Doch das habe ich beachtet. Das Prätigst du mit immer.

Ja das ist richtig nur inbound aber das hat ja nichts mit dem Problem zu tun?
aqui
aqui 16.11.2013 um 20:40:05 Uhr
Goto Top
Du hast zur statischen NAT Rule vermutlich schlicht und einfach die inbound allow Rule auf diese IP vergessen. Es muss beides konfiguriert werden, dann kommt das auch problemlos zum Fliegen….ist ja ein simpler Klassiker.
TheOnlyOne
TheOnlyOne 16.11.2013 um 20:54:47 Uhr
Goto Top
Doch klar außerdem wird diese ja automatisch erstellt wenn man das möchte

Protokoll TCP
Source any
Port any
Destination: 192.168.5.21
POrt any
TheOnlyOne
TheOnlyOne 16.11.2013 aktualisiert um 20:56:55 Uhr
Goto Top
7e74765fa385ade7d8cabbbceca35e3f

6755bc31c56bb158bf1e6b19db4d092c
TheOnlyOne
TheOnlyOne 17.11.2013 um 10:12:14 Uhr
Goto Top
Soweit ich gelesen habe unterstützt die monowall keine Multi WAN IP Adressen?

Das kann nur die pfsense?

Weil genau das habe ich ja. Mehrere WAN IP Adressen die auf verschiedene LAN IP Adressen genatet werden müssen?
aqui
aqui 17.11.2013 um 15:56:07 Uhr
Goto Top
Ja richtig. Was hindert dich daran das Flash schnell mit einem pfSense Image zu flashen ?
TheOnlyOne
TheOnlyOne 02.12.2013 um 19:07:19 Uhr
Goto Top
Sodala habe es auf eine PFsense geflasht und die Sache läuft....

Habe nun hinter der Pfsense eine Plesk laufen. Da gehen die Probleme aber schon los.

Ich habe die entsprechenden Port Forwarding Regelen erstellt, ebenso die Firewall Rules.

Funktioniert alles soweit einwandfrei. Nachdem jetzt aber das PLESK eine interne IP adresse hat 192.168.6.4 haut das mit der Namensauflösung nicht mehr hin.
Da ich mir nicht sicher war habe ich TCP/UDP Port 53 freigeschalten, ohne Verbesserung.

Nach Anleitung von Plesk muss man DNS Zonen ändern, was ich bereits ausgeführt habe.... ohne Erfolg.

ftp://download1.swsoft.com/Plesk/PPP9/Doc/de-DE/plesk-9.0-administrators-guide-de-de/index.htm?fileName=59441.htm

Jetzt frag ich mich ob jemand noch einen heissen Tipp hat?.

Komme über die IP Adresse sauber auf das Plesk drauf. Nur die Namensauflösung scheint nicht zu mögen.

Nameserver ist ein externer Server
aqui
aqui 03.12.2013 um 09:28:47 Uhr
Goto Top
Das ist dann kein direktes NAT Problem mehr. DNS liefert dir sicher zu URLs die externe IP obwohl du eigentlich die geNATtete benötigst. Die Freigabe vom DNS Port 53 ist natürlich Unsinn, denn die kann das Problem der falschen IP Antwort nicht lösen, denn sie lässt ja nur das Protokoll passieren.
Das ist jetzt reine eine Konfiguration des DNS Servers die richtigen Antworten zu liefern.
Den DNS hast du neu gestartet nachdem du die Zonen verändert hast ??
TheOnlyOne
TheOnlyOne 03.12.2013 um 09:30:17 Uhr
Goto Top
Hallo,

der Neustart vom PLESK hat es letzt endlich gebracht. Port 53 DNS habe ich wieder zu gemacht...
aqui
aqui 03.12.2013 um 09:35:01 Uhr
Goto Top
Das hört sich ja dann nach einer finalen Lösung an face-wink

Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
TheOnlyOne
TheOnlyOne 03.12.2013 um 09:36:44 Uhr
Goto Top
Erledigt und Danke für die Hilfe