MOnOwall Inbound NAT Problem
Hallo zusammen,
ich habe auf einem ESX Server in Fankfurt eine virtuelle monowall laufen.
Eine NIC im öffentlichen Netz
Die andere NIC ist mit einem VSwitch verbunden.
Dahinter stehe ein Webserver der über Port 80 erreichbar wäre, nur zum testen.
Mir steht ein gewisser IP Adressen Range zur Verfügung. Ich will nicht das der Webserver direkt aus dem Netz erreichbar ist sondern er soll hinter der monowall stehen.
Das ganze würde ich ja erreichen mit einem InBound NAT?
Ich gebe unter ServerNAT eine freie öffentliche Adresse ein und erzeuge eine Inbound Rule.
External Adress die Adresse aus dem ServerNAT.
Protokoll TCP HTTP also Port 80
als NAT IP gebe ich die interne IP Adresse an sprich die 192.168.6.21
Die automaitsch erzeugte Firewall Rule macht den Rest
Entweder habe ich einen Denkfehler oder es funktioniert einfach nicht.
WEnn ich jetzt die öffentliche IP Adresse eingebe dann sollte ja mein Webserver erscheinen?
Helft mir mal auf die Sprünge
Sorry aber ich kann keine IP adressen angeben, wer weiss wer da alles mitliest ;)
ich habe auf einem ESX Server in Fankfurt eine virtuelle monowall laufen.
Eine NIC im öffentlichen Netz
Die andere NIC ist mit einem VSwitch verbunden.
Dahinter stehe ein Webserver der über Port 80 erreichbar wäre, nur zum testen.
Mir steht ein gewisser IP Adressen Range zur Verfügung. Ich will nicht das der Webserver direkt aus dem Netz erreichbar ist sondern er soll hinter der monowall stehen.
Das ganze würde ich ja erreichen mit einem InBound NAT?
Ich gebe unter ServerNAT eine freie öffentliche Adresse ein und erzeuge eine Inbound Rule.
External Adress die Adresse aus dem ServerNAT.
Protokoll TCP HTTP also Port 80
als NAT IP gebe ich die interne IP Adresse an sprich die 192.168.6.21
Die automaitsch erzeugte Firewall Rule macht den Rest
Entweder habe ich einen Denkfehler oder es funktioniert einfach nicht.
WEnn ich jetzt die öffentliche IP Adresse eingebe dann sollte ja mein Webserver erscheinen?
Helft mir mal auf die Sprünge
Sorry aber ich kann keine IP adressen angeben, wer weiss wer da alles mitliest ;)
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 222179
Url: https://administrator.de/forum/monowall-inbound-nat-problem-222179.html
Ausgedruckt am: 23.12.2024 um 04:12 Uhr
12 Kommentare
Neuester Kommentar
Der klassische Denkfehler ist das fast immer folgende 2 Firewall Grundregeln vergessen werden:
1.) Filterlisten gelten bei pfSense oder Monowall ausschliesslich INBOUND
2.) 2te Grundregel ist First match wins D.H. nachdem die erste Firewallregel im Ruleset greift werden die folgenden im Ruleset NICHT mehr abgearbeitet !!
Es ist also essentiell wichtig DENY Regeln immer VOR den allow Regeln im Ruleset zu plazieren.
Hast du das bedacht ?? Vermutlich nicht !!
Du musst zusatzlich zum statischen NAT was du ja machst eine inbound allow Rule auf diese IP am WAN Port erlstellen, denn sonst wird diese IP logischerweise immer geblockt wie es bei einer Firewall ja üblich ist !
Das Firewall Log ist übrigens immer dein bester Freund !
1.) Filterlisten gelten bei pfSense oder Monowall ausschliesslich INBOUND
2.) 2te Grundregel ist First match wins D.H. nachdem die erste Firewallregel im Ruleset greift werden die folgenden im Ruleset NICHT mehr abgearbeitet !!
Es ist also essentiell wichtig DENY Regeln immer VOR den allow Regeln im Ruleset zu plazieren.
Hast du das bedacht ?? Vermutlich nicht !!
Du musst zusatzlich zum statischen NAT was du ja machst eine inbound allow Rule auf diese IP am WAN Port erlstellen, denn sonst wird diese IP logischerweise immer geblockt wie es bei einer Firewall ja üblich ist !
Das Firewall Log ist übrigens immer dein bester Freund !
Das ist dann kein direktes NAT Problem mehr. DNS liefert dir sicher zu URLs die externe IP obwohl du eigentlich die geNATtete benötigst. Die Freigabe vom DNS Port 53 ist natürlich Unsinn, denn die kann das Problem der falschen IP Antwort nicht lösen, denn sie lässt ja nur das Protokoll passieren.
Das ist jetzt reine eine Konfiguration des DNS Servers die richtigen Antworten zu liefern.
Den DNS hast du neu gestartet nachdem du die Zonen verändert hast ??
Das ist jetzt reine eine Konfiguration des DNS Servers die richtigen Antworten zu liefern.
Den DNS hast du neu gestartet nachdem du die Zonen verändert hast ??
Das hört sich ja dann nach einer finalen Lösung an
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.
Bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen.