akcent
05.09.2018
view10383
view9
0
Goto Top

Portweiterleitung ipfire

gelöstFrageSicherheitFirewall
Hallo,

habe hier eine Telekom Digibox und eine IPfire.
Hier wurde eine Portweiterleitung für den Port 443 eingerichtet, welche die ganze Zeit funktioniert hatte.
Jetzt geht es aber nicht mehr und ich verstehe gerade nicht warum.

In der Digibox sieht das so aus:

05-09-_2018_14-41-15

In der IPfire so:

05-09-_2018_15-19-27


Im Log ist dann das zu sehen:

05-09-_2018_15-18-05

Für mich sieht das erst einmal alles richtig aus und verstehe gerade nicht, warum der Port 443 geblockt wird und es nicht mehr geht.
Vor ein paar Tagen ging es noch und dann ist wohl ein Zertifikat für den VPN Tunnel abgelaufen und da war ein anderer IT'ler dran und hat das CA erneuert. Seit dem geht es nicht mehr. Und wie es so sein soll, ist derjenige nun in Urlaub und nicht erreichbar face-smile

Jemand hier der ggf. eine Idee dazu hat?

Gruß, herry
ShareTeilen
Auf Facebook teilen Auf X (Twitter) teilen Auf Reddit teilen Auf Linkedin teilen

Content-ID: 385519

Url: https://administrator.de/forum/portweiterleitung-ipfire-385519.html

Ausgedruckt am: 26.03.2025 um 10:03 Uhr

9 Kommentare
Neuester Kommentar
Goto Top
137084
Lösung 137084 05.09.2018 aktualisiert um 16:01:09 Uhr
Goto Top
Kann ja nicht gehen.

Quellport 443? Das Feld "Quelle" im Abschnitt Protokoll muss leer sein denn Anfragen von Clients kommen ja nicht von Port 443 sondern von irgendeinem random ephemeral Port!!

https://wiki.ipfire.org/configuration/firewall/rules/port-forwarding
Step 4: Protocol

You will want to pick one or more services that you will forward to the server you just choose, but never select “All” here.

Use a preset if you cannot remember the port number or select a protocol from the dropdown menu and enter the destination port you need. If you want to use a different port externally, you may enter it in “External port (NAT)” or leave it empty.

Choose the following to forward a WAN / RED port to a single internal server.

    Choose a protocol, TCP, UDP are the most common.
    Source port: = Blank, This is the port the client was using to talk to you.
    Destination port: = The port the server is listening to.
    External port (NAT): The port number the rest of the world will talk to, normally “Blank” for the same port as Destination port.
Man sieht ja am Log das das Forwarding im Telekom-Router korrekt durchgegangen ist, und es an der IPFire und deiner Regel liegt, die eben durch die falsche Angabe des Quellports nicht matcht und dadurch die Pakete geblockt werden.
Pjordorf
Pjordorf 05.09.2018 um 15:57:29 Uhr
Goto Top
Hallo,

Zitat von @Akcent:
war ein anderer IT'ler dran und hat das CA erneuert. Seit dem geht es nicht mehr.
Kann mann denn sehen was der andere geändert hat (auch evtl. versehentliche änderungen)? IPs wurden nirgends geändert? Maschinen schon mal neu gestartet?

Gruß,
Peter
Akcent
Akcent 05.09.2018 um 19:08:51 Uhr
Goto Top
Zitat von @137084:

Kann ja nicht gehen.

Quellport 443? Das Feld "Quelle" im Abschnitt Protokoll muss leer sein denn Anfragen von Clients kommen ja nicht von Port 443 sondern von irgendeinem random ephemeral Port!!

https://wiki.ipfire.org/configuration/firewall/rules/port-forwarding
> Step 4: Protocol
> 
> You will want to pick one or more services that you will forward to the server you just choose, but never select “All” here.
> 
> Use a preset if you cannot remember the port number or select a protocol from the dropdown menu and enter the destination port you need. If you want to use a different port externally, you may enter it in “External port (NAT)” or leave it empty.
> 
> Choose the following to forward a WAN / RED port to a single internal server.
> 
>     Choose a protocol, TCP, UDP are the most common.
>     Source port: = Blank, This is the port the client was using to talk to you.
>     Destination port: = The port the server is listening to.
>     External port (NAT): The port number the rest of the world will talk to, normally “Blank” for the same port as Destination port.
>
Man sieht ja am Log das das Forwarding im Telekom-Router korrekt durchgegangen ist, und es an der IPFire und deiner Regel liegt, die eben durch die falsche Angabe des Quellports nicht matcht und dadurch die Pakete geblockt werden.

hmmm .... der Client der den Service nutzt, ruft aber den Port 443 explizit auf (Exchange Active Syn)

Hab das mal geändert, geht aber immer noch nicht.

05-09-_2018_19-07-14
Akcent
Akcent 05.09.2018 um 19:09:39 Uhr
Goto Top
war ein anderer IT'ler dran und hat das CA erneuert. Seit dem geht es nicht mehr.
Kann mann denn sehen was der andere geändert hat (auch evtl. versehentliche änderungen)? IPs wurden nirgends geändert? Maschinen schon mal neu gestartet?
Kann leider nichts erkennen.

Ja die Firewall wurde auch schon 1x neu gestartet
Spirit-of-Eli
Spirit-of-Eli 05.09.2018 aktualisiert um 20:31:33 Uhr
Goto Top
Moin,

auf der Telecom Box ist es korrekt.
Auf der IPfire muss das Portforwarding aber (wie der Kollege @137084 schon sagte) geändert werden. Im Prinzip sollte es dort so aussehen wie bei der Telecom Box.

Gruß
Spirit
137084
137084 05.09.2018 aktualisiert um 20:40:20 Uhr
Goto Top
hmmm .... der Client der den Service nutzt, ruft aber den Port 443 explizit auf (Exchange Active Syn)
Du verstehst falsch! Das was der Client aufruft ist der Zielport, den Quellport den das Paket bekommt wählt der Client bzw. dessen NAT Router random aus den ephemeral Ports und genau das ist hier mit Quellport gemeint!

Zeig uns doch mal bitte dein ganzes Firewall-Regelwerk, evt. steht die Regel an der falschen Position und wirkt damit nicht..
Akcent
Akcent 05.09.2018 um 20:45:10 Uhr
Goto Top
hmmm .... der Client der den Service nutzt, ruft aber den Port 443 explizit auf (Exchange Active Syn)
Du verstehst falsch! Das was der Client aufruft ist der Zielport, den Quellport den das Paket bekommt wählt der Client bzw. dessen NAT Router random aus den ephemeral Ports und genau das ist hier mit Quellport gemeint!
ok und Danke für die Info

Zeig uns doch mal bitte dein ganzes Firewall-Regelwerk, evt. steht die Regel an der falschen Position und wirkt damit nicht..

Es gibt nur eine Regel face-wink

05-09-_2018_20-43-37
Akcent
Akcent 05.09.2018 um 20:50:30 Uhr
Goto Top
Jetzt geht es.
Auf dem Server mußte ich noch einen Dienst neu starten.

Danke für die tolle Unterstützung hier.
Lösung war wohl den Quellport leer zu lassen.
Spirit-of-Eli
Spirit-of-Eli 05.09.2018 um 21:22:49 Uhr
Goto Top
Dann Lösung markieren und auf gelöst setzen.
gelöstFrageSicherheitFirewall
Mehr von AkcentAkcentEcoDMS Dokumente werden nicht gefundenAkcent - 22 KommentareAkcent1:1 Kopie eines alten HP Server unter Windows 2000Akcent - 24 KommentareAkcentWindows 2016 Server herunterfahren der Dienst Gruppenrichtlinienclient wird beendetAkcent - 4 KommentareAkcentAdressbuch Outlook 2019 greift nicht auf die Adressen auf einer PST Datei zuAkcent - 3 Kommentare
Heiß diskutiert
kreuzbergerFestplatte erscheint als "nicht initialisiert"kreuzberger - 44 KommentareASMFreakSSH: Shutdown mittels SkriptASMFreak - 31 KommentareAbstrackterSystemimperatorFreitagsfrage: Wie schaffe ich, dass ich meine Defizite ausmerzen kann?AbstrackterSystemimperator - 29 KommentarepaperanKaufberatung Notebook 17 Zollpaperan - 25 KommentarejimmmyCisco Catalyst 1200 vs HPE Aruba 1930?jimmmy - 24 KommentareswisstomOutlook (new): Shared Mailboxes lassen sich nicht öffnenswisstom - 24 KommentareStefanKittelLenovo-Dock nur 2 MonitoreStefanKittel - 24 KommentaremaximalzCAP ax bekommt keine Verbindung zum Capsmanmaximalz - 20 KommentareKnettenbrechEinfache Telefonanlage für daheimKnettenbrech - 18 KommentareLooser27FortiClient - DNS Server werden nicht gelöschtLooser27 - 15 KommentaresugramDriveSnapshot - Restore der gesamten Platte per CMD (Frage)sugram - 14 KommentareJet1199Exchange 2007 und 2019 gleichzeitig (während Migration)Jet1199 - 14 KommentaretxmazingServerView Management and Serviceabilitytxmazing - 14 Kommentare