3
SLES 10 - masquerading funktioniert nicht
Hallo,
folgende Ausgangssituation:
Ich habe einen Exchange Server der von extern (Internet -> Mobile User) über imap (Port 143) angesprochen werden soll.
Imap Dienst auf Exchange Server läuft!
Die Internetanbindung macht bei uns ein SLES Version 10 Rechner.
Sprich: INTERNET <----> EXTERNES NETZ <---> SLES 10 <---> INTERNES NETZ
Problem:
telnet 10.1.2.3 143 -----> FUNKTIONIERT
telnet feste-ip-zum-internet 143 -----> FUNKTIONIERT NICHT
Konfiguration am SLES 10 Rechner:
YAST2 -> Sicherheit und Benutzer -> Firewall -> Masquerading
Masquerading für Netzwerke = Aktiviert
Anfragen an Masquerading IP umleiten:
QuellNetzwerk: 0/0
Protokoll: TCP
Benötigte IP: -
Benötigter Port: imap(143)
Umleiten an IP: 10.1.2.3
Umleiten an Port: imap(143)
Weiter -> Einstellungen Speichern und Firewall Neustarten
sollte doch eigentlich alles passen?!
Ich weiß nicht was ich falsch mache...
Vielleicht kann mir ja ein Linux/Computer-Guru hier im Forum helfen.
Ich freue mich auf sämtliche antworten
Viele Grüße
David
folgende Ausgangssituation:
Ich habe einen Exchange Server der von extern (Internet -> Mobile User) über imap (Port 143) angesprochen werden soll.
Imap Dienst auf Exchange Server läuft!
Die Internetanbindung macht bei uns ein SLES Version 10 Rechner.
Sprich: INTERNET <----> EXTERNES NETZ <---> SLES 10 <---> INTERNES NETZ
Problem:
telnet 10.1.2.3 143 -----> FUNKTIONIERT
telnet feste-ip-zum-internet 143 -----> FUNKTIONIERT NICHT
Konfiguration am SLES 10 Rechner:
YAST2 -> Sicherheit und Benutzer -> Firewall -> Masquerading
Masquerading für Netzwerke = Aktiviert
Anfragen an Masquerading IP umleiten:
QuellNetzwerk: 0/0
Protokoll: TCP
Benötigte IP: -
Benötigter Port: imap(143)
Umleiten an IP: 10.1.2.3
Umleiten an Port: imap(143)
Weiter -> Einstellungen Speichern und Firewall Neustarten
sollte doch eigentlich alles passen?!
Ich weiß nicht was ich falsch mache...
Vielleicht kann mir ja ein Linux/Computer-Guru hier im Forum helfen.
Ich freue mich auf sämtliche antworten
Viele Grüße
David
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 92629
Url: https://administrator.de/contentid/92629
Ausgedruckt am: 26.11.2024 um 12:11 Uhr
3 Kommentare
Neuester Kommentar
Gibt '/proc/sys/net/ipv4/ip_forward' eine '1' aus? Wie sehen die iptables-Regeln aus (iptables -L)? Ist evtl. noch ein Portforwarding notwendig? Was heisst "funktioniert nicht"... kommt ein 'destination host unreachable' oder bleibt die Verbindung einfach hängen? Ist der Mailserver mittels Ping erreichbar? An welcher Stelle bleibt ein 'traceroute' hängen?
Gibt '/proc/sys/net/ipv4/ip_forward' eine '1' aus?
Die Ausgabe ist folgende: /proc/sys/net/ipv4/ip_forward: Permission denied
schaue ich aber direkt in die Datei, steht darin eine "1".
Wie sehen die iptables-Regeln aus (iptables -L)?
Folgendes könnte da relevant sein (Die andeen Ausgaben beziehensich auf andere Protokolle):
Ist evtl. noch ein Portforwarding notwendig?
In wie fern? Ich will ja nur: Alles aus dem Internet (von Port 143) zu exchange Server (10.1.2.3) auf Port 143.
Was heisst "funktioniert nicht"... kommt ein 'destination host unreachable' oder bleibt die Verbindung einfach hängen?
telnet: connect to address externe-feste-ip-adresse: Connection refused (von Linux aus)
Verbindungsaufbau zu externe-feste-ip-adresse:...Es konnte keine Verbindung mit dem Host h
ergestellt werden, auf Port 143: Verbinden fehlgeschlagen (von Windows aus)
ist der Mailserver mittels Ping erreichbar?
Ja, ist erreichbar! OWA über Apache Reverse-Proxy funktioniert auch.
An welcher Stelle bleibt ein 'traceroute' hängen?
Ich komme bis zu unseren SLES-10 Server, woberi ich bei tracert/treaceroute keinen Port mit angeben kann.
Viele Grüße
David
Die Ausgabe ist folgende: /proc/sys/net/ipv4/ip_forward: Permission denied
schaue ich aber direkt in die Datei, steht darin eine "1".
Wie sehen die iptables-Regeln aus (iptables -L)?
Folgendes könnte da relevant sein (Die andeen Ausgaben beziehensich auf andere Protokolle):
LOG tcp -- anywhere exchange.domäne.local limit: avg 3/m in burst 5 tcp dpt:imap state NEW LOG level warning tcp-options ip-options prefi x `SFW2-FWDint-ACC-REVMASQ '
ACCEPT tcp -- anywhere exchange.domäne.local tcp dpt:imap
ACCEPT tcp -- exchange.domäne.local anywhere state RELATED, ESTABLISHED
LOG tcp -- anywhere exchange.domäne.local limit: avg 3/m in burst 5 tcp dpt:smtps state NEW LOG level warning tcp-options ip-options pref ix `SFW2-FWDint-ACC-REVMASQ '
ACCEPT tcp -- anywhere exchange.domäne.local tcp dpt:smtps
ACCEPT tcp -- exchange.domäne.local anywhere state RELATED, ESTABLISHED
LOG tcp -- anywhere exchange.domäne.local limit: avg 3/m in burst 5 tcp dpt:imaps state NEW LOG level warning tcp-options ip-options pref ix `SFW2-FWDint-ACC-REVMASQ '
ACCEPT tcp -- anywhere exchange.domäne.local tcp dpt:imaps
ACCEPT tcp -- exchange.domäne.local anywhere state RELATED, Ist evtl. noch ein Portforwarding notwendig?
In wie fern? Ich will ja nur: Alles aus dem Internet (von Port 143) zu exchange Server (10.1.2.3) auf Port 143.
Was heisst "funktioniert nicht"... kommt ein 'destination host unreachable' oder bleibt die Verbindung einfach hängen?
telnet: connect to address externe-feste-ip-adresse: Connection refused (von Linux aus)
Verbindungsaufbau zu externe-feste-ip-adresse:...Es konnte keine Verbindung mit dem Host h
ergestellt werden, auf Port 143: Verbinden fehlgeschlagen (von Windows aus)
ist der Mailserver mittels Ping erreichbar?
Ja, ist erreichbar! OWA über Apache Reverse-Proxy funktioniert auch.
An welcher Stelle bleibt ein 'traceroute' hängen?
Ich komme bis zu unseren SLES-10 Server, woberi ich bei tracert/treaceroute keinen Port mit angeben kann.
Viele Grüße
David
ich glaube fast die Weiterleitung von der Linux Seite funktioniert, aber der Excahnge Server lässt es nicht durch...
Ich habe jetzt nämlich testweise auf einen client mal wireshark installiert und den port auf diesen umgeleitet. Wireshark zeigt bei jeden Verbindungsversuch aktivität -> Sprich Weiterleitung funktioniert.
IP-Adresse (Testclient): 10.1.1.16 (funktioniert von extern)
IP-Adresse (Proxy, Gateway): 10.1.1.8
IP-Adresse (exchange): 10.1.3.2
Subnetz: 255.255.0.0
Netzwerkseitig dürfte es doch da auch keine Probleme geben oder?
Nachtrag:
Noch zu erwähnen ist, dass diese Konfiguration vorher schon einmal lief, nur jetzt nicht mehr.
einzige Änderungen:
1. Auf Exchange Server 2003 läuft OWAadmin
2. Der Exchange Server läuft nicht mehr auf 10.1.1.6 sonder auf 10.1.3.2
Ich habe jetzt nämlich testweise auf einen client mal wireshark installiert und den port auf diesen umgeleitet. Wireshark zeigt bei jeden Verbindungsversuch aktivität -> Sprich Weiterleitung funktioniert.
IP-Adresse (Testclient): 10.1.1.16 (funktioniert von extern)
IP-Adresse (Proxy, Gateway): 10.1.1.8
IP-Adresse (exchange): 10.1.3.2
Subnetz: 255.255.0.0
Netzwerkseitig dürfte es doch da auch keine Probleme geben oder?
Nachtrag:
Noch zu erwähnen ist, dass diese Konfiguration vorher schon einmal lief, nur jetzt nicht mehr.
einzige Änderungen:
1. Auf Exchange Server 2003 läuft OWAadmin
2. Der Exchange Server läuft nicht mehr auf 10.1.1.6 sonder auf 10.1.3.2
