Verständnisfrage NAT und DNS
Hallo zusammen,
folgendes Szenario:
Wenn ich jetzt eine NAT-Regel anlege: " ANY:5000 -> mail.firma.de ÜBERSETZE NACH ApacheWebserver:5000 " - Warum funktioniert dann hier die Weiterleitung nicht?
Hab ich was übersehen? Muss noch was anderes konfiguriert werden?
Danke für jede Hilfe.
Grüße, JD
folgendes Szenario:
- Domain "firma.de" zeigt auf öffentliche IP X.X.X.A, welche einem gehosteten Webserver (1&1) gehört
- Subdomain "mail.firma.de" zeigt auf öffentliche IP X.X.X.B, diese gehört zum Firmenanschluss
- "mail.firma.de" ist außerdem ist sie als MX-Record für "firma.de" eingetragen
- Eine SophosUTM macht am Firmenanschluss Firewall, NAT, Routing, ...
- Im Internen Netz gibt es zwei Webserver: den Exchange 2013 (OWA) und einen Apache.
- Auf der SophosUTM ist eine DNAT-Regel angelegt: " ANY:443 --> mail.firma.de ÜBERSETZE NACH Exchange2013:443 "
Wenn ich jetzt eine NAT-Regel anlege: " ANY:5000 -> mail.firma.de ÜBERSETZE NACH ApacheWebserver:5000 " - Warum funktioniert dann hier die Weiterleitung nicht?
Hab ich was übersehen? Muss noch was anderes konfiguriert werden?
Danke für jede Hilfe.
Grüße, JD
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 361723
Url: https://administrator.de/contentid/361723
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
8 Kommentare
Neuester Kommentar
Hallo,
doch, das sollte so funktionieren.
Ob es sinnvoll ist, ist eine 2. Frage.
1. Lauscht denn der Webserver wirklich auf Port 5000?
2. Der Aufruf ist sicher http://mail.firma.de:5000?
Stefan
doch, das sollte so funktionieren.
Ob es sinnvoll ist, ist eine 2. Frage.
1. Lauscht denn der Webserver wirklich auf Port 5000?
2. Der Aufruf ist sicher http://mail.firma.de:5000?
Stefan
Zu 2.)
Der TO hat ja leider versäumt mitzuteilen ob er TCP oder UDP umleitet (oder auch beides).
Macht er nur UDP dann kommt natürlich bei http://mail.firma.de:5000 nix an denn das wäre TCP Encapsulation.
So oder so muss das aber klappen.
Hätte der TO mal einen Wireshark zur Hand genommen und an der Firewall überprüft ob sie überhaupt TCP oder UDP 5000 forwardet hätte er sich den Thread vermutlich sparen können, denn die Forwarding Regel ist bei einer FW ja nur die halbe Miete. Es muss zusätzlich ja auch immer eine Inbound Regel am WAN Port erstellt werden die inbound Port UDP oder TCP 5000 auf die WAN oder Alias IP erlaubt.
Auch mal ganz davon abgesehen das der Port 5000 ein reservierter IANA Port ist. Für eigene Experimente mit Ports sollte man deshalb immer die freien Ephemeral Ports zw. 49152 und 65535 verwenden. Also z.B. 55000.
Aber ggf. ist ja die 5000 auch seine registrierte Anwendung ?!
Freitags Fazit:
Wireshark ist wie immer der beste Freund.
Vermutlich hat die Sophos Gurke aber auch eine Paket Tracing Funktion wie alle guten Firewalls mit der man sofort hätte sehen können was mit dort eingehenden Port 5000 Paketen passiert ?!
Der TO hat ja leider versäumt mitzuteilen ob er TCP oder UDP umleitet (oder auch beides).
Macht er nur UDP dann kommt natürlich bei http://mail.firma.de:5000 nix an denn das wäre TCP Encapsulation.
So oder so muss das aber klappen.
Hätte der TO mal einen Wireshark zur Hand genommen und an der Firewall überprüft ob sie überhaupt TCP oder UDP 5000 forwardet hätte er sich den Thread vermutlich sparen können, denn die Forwarding Regel ist bei einer FW ja nur die halbe Miete. Es muss zusätzlich ja auch immer eine Inbound Regel am WAN Port erstellt werden die inbound Port UDP oder TCP 5000 auf die WAN oder Alias IP erlaubt.
Auch mal ganz davon abgesehen das der Port 5000 ein reservierter IANA Port ist. Für eigene Experimente mit Ports sollte man deshalb immer die freien Ephemeral Ports zw. 49152 und 65535 verwenden. Also z.B. 55000.
Aber ggf. ist ja die 5000 auch seine registrierte Anwendung ?!
Freitags Fazit:
Wireshark ist wie immer der beste Freund.
Vermutlich hat die Sophos Gurke aber auch eine Paket Tracing Funktion wie alle guten Firewalls mit der man sofort hätte sehen können was mit dort eingehenden Port 5000 Paketen passiert ?!
Moin,
Vermutlich weil Du etwas falsch gemacht hast.
Aber Deine Angaben sind etwas dürftig.
Wie hast Du festgestellt, daß es nicht funktioniert? Sniffer? Fehlermeldung? User beklagen sich?
Die Frage ist doch, welche Protokolle (UDP? TCP?) leitest Du um und lauscht denn Dein Indianer überhaupt auf Port 5000?
Hast Du denn auch einen apache virtual webserver der auf mail.firma.de:5000 lauscht? Oder lauscht der nur auf www.firma.de:5000?
lks
Vermutlich weil Du etwas falsch gemacht hast.
Aber Deine Angaben sind etwas dürftig.
Wie hast Du festgestellt, daß es nicht funktioniert? Sniffer? Fehlermeldung? User beklagen sich?
Die Frage ist doch, welche Protokolle (UDP? TCP?) leitest Du um und lauscht denn Dein Indianer überhaupt auf Port 5000?
Hast Du denn auch einen apache virtual webserver der auf mail.firma.de:5000 lauscht? Oder lauscht der nur auf www.firma.de:5000?
lks
Also bei meiner Sophos hat eine DNAT-Regel nichts mit Weiterleitung zu tun. Beides muss/kann getrennt angelegt werden. Die Route oder das Port-Forwarding leitet das Datenpaket weiter, die Firewall läßt das per Regel zu (oder auch nicht) und NAT verschleiert die Herkunft und setzt den Router als Absender seine IP anstelle des tatsächlichen Hosts im Absender-Netz.