johndorian
Goto Top

Verständnisfrage NAT und DNS

Hallo zusammen,

folgendes Szenario:

  • Domain "firma.de" zeigt auf öffentliche IP X.X.X.A, welche einem gehosteten Webserver (1&1) gehört
  • Subdomain "mail.firma.de" zeigt auf öffentliche IP X.X.X.B, diese gehört zum Firmenanschluss
  • "mail.firma.de" ist außerdem ist sie als MX-Record für "firma.de" eingetragen
  • Eine SophosUTM macht am Firmenanschluss Firewall, NAT, Routing, ...
  • Im Internen Netz gibt es zwei Webserver: den Exchange 2013 (OWA) und einen Apache.
  • Auf der SophosUTM ist eine DNAT-Regel angelegt: " ANY:443 --> mail.firma.de ÜBERSETZE NACH Exchange2013:443 "

Wenn ich jetzt eine NAT-Regel anlege: " ANY:5000 -> mail.firma.de ÜBERSETZE NACH ApacheWebserver:5000 " - Warum funktioniert dann hier die Weiterleitung nicht?
Hab ich was übersehen? Muss noch was anderes konfiguriert werden?

Danke für jede Hilfe.

Grüße, JD

Content-ID: 361723

Url: https://administrator.de/forum/verstaendnisfrage-nat-und-dns-361723.html

Ausgedruckt am: 20.12.2024 um 07:12 Uhr

StefanKittel
Lösung StefanKittel 19.01.2018 um 09:47:21 Uhr
Goto Top
Hallo,

doch, das sollte so funktionieren.
Ob es sinnvoll ist, ist eine 2. Frage.

1. Lauscht denn der Webserver wirklich auf Port 5000?
2. Der Aufruf ist sicher http://mail.firma.de:5000?

Stefan
aqui
Lösung aqui 19.01.2018 aktualisiert um 10:04:21 Uhr
Goto Top
Zu 2.)
Der TO hat ja leider versäumt mitzuteilen ob er TCP oder UDP umleitet (oder auch beides).
Macht er nur UDP dann kommt natürlich bei http://mail.firma.de:5000 nix an denn das wäre TCP Encapsulation.
So oder so muss das aber klappen.

Hätte der TO mal einen Wireshark zur Hand genommen und an der Firewall überprüft ob sie überhaupt TCP oder UDP 5000 forwardet hätte er sich den Thread vermutlich sparen können, denn die Forwarding Regel ist bei einer FW ja nur die halbe Miete. Es muss zusätzlich ja auch immer eine Inbound Regel am WAN Port erstellt werden die inbound Port UDP oder TCP 5000 auf die WAN oder Alias IP erlaubt.
Auch mal ganz davon abgesehen das der Port 5000 ein reservierter IANA Port ist. Für eigene Experimente mit Ports sollte man deshalb immer die freien Ephemeral Ports zw. 49152 und 65535 verwenden. Also z.B. 55000.
Aber ggf. ist ja die 5000 auch seine registrierte Anwendung ?!
Freitags Fazit:
Wireshark ist wie immer der beste Freund.
Vermutlich hat die Sophos Gurke aber auch eine Paket Tracing Funktion wie alle guten Firewalls mit der man sofort hätte sehen können was mit dort eingehenden Port 5000 Paketen passiert ?!
Lochkartenstanzer
Lösung Lochkartenstanzer 19.01.2018 aktualisiert um 14:10:23 Uhr
Goto Top
Moin,

Zitat von @JohnDorian:

Warum funktioniert dann hier die Weiterleitung nicht?

Vermutlich weil Du etwas falsch gemacht hast. face-smile

Aber Deine Angaben sind etwas dürftig.

Wie hast Du festgestellt, daß es nicht funktioniert? Sniffer? Fehlermeldung? User beklagen sich?

Die Frage ist doch, welche Protokolle (UDP? TCP?) leitest Du um und lauscht denn Dein Indianer überhaupt auf Port 5000?

Hast Du denn auch einen apache virtual webserver der auf mail.firma.de:5000 lauscht? Oder lauscht der nur auf www.firma.de:5000?

lks
ukulele-7
ukulele-7 23.01.2018 um 15:18:54 Uhr
Goto Top
Also bei meiner Sophos hat eine DNAT-Regel nichts mit Weiterleitung zu tun. Beides muss/kann getrennt angelegt werden. Die Route oder das Port-Forwarding leitet das Datenpaket weiter, die Firewall läßt das per Regel zu (oder auch nicht) und NAT verschleiert die Herkunft und setzt den Router als Absender seine IP anstelle des tatsächlichen Hosts im Absender-Netz.
aqui
aqui 23.01.2018 um 22:12:51 Uhr
Goto Top
Es ging lediglich um die DNS Weiterleitung, NICHT um eine L3 Weiterleitung.
JohnDorian
JohnDorian 24.01.2018 um 10:05:30 Uhr
Goto Top
Das Problem ist gelöst, bzw. hat nie existiert...
Ich vermute, dass es deshalb nicht ging, weil die Anfrage aus dem selben Netz kam wie das Ziel der DNAT-Regel.

@alle: Danke für die Hilfe
@aqui: Weiterhin fröhliches "auf den TO einbashen" (Du solltest evtl. mal einsehen, dass nicht jeder Administrator deine Fähigkeiten und Akkuranz besitzt, sonst bekommst du früher oder später Herzprobleme face-wink )
aqui
aqui 24.01.2018 um 11:15:21 Uhr
Goto Top
Ich bin immer tiefentspannt face-big-smile
JohnDorian
JohnDorian 24.01.2018 um 13:10:26 Uhr
Goto Top
Sagen wir so - ich bin stets dankbar für deine zuverlässige Hilfe und versuche es jedes Mal aufs neue nicht persönlich zu nehmen face-wink