lochkartenstanzer
Goto Top

Loch für SSH durch Zywall USG 100 per Portforwarding und NAT

Moin liebe Kollegen,

Ich bin wie die Jungfrau zu einem Zywall USG100 gekommen, mit der ich wenig Erfahrung habe (Der Kunde hat die Kiste und will die natürlich nicht ersetzen). Ich versuche da jetzt ein Loch für ssh druchzubohren, damit man an ein System dahinter per ssh zugreifen und warten kann. Das soll durch eine Portweiterleitung von einem Highport (weit jenseits von 30000) auf den Port 22 des Zielystems erfolgen. Dieses Setup habe ich bei anderen Kunden schon dutzendfach mit anderen Firewalls aufgesetzt ohne dabei Probleme zu haben. Laut google-Ergebnisen genügt es angeblich eine NAT-Regel zu erstellen und die Firewall für den passenden Port freizuschalten, was ich auch gemacht habe.

Trotzdem funktioneirt der Mist nicht. Hier mal zwei Screenshots dazu:

NAT-Regeln:

3dc299d6fd8e556e31733266641d88ac

Firewall-regeln (Auszug):

21374c470877f1e3b4d2eccff437ae40

Es sind verschiedene Regeln angelegt, weil ich da diverse Varianten durchprobiert habe.

Kann mich einer mal in die richtige Richtung stoßen, wo ich da noch dran drehen muß?

Schönen Sonntag noch,

lks

PS: Ich habe natürlich das capture-Feature der Zywall benutzt udn dabei festgestellt, daß die Pakete zwar bis zur zywall kommen, aber dahinter nicht weitergeleitet werden. es muß also irgendetwas an den Regeln sein.

PPS: Systeminfo:

9335a21a505711f116777d42f4c3242a

Content-Key: 219906

Url: https://administrator.de/contentid/219906

Ausgedruckt am: 29.03.2024 um 01:03 Uhr

Mitglied: sk
sk 20.10.2013 aktualisiert um 17:13:28 Uhr
Goto Top
Hallo,

1) Zunächst mal eines vorweg, um mein Gewissen wenigstens ein wenig zu entlasten: Nach der reinen Lehre gibt es niemals einen direkten Zugriff von Outside nach Inside! Was Du aus diesem Hinweis machst, ist Dein Bier. Ich verkneife mir diesbezüglich weitere Kommentare.

2) Die bisher angelegten Regeln bitte rückstandslos löschen. Dabei sträuben sich mir ebenfalls die Nackenhaare!

3) Nun zum Inhaltlichen:
Die Zywall arbeitet das Firewall-Regelwerk erst nach der NAT-Regel ab. Daraus ergibt sich:

3a NAT-Regel
Incoming Interface: vermutlich WAN1_ppp (musst Du wissen)
Original_IP: IP_Interface_WAN1_ppp (kann ein dynamisches Objekt sein)
Mapped_IP: interne_IP_Zielserver
Protocol: TCP
Original Port: Highport_extern
Mapped_Port: 22

3b Firewall-Regel
From: WAN
To: LAN1 (bzw. die Zone, in der der Server steht)
Source: any
Destination: interne_IP_Zielserver
Service: SSH
Action: Allow


Testen solltest Du zur Sicherheit von außen - ohne NAT-Loopback.


Gruß
sk
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.10.2013 aktualisiert um 18:30:09 Uhr
Goto Top
Zitat von @sk:
Hallo,

1) Zunächst mal eines vorweg, um mein Gewissen wenigstens ein wenig zu entlasten: Nach der reinen Lehre gibt es niemals einen
direkten Zugriff von Outside nach Inside! Was Du aus diesem Hinweis machst, ist Dein Bier. Ich verkneife mir diesbezüglich
weitere Kommentare.

Ist auch mein Motto, aber gibt Situationen, wo das notwendig ist. Wenn man ssh richtig konfiguriert hat, (kein Paßwort-Login, kein root-Login, verifizierte Keys, etc.) ist das meist auch kein Problem.


2) Die bisher angelegten Regeln bitte rückstandslos löschen. Dabei sträuben sich mir ebenfalls die Nackenhaare!

Gut. Das hat sich beim Test so ein Wust ergeben, wäre nach dem funktionieren schon aufgeräumt worden. face-smile


3) Nun zum Inhaltlichen:
Die Zywall arbeitet das Firewall-Regelwerk erst nach der NAT-Regel ab. Daraus ergibt sich:

3a NAT-Regel
Incoming Interface: vermutlich WAN1_ppp (musst Du wissen)
Original_IP: IP_Interface_WAN1_ppp (kann ein dynamisches Objekt sein)
Mapped_IP: interne_IP_Zielserver
Protocol: TCP
Original Port: Highport_extern
Mapped_Port: 22

ich habe zwei wan-ports, die beide per PPPoE arbeiten. Da die DSL-Leuitugnen auf dem Dorf "dünn" sind, sind da gelich zwei "zusammengeschaltet".


3b Firewall-Regel
From: WAN
To: LAN1 (bzw. die Zone, in der der Server steht)
Source: any
Destination: interne_IP_Zielserver
Service: SSH
Action: Allow

Ah ja, das scheint der Knackpunkt zu sein. Werde ich gleich mal probieren.


Testen solltest Du zur Sicherheit von außen - ohne NAT-Loopback.

NAT-Loopback ist aus, habe ich verifiziert. Der Test erfolgt gleich, nachdem ich die regeln eingerichtet habe

Gruß
sk

Danke,

lks
Mitglied: Lochkartenstanzer
Lochkartenstanzer 20.10.2013 aktualisiert um 18:10:55 Uhr
Goto Top
Nochmal danke für den Hinweis.

Der entscheidende Knackpunkt war, daß erst die NAT-Regeln und dann die Firewall-Regeln greifen. ich war irgendwie in der irrigen Annahme, die Firewall--Regeln so hinschreiben zu müssen, daß sie auf ein Paket passen, daß gerade von außen reinkommt. Deswegen die jetzt im nachhinein "wirren" Regeln.

Ich habe jetzt zwei NAT-Regeln (jeweils für wan1_ppp und wan2_ppp (WAN konnte ich nicht direkt auswählen) und eine Firewall-Regel. Schön aufgeräumt also.

Danke für die schnelle Hilfe und einen schönen Sonntag noch. hast ein Bier bei mir gut. Melde dich, wenn Du in Süddeutschland (HN/KA/MA) bist oder vorbeikommst.

lks
Mitglied: sk
sk 20.10.2013 um 21:11:20 Uhr
Goto Top
Zitat von @Lochkartenstanzer:
Der entscheidende Knackpunkt war, daß erst die NAT-Regeln und dann die Firewall-Regeln greifen. ich war irgendwie in der
irrigen Annahme, die Firewall--Regeln so hinschreiben zu müssen, daß sie auf ein Paket passen, daß gerade von
außen reinkommt. Deswegen die jetzt im nachhinein "wirren" Regeln.

Bei manchen Herstellern ist dies auch so. face-wink


Zitat von @Lochkartenstanzer:
Danke für die schnelle Hilfe

Gern geschehen!


Gruß
Steffen
Mitglied: Lochkartenstanzer
Lochkartenstanzer 21.10.2013 um 10:10:27 Uhr
Goto Top
Zitat von @sk:
> Zitat von @Lochkartenstanzer:
> ----
> Der entscheidende Knackpunkt war, daß erst die NAT-Regeln und dann die Firewall-Regeln greifen. ich war irgendwie in
der
> irrigen Annahme, die Firewall--Regeln so hinschreiben zu müssen, daß sie auf ein Paket passen, daß gerade
von
> außen reinkommt. Deswegen die jetzt im nachhinein "wirren" Regeln.

Bei manchen Herstellern ist dies auch so. face-wink

Im nachhinein wundere ich mich selbst , warum ich da nicht gleich darauf gekommen bin, weil ich ja schon diverse andere Hersteller in den Fingern hatte. Vermutlich habe ich mich aus Versehen auf die Leitung gesetzt, bis Du mich runtergeschubst hast. face-smile

lks