10
Fortigate Firewall Port Forwarding
Hallo!
es gibt Problem mit meiner Fortigate 50B.
Ich möchte nämlich Port forwarding einrichten jedoch gelingt mir das nicht wirklich.
wenn ich mit telnet den port testen will ob er offen ist, zeigt telnet an, dass er zu ist.
externe IP: 93.83.7.134
interne Server IP: 192.168.1.99
Virtual IP
Name: test
IP: wan1/93.83.7.134
Service Port: 1433/tcp
Map to IP/ IP range: 192.168.1.99
Map to Port: 1433-1434/tcp
Policy
Name: test2
Source Interface: wan1 (93.83.7.134 / 255.255.255.252)
Source Adress: all (0.0.0.0/0.0.0.0)
Destination Interface: internal (192.168.1.1 / 255.255.255.0)
Destination Adress: test
Schedule: always
Service: any
Action: accept
JEDOCH!
genau das gleiche mit port 3389 für rdp funtkioniert.
liegt es an der Fortigate FW oder liegt das Problem wo anders? Es ist sonst keine FW installiert.
ich hoffe auf euere Hilfe =)
mfg Michl
es gibt Problem mit meiner Fortigate 50B.
Ich möchte nämlich Port forwarding einrichten jedoch gelingt mir das nicht wirklich.
wenn ich mit telnet den port testen will ob er offen ist, zeigt telnet an, dass er zu ist.
externe IP: 93.83.7.134
interne Server IP: 192.168.1.99
Virtual IP
Name: test
IP: wan1/93.83.7.134
Service Port: 1433/tcp
Map to IP/ IP range: 192.168.1.99
Map to Port: 1433-1434/tcp
Policy
Name: test2
Source Interface: wan1 (93.83.7.134 / 255.255.255.252)
Source Adress: all (0.0.0.0/0.0.0.0)
Destination Interface: internal (192.168.1.1 / 255.255.255.0)
Destination Adress: test
Schedule: always
Service: any
Action: accept
JEDOCH!
genau das gleiche mit port 3389 für rdp funtkioniert.
liegt es an der Fortigate FW oder liegt das Problem wo anders? Es ist sonst keine FW installiert.
ich hoffe auf euere Hilfe =)
mfg Michl
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 165557
Url: https://administrator.de/contentid/165557
Printed on: April 23, 2024 at 13:04 o'clock
10 Comments
Latest comment
1433 oder 1434 ist kein Telnet Port ! Das ist TCP 23 oder machst du dort Port Translation bzw. wohin telnettest du ?
Danke schon mal für die rasche Antwort 
ich wollte mit telnet testen ob der Port offen ist. z.B. telnet 93.83.7.134 1433
den telnet Befehl habe ich von zu Hause, also von außen, ausgeführt
gibt es sonst eine Möglichkeite heraus zu finden ob ein Port offen ist? außer Online-Port-Scanner...
ich brauche den Port 1433 für eine SQL Verbindung von außen zum Server.
ich wollte mit telnet testen ob der Port offen ist. z.B. telnet 93.83.7.134 1433
den telnet Befehl habe ich von zu Hause, also von außen, ausgeführt
gibt es sonst eine Möglichkeite heraus zu finden ob ein Port offen ist? außer Online-Port-Scanner...
ich brauche den Port 1433 für eine SQL Verbindung von außen zum Server.
Erstmal solltest du natürlich intern testen ob mit dem Telnet auf Port 1433 irgendeine sinnvolle Antwort oder zeichen zurückkommt !
Wenn das der Fall ist sollte das Telnet von remote natürlich den gleichen Output liefern.
Wenn nicht verhindert das meist die lokale Firewall des Rechners den du ansprichst sofern du das nicht customized hast dort (du kommst mit nicht lokalen IP Adressen rein was die FW immer blockt im Default !)
Gehts immer noch nicht, ist deine Port Forwarding Regel schlicht falsch.
Ansonsten ist das eine gängige und durchaus legitime Möglichkeit das mit einem dedizierten Telnet Port zu machen...vorausgesetzt du weisst auch das was zurückkommt.
Wenn alle Stricke reissen hilft dir wie immer der Wireshark oder der MS NetMonitor um zu sehen ob die Pakete ankommen !
Wenn das der Fall ist sollte das Telnet von remote natürlich den gleichen Output liefern.
Wenn nicht verhindert das meist die lokale Firewall des Rechners den du ansprichst sofern du das nicht customized hast dort (du kommst mit nicht lokalen IP Adressen rein was die FW immer blockt im Default !)
Gehts immer noch nicht, ist deine Port Forwarding Regel schlicht falsch.
Ansonsten ist das eine gängige und durchaus legitime Möglichkeit das mit einem dedizierten Telnet Port zu machen...vorausgesetzt du weisst auch das was zurückkommt.
Wenn alle Stricke reissen hilft dir wie immer der Wireshark oder der MS NetMonitor um zu sehen ob die Pakete ankommen !
Hallo,
auf den ersten Blick sieht das ganz gut aus, ich würde allerdings noch einige Detail umstellen:
externe IP: 93.83.7.134
interne Server IP: 192.168.1.99
Virtual IP
Name: test
IP: wan1/93.83.7.134
Service Port: 1433/tcp
Map to IP/ IP range: 192.168.1.99
Map to Port: 1433/tcp - Port 1434/tcp sollte eigentlich überflüssig sein
Policy
Name: test2
Source Interface: wan1 (93.83.7.134 / 255.255.255.252)
Source Adress: all (0.0.0.0/0.0.0.0)
Destination Interface: internal (192.168.1.1 / 255.255.255.0)
Destination Adress: test
Schedule: always
Service: MSSQL - an dieser Stelle ANY zu verwenden ist schon fast wie Russisches Roulette!
Action: accept
Die Erreichbarkeit des MSSQL-Dienstes kann man durchaus mit telnet testen (telnet 93.83.7.134 1433), allerdings solltest du auch (wie aqui geschrieben hat) die Windows-Firewall beachten. Ansonsten kannst du auf der CLI der Fortigate (oder per ssh-Session) den Packetfluss beobachten:
diag sniff paket any "tcp and port 1433" 4
Dabei werden dir alle ein- und ausgehenden Packete inkl. der verwendeten Ports angezeigt. Bitte achte darauf, das du in der Policy auch wirklich deine VIP als Destination verwendest, und nicht etwa ein Adress-Objekt, das zufälligerweise ebenfalls "test" heißt.
Übrigens: Welche Firmware ist auf der Fortigate installiert?
mfg
Harald
auf den ersten Blick sieht das ganz gut aus, ich würde allerdings noch einige Detail umstellen:
externe IP: 93.83.7.134
interne Server IP: 192.168.1.99
Virtual IP
Name: test
IP: wan1/93.83.7.134
Service Port: 1433/tcp
Map to IP/ IP range: 192.168.1.99
Map to Port: 1433/tcp - Port 1434/tcp sollte eigentlich überflüssig sein
Policy
Name: test2
Source Interface: wan1 (93.83.7.134 / 255.255.255.252)
Source Adress: all (0.0.0.0/0.0.0.0)
Destination Interface: internal (192.168.1.1 / 255.255.255.0)
Destination Adress: test
Schedule: always
Service: MSSQL - an dieser Stelle ANY zu verwenden ist schon fast wie Russisches Roulette!
Action: accept
Die Erreichbarkeit des MSSQL-Dienstes kann man durchaus mit telnet testen (telnet 93.83.7.134 1433), allerdings solltest du auch (wie aqui geschrieben hat) die Windows-Firewall beachten. Ansonsten kannst du auf der CLI der Fortigate (oder per ssh-Session) den Packetfluss beobachten:
diag sniff paket any "tcp and port 1433" 4
Dabei werden dir alle ein- und ausgehenden Packete inkl. der verwendeten Ports angezeigt. Bitte achte darauf, das du in der Policy auch wirklich deine VIP als Destination verwendest, und nicht etwa ein Adress-Objekt, das zufälligerweise ebenfalls "test" heißt.
Übrigens: Welche Firmware ist auf der Fortigate installiert?
mfg
Harald
Hallo!
danke euch beiden für eure Hilfe.
Den Service MSSQL habe ich selbst erstellen müssen. Dafür habe ich folgenden Einstellungen verwendet:
Name: MSSQL
Protocoltype: TCP/UDP
Protocol: TCP
Source Port
Low: 1433
High: 1433
Destination Port
Low: 1433
High: 1433
sind meine Gedankengänge korrekt?
Firmware Version ist 3.00-b0673 (MR6 Patch 4)
noch zur Info:
Windows FW ist deaktiviert
GData hat keine FW installiert
danke euch beiden für eure Hilfe.
Den Service MSSQL habe ich selbst erstellen müssen. Dafür habe ich folgenden Einstellungen verwendet:
Name: MSSQL
Protocoltype: TCP/UDP
Protocol: TCP
Source Port
Low: 1433
High: 1433
Destination Port
Low: 1433
High: 1433
sind meine Gedankengänge korrekt?
Firmware Version ist 3.00-b0673 (MR6 Patch 4)
noch zur Info:
Windows FW ist deaktiviert
GData hat keine FW installiert
Hallo,
in FortiOS 3.00 ist der Dienst MSSQL noch nicht automatisch enthalten, hier sind die korrigierten Werte dafür:
Name: MSSQL
Protocoltype: TCP/UDP
Protocol: TCP
Source Port
Low: 1
High: 65535
Destination Port
Low: 1433
High: 1433
Ansonsten solltest du besser auf eine aktuellere Firmware upgraden (mindestens FOS 3.00 MR7patch10 oder auch gleich FOS 4.00 MR1patch9).
mfg
Harald
in FortiOS 3.00 ist der Dienst MSSQL noch nicht automatisch enthalten, hier sind die korrigierten Werte dafür:
Name: MSSQL
Protocoltype: TCP/UDP
Protocol: TCP
Source Port
Low: 1
High: 65535
Destination Port
Low: 1433
High: 1433
Ansonsten solltest du besser auf eine aktuellere Firmware upgraden (mindestens FOS 3.00 MR7patch10 oder auch gleich FOS 4.00 MR1patch9).
mfg
Harald
Hallo,
ist das Problem damit gelöst?
Falls ja, den Thread bitte entsprechend markieren.
mfg
harald
ist das Problem damit gelöst?
Falls ja, den Thread bitte entsprechend markieren.
mfg
harald
FW Einstellungen sollten ja jetzt richtig sein.
Leider kommt ein SQL Zugriff noch immer nicht zustande... mssql_connect( '93.83.7.134', 'BN', 'PW');
habt ihr da noch Ideen was hier noch falsch sein könnte?
btw. ganz großes thx
Leider kommt ein SQL Zugriff noch immer nicht zustande... mssql_connect( '93.83.7.134', 'BN', 'PW');
habt ihr da noch Ideen was hier noch falsch sein könnte?
btw. ganz großes thx
Hallo,
versuche doch mal auf der Firewall-Konsole den Traffic zu sniffen:
diag sniff packet any "tcp and port 1433" 4
mfg
Harald
versuche doch mal auf der Firewall-Konsole den Traffic zu sniffen:
diag sniff packet any "tcp and port 1433" 4
mfg
Harald
nur zur Info:
die FW Einstellungen sind richtig
Ich musste Einstellungen in der SQL Configuration ändern.
mfg
die FW Einstellungen sind richtig
Ich musste Einstellungen in der SQL Configuration ändern.
mfg
