7
Sophos UTM Firewallregeln Webserver
Guten Abend,
ich bin gerade von pfSense auf Sophos umgestiegen.
Im Moment bin ich dabei meine Firewallregeln wieder zu basteln.
Ich betreibe einen nginx Webserver mit der IP 192.168.2.11 (DEB001). Zu diesem Server will ich Port 80, 443, 3306 zulassen.
Bei der pfSense habe ich das so gelöst:
Bei der Sophos habe ich es genauso eingerichtet (siehe Bild im Anhang)
Nur komme ich von außen nicht auf den Server. Im Firewalllog kommen die Anfrage garnicht vor.
Das WAN Interface hat die IP 192.168.1.2 und steht hinter einem Speedport 192.168.1.1 bei dem alle Ports freigegeben sind. Das ging mit der pfSense auch ohne Probleme.
Ich hoffe ihr könnt mir helfen. Ich schätze ich habe etwas übersehen.
mfg
maddig
ich bin gerade von pfSense auf Sophos umgestiegen.
Im Moment bin ich dabei meine Firewallregeln wieder zu basteln.
Ich betreibe einen nginx Webserver mit der IP 192.168.2.11 (DEB001). Zu diesem Server will ich Port 80, 443, 3306 zulassen.
Bei der pfSense habe ich das so gelöst:
Pass TCP * * 192.168.2.11 80 * none NAT DEB001 - HTTP
Pass TCP * * 192.168.2.11 443 * none NAT DEB001 - HTTPS
Pass TCP * * 192.168.2.11 3306 * none NAT DEB001 - MYSQL Bei der Sophos habe ich es genauso eingerichtet (siehe Bild im Anhang)
Nur komme ich von außen nicht auf den Server. Im Firewalllog kommen die Anfrage garnicht vor.
Das WAN Interface hat die IP 192.168.1.2 und steht hinter einem Speedport 192.168.1.1 bei dem alle Ports freigegeben sind. Das ging mit der pfSense auch ohne Probleme.
Ich hoffe ihr könnt mir helfen. Ich schätze ich habe etwas übersehen.
mfg
maddig
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 325055
Url: https://administrator.de/contentid/325055
Printed on: April 24, 2024 at 13:04 o'clock
7 Comments
Latest comment
Hallo Maddig,
interner und externe IP Range sind gleich?
Wenn nein - NAT.
VG
PS: Was für ne SG hast denn im Einsatz?
interner und externe IP Range sind gleich?
Wenn nein - NAT.
VG
PS: Was für ne SG hast denn im Einsatz?
Das WAN Interface hat die IP 192.168.1.2 und steht hinter einem Speedport 192.168.1.1
Klassische doppelte NAT Routerkaskade also...Nicht gut und unproduktiv, muss aber durch den dummen, schrottigen Speedport zwingend sein, da der keine statischen Routen supportet.
Das lokale Netz ist die .2.0 /24. Also IP Range (glücklicherweise) unterschiedlich.
Ob man MySQL Daten ungeschützt über das Internet übertragen sollte ist einen ganz andere Frage...
Danke für die Antworten.
Ja hab einen Speedport zwang wegen der LTE Geschichte.
Range ist nicht gleich. Das mit MySQL stimmt.
Wie richte ich dann ein Portforwarding bei der Sophos ein? Bei der pfSense ging das relativ easy.
Ich benutzte UTM Home 9.4 auf einem APU2C4 Board. Ich weißt nicht optimal aber ich bin zurzeit am durchtesten.
Ja hab einen Speedport zwang wegen der LTE Geschichte.
Range ist nicht gleich. Das mit MySQL stimmt.
Wie richte ich dann ein Portforwarding bei der Sophos ein? Bei der pfSense ging das relativ easy.
Ich benutzte UTM Home 9.4 auf einem APU2C4 Board. Ich weißt nicht optimal aber ich bin zurzeit am durchtesten.
Das müsste dann ein DNAT sein oder?
Ok ja, ist ein DNAT mit External Address und als Ziel dann mein Webserver.
Ja hab einen Speedport zwang wegen der LTE Geschichte.
Müsste ja nicht so sein... pfSense mit Dual WAN Balancing wäre hier wie immer die bessere Lösung !https://www.heise.de/ct/ausgabe/2016-24-pfSense-als-Load-Balancer-345834 ...
Zumal wenn du schon so eine FW hast...oder gehabt hast.
Aber Reisende zu vermeintlich neuen Ufern soll man ja bekanntlich nicht aufhalten.
Außerdem hast du den Thread ja selber jetzt auf gelöst geklickt...also alles gut !
