3
Firewallregeln Exchange - DMZ
Hallo Zusammen,
ich stehe gerade etwas auf dem Schlauch und benötige etwas Hilfe von euch.
Infrastruktur ist wie folgt aufgebaut: (feste IP vorhanden -> Telekom)
Internet ---> Fritzbox mit Adresse aus 192.168.22.0/24 ---> | Adresse aus 192.168.22.0/24 | pfsense | Adresse aus 192.168.77.0/24 | ---> Internes Netz
Die PFSense steht also in der DMZ.
Zum Problem, es können Mails über den Exchange versendet werden, jedoch kommen keine Mails bei den Usern an.
Die DMZ bzw pfsense ist neu und ich denke daran hakt es!
192.168.77.99 --> fiktive Adresse des SBS auf dem der Exchange läuft!
Folgende Regeln sind angelegt:
WAN
TCP * * 192.168.77.99 443 (HTTPS) * none
TCP * * 192.168.77.99 25 (SMTP) * none
Schlagt mich nicht, aber muss noch eine weitere Regel wegen der DMZ angelegt werden ?
Im DNS ist ebenfalls der entsprechende A-Record: mail -> 'feste IP' eingerichtet ....
Ich danke euch schonmal im Voraus !
ich stehe gerade etwas auf dem Schlauch und benötige etwas Hilfe von euch.
Infrastruktur ist wie folgt aufgebaut: (feste IP vorhanden -> Telekom)
Internet ---> Fritzbox mit Adresse aus 192.168.22.0/24 ---> | Adresse aus 192.168.22.0/24 | pfsense | Adresse aus 192.168.77.0/24 | ---> Internes Netz
Die PFSense steht also in der DMZ.
Zum Problem, es können Mails über den Exchange versendet werden, jedoch kommen keine Mails bei den Usern an.
Die DMZ bzw pfsense ist neu und ich denke daran hakt es!
192.168.77.99 --> fiktive Adresse des SBS auf dem der Exchange läuft!
Folgende Regeln sind angelegt:
WAN
TCP * * 192.168.77.99 443 (HTTPS) * none
TCP * * 192.168.77.99 25 (SMTP) * none
Schlagt mich nicht, aber muss noch eine weitere Regel wegen der DMZ angelegt werden ?
Im DNS ist ebenfalls der entsprechende A-Record: mail -> 'feste IP' eingerichtet ....
Ich danke euch schonmal im Voraus !
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 308958
Url: https://administrator.de/contentid/308958
Printed on: April 19, 2024 at 15:04 o'clock
3 Comments
Latest comment
Hi,
if the pfSense is doing NAT then you have to first forward the ports on the fritzbox to the pfSense and there you need again a port forwarding (DNAT) to your server.
If your pfSense is not doing NAT then your fritzbox needs to port forward to the .99.77 and on the fritzbox a static route for the internal subnet (.77.0/24) has to be created which points to the pfSense as gateway.
Regards
if the pfSense is doing NAT then you have to first forward the ports on the fritzbox to the pfSense and there you need again a port forwarding (DNAT) to your server.
If your pfSense is not doing NAT then your fritzbox needs to port forward to the .99.77 and on the fritzbox a static route for the internal subnet (.77.0/24) has to be created which points to the pfSense as gateway.
Regards
Hallo,
Fritte:
Ports 443 und 25 zur PFSense
PFSense:
Ports 443 und 25 zum SBS.
SBS hat ausgehend die PFSense als Gateway?
PFSemse hat die Fritte als Gateway?
PFSense blockiert ausgehend nichts? Eine richtige Firewall (PFSense zählt dazu) blockiert erstmal grundsätzlich sämtlichen Datenverkehr zwischen den Interfaces - egal ob eingehend oder ausgehend. Das ist anders als bei eine Fritte. Die lässt grundsätzlich erstmal alles rau Mit einen Wireshark kannst du aber sehen wo es bei dir blockt - und die PFSense hat ebenfalls Logs (obwohl die Fritte auch Paket mitschnitt beherscht)
Gruß,
Peter
Zitat von @A-Merten:
Internet ---> Fritzbox mit Adresse aus 192.168.22.0/24 ---> | Adresse aus 192.168.22.0/24 | pfsense | Adresse aus 192.168.77.0/24 | ---> Internes Netz
Warum eine Routerkaskade?Internet ---> Fritzbox mit Adresse aus 192.168.22.0/24 ---> | Adresse aus 192.168.22.0/24 | pfsense | Adresse aus 192.168.77.0/24 | ---> Internes Netz
Die PFSense steht also in der DMZ.
Nur wenn du die DMZ auch nutzen tust, sieht mir eher nach einer einfachen Routerkaskade aus. Sinn dahinter ist was?Zum Problem, es können Mails über den Exchange versendet werden, jedoch kommen keine Mails bei den Usern an.
Interne benutzer oder externe E-Mail empfänger?Die DMZ bzw pfsense ist neu und ich denke daran hakt es!
Dann hat sich deine Portweiterleitung von der Fritte auch geändert. Die PFSense ist jetzt das Ziel deiner portforwardings. In der PFSense diese Ports dann weiterleiten zu eurem SBS. (Doppeltes Portforwarding ist nicht sicherer als einfaches Portforwarding, es sind halt nur mehr Fehlerquellen)192.168.77.99 --> fiktive Adresse des SBS auf dem der Exchange läuft!
Also ob das mit fiktiven IPs geht... Und was kann jemand schon mit einer Privaten IP anfangen ohne die öffentliche zu kennen?Fritte:
Ports 443 und 25 zur PFSense
PFSense:
Ports 443 und 25 zum SBS.
SBS hat ausgehend die PFSense als Gateway?
PFSemse hat die Fritte als Gateway?
PFSense blockiert ausgehend nichts? Eine richtige Firewall (PFSense zählt dazu) blockiert erstmal grundsätzlich sämtlichen Datenverkehr zwischen den Interfaces - egal ob eingehend oder ausgehend. Das ist anders als bei eine Fritte. Die lässt grundsätzlich erstmal alles rau Mit einen Wireshark kannst du aber sehen wo es bei dir blockt - und die PFSense hat ebenfalls Logs (obwohl die Fritte auch Paket mitschnitt beherscht)
Gruß,
Peter
Vielen Dank Ihr beiden, es war das Portfreigabe der Fritzbox!
