Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Fortigate Firewall Port Forwarding

Frage Netzwerke Router & Routing

Mitglied: mp2pan

mp2pan (Level 1) - Jetzt verbinden

03.05.2011, aktualisiert 04.05.2011, 7945 Aufrufe, 10 Kommentare

Hallo!

es gibt Problem mit meiner Fortigate 50B.
Ich möchte nämlich Port forwarding einrichten jedoch gelingt mir das nicht wirklich.
wenn ich mit telnet den port testen will ob er offen ist, zeigt telnet an, dass er zu ist.

externe IP: 93.83.7.134
interne Server IP: 192.168.1.99

Virtual IP
Name: test
IP: wan1/93.83.7.134
Service Port: 1433/tcp
Map to IP/ IP range: 192.168.1.99
Map to Port: 1433-1434/tcp

Policy
Name: test2
Source Interface: wan1 (93.83.7.134 / 255.255.255.252)
Source Adress: all (0.0.0.0/0.0.0.0)
Destination Interface: internal (192.168.1.1 / 255.255.255.0)
Destination Adress: test
Schedule: always
Service: any
Action: accept

JEDOCH!
genau das gleiche mit port 3389 für rdp funtkioniert.

liegt es an der Fortigate FW oder liegt das Problem wo anders? Es ist sonst keine FW installiert.

ich hoffe auf euere Hilfe =)

mfg Michl
Mitglied: aqui
03.05.2011 um 13:30 Uhr
1433 oder 1434 ist kein Telnet Port ! Das ist TCP 23 oder machst du dort Port Translation bzw. wohin telnettest du ?
Bitte warten ..
Mitglied: mp2pan
03.05.2011 um 14:17 Uhr
Danke schon mal für die rasche Antwort

ich wollte mit telnet testen ob der Port offen ist. z.B. telnet 93.83.7.134 1433
den telnet Befehl habe ich von zu Hause, also von außen, ausgeführt
gibt es sonst eine Möglichkeite heraus zu finden ob ein Port offen ist? außer Online-Port-Scanner...
ich brauche den Port 1433 für eine SQL Verbindung von außen zum Server.
Bitte warten ..
Mitglied: aqui
03.05.2011 um 15:57 Uhr
Erstmal solltest du natürlich intern testen ob mit dem Telnet auf Port 1433 irgendeine sinnvolle Antwort oder zeichen zurückkommt !
Wenn das der Fall ist sollte das Telnet von remote natürlich den gleichen Output liefern.
Wenn nicht verhindert das meist die lokale Firewall des Rechners den du ansprichst sofern du das nicht customized hast dort (du kommst mit nicht lokalen IP Adressen rein was die FW immer blockt im Default !)
Gehts immer noch nicht, ist deine Port Forwarding Regel schlicht falsch.
Ansonsten ist das eine gängige und durchaus legitime Möglichkeit das mit einem dedizierten Telnet Port zu machen...vorausgesetzt du weisst auch das was zurückkommt.
Wenn alle Stricke reissen hilft dir wie immer der Wireshark oder der MS NetMonitor um zu sehen ob die Pakete ankommen !
Bitte warten ..
Mitglied: harald21
04.05.2011 um 07:54 Uhr
Hallo,

auf den ersten Blick sieht das ganz gut aus, ich würde allerdings noch einige Detail umstellen:
externe IP: 93.83.7.134
interne Server IP: 192.168.1.99

Virtual IP
Name: test
IP: wan1/93.83.7.134
Service Port: 1433/tcp
Map to IP/ IP range: 192.168.1.99
Map to Port: 1433/tcp - Port 1434/tcp sollte eigentlich überflüssig sein

Policy
Name: test2
Source Interface: wan1 (93.83.7.134 / 255.255.255.252)
Source Adress: all (0.0.0.0/0.0.0.0)
Destination Interface: internal (192.168.1.1 / 255.255.255.0)
Destination Adress: test
Schedule: always
Service: MSSQL - an dieser Stelle ANY zu verwenden ist schon fast wie Russisches Roulette!
Action: accept

Die Erreichbarkeit des MSSQL-Dienstes kann man durchaus mit telnet testen (telnet 93.83.7.134 1433), allerdings solltest du auch (wie aqui geschrieben hat) die Windows-Firewall beachten. Ansonsten kannst du auf der CLI der Fortigate (oder per ssh-Session) den Packetfluss beobachten:

diag sniff paket any "tcp and port 1433" 4

Dabei werden dir alle ein- und ausgehenden Packete inkl. der verwendeten Ports angezeigt. Bitte achte darauf, das du in der Policy auch wirklich deine VIP als Destination verwendest, und nicht etwa ein Adress-Objekt, das zufälligerweise ebenfalls "test" heißt.

Übrigens: Welche Firmware ist auf der Fortigate installiert?

mfg
Harald
Bitte warten ..
Mitglied: mp2pan
04.05.2011 um 10:47 Uhr
Hallo!

danke euch beiden für eure Hilfe.

Den Service MSSQL habe ich selbst erstellen müssen. Dafür habe ich folgenden Einstellungen verwendet:
Name: MSSQL
Protocoltype: TCP/UDP
Protocol: TCP
Source Port
Low: 1433
High: 1433
Destination Port
Low: 1433
High: 1433

sind meine Gedankengänge korrekt?

Firmware Version ist 3.00-b0673 (MR6 Patch 4)

noch zur Info:
Windows FW ist deaktiviert
GData hat keine FW installiert
Bitte warten ..
Mitglied: harald21
04.05.2011 um 14:23 Uhr
Hallo,

in FortiOS 3.00 ist der Dienst MSSQL noch nicht automatisch enthalten, hier sind die korrigierten Werte dafür:
Name: MSSQL
Protocoltype: TCP/UDP
Protocol: TCP
Source Port
Low: 1
High: 65535
Destination Port
Low: 1433
High: 1433

Ansonsten solltest du besser auf eine aktuellere Firmware upgraden (mindestens FOS 3.00 MR7patch10 oder auch gleich FOS 4.00 MR1patch9).

mfg
Harald
Bitte warten ..
Mitglied: harald21
06.05.2011 um 12:53 Uhr
Hallo,

ist das Problem damit gelöst?
Falls ja, den Thread bitte entsprechend markieren.

mfg
harald
Bitte warten ..
Mitglied: mp2pan
10.05.2011 um 13:46 Uhr
FW Einstellungen sollten ja jetzt richtig sein.

Leider kommt ein SQL Zugriff noch immer nicht zustande... mssql_connect( '93.83.7.134', 'BN', 'PW');

habt ihr da noch Ideen was hier noch falsch sein könnte?

btw. ganz großes thx
Bitte warten ..
Mitglied: harald21
17.05.2011 um 15:52 Uhr
Hallo,

versuche doch mal auf der Firewall-Konsole den Traffic zu sniffen:
diag sniff packet any "tcp and port 1433" 4

mfg
Harald
Bitte warten ..
Mitglied: mp2pan
23.05.2011 um 14:38 Uhr
nur zur Info:

die FW Einstellungen sind richtig

Ich musste Einstellungen in der SQL Configuration ändern.

mfg
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing und Port Forwarding für FTP-Transfer (2)

Frage von steff911 zum Thema Router & Routing ...

Windows Netzwerk
Windows Firewall Outgoing Default Drop (7)

Frage von EditorialBagPipe zum Thema Windows Netzwerk ...

Netzwerkgrundlagen
gelöst Kleines Büro. Welches Firewall-Setup sinnvoll? (7)

Frage von Juergen248 zum Thema Netzwerkgrundlagen ...

Neue Wissensbeiträge
Peripheriegeräte

Was beachten bei der Wahl einer USV Anlage im Serverschrank

(5)

Tipp von zetboxit zum Thema Peripheriegeräte ...

Windows 10

Das Windows 10 Creators Update ist auf dem Weg

(5)

Anleitung von BassFishFox zum Thema Windows 10 ...

Administrator.de Feedback

Tipp: Ungelöste Fragen ohne Antwort in Tickeransicht farblich hinterlegen

Tipp von pattern zum Thema Administrator.de Feedback ...

Viren und Trojaner

Neue Magazin Ausgabe: Malware und Angriffe abwehren

Information von Frank zum Thema Viren und Trojaner ...

Heiß diskutierte Inhalte
Windows Systemdateien
Warum System auf "C:" (29)

Frage von DzumoPRO zum Thema Windows Systemdateien ...

LAN, WAN, Wireless
Cisco SG200: Auf bestimmtem vLAN bestimmte TCP-Ports sperren (19)

Frage von SarekHL zum Thema LAN, WAN, Wireless ...

Windows Server
gelöst Update BackupExec 2015 auf 2016 führt zu SQL-Server Problem (16)

Frage von montylein1981 zum Thema Windows Server ...

Batch & Shell
gelöst Batch um Benutzer aus Sitzung abzumelden (15)

Frage von zeroblue2005 zum Thema Batch & Shell ...