Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Loch für SSH durch Zywall USG 100 per Portforwarding und NAT

Frage Sicherheit Firewall

Mitglied: Lochkartenstanzer

Lochkartenstanzer (Level 5) - Jetzt verbinden

20.10.2013, aktualisiert 15:58 Uhr, 8346 Aufrufe, 5 Kommentare, 1 Danke

Moin liebe Kollegen,

Ich bin wie die Jungfrau zu einem Zywall USG100 gekommen, mit der ich wenig Erfahrung habe (Der Kunde hat die Kiste und will die natürlich nicht ersetzen). Ich versuche da jetzt ein Loch für ssh druchzubohren, damit man an ein System dahinter per ssh zugreifen und warten kann. Das soll durch eine Portweiterleitung von einem Highport (weit jenseits von 30000) auf den Port 22 des Zielystems erfolgen. Dieses Setup habe ich bei anderen Kunden schon dutzendfach mit anderen Firewalls aufgesetzt ohne dabei Probleme zu haben. Laut google-Ergebnisen genügt es angeblich eine NAT-Regel zu erstellen und die Firewall für den passenden Port freizuschalten, was ich auch gemacht habe.

Trotzdem funktioneirt der Mist nicht. Hier mal zwei Screenshots dazu:

NAT-Regeln:

3dc299d6fd8e556e31733266641d88ac - Klicke auf das Bild, um es zu vergrößern

Firewall-regeln (Auszug):

21374c470877f1e3b4d2eccff437ae40 - Klicke auf das Bild, um es zu vergrößern

Es sind verschiedene Regeln angelegt, weil ich da diverse Varianten durchprobiert habe.

Kann mich einer mal in die richtige Richtung stoßen, wo ich da noch dran drehen muß?

Schönen Sonntag noch,

lks

PS: Ich habe natürlich das capture-Feature der Zywall benutzt udn dabei festgestellt, daß die Pakete zwar bis zur zywall kommen, aber dahinter nicht weitergeleitet werden. es muß also irgendetwas an den Regeln sein.

PPS: Systeminfo:

9335a21a505711f116777d42f4c3242a - Klicke auf das Bild, um es zu vergrößern
Mitglied: sk
20.10.2013, aktualisiert um 17:13 Uhr
Hallo,

1) Zunächst mal eines vorweg, um mein Gewissen wenigstens ein wenig zu entlasten: Nach der reinen Lehre gibt es niemals einen direkten Zugriff von Outside nach Inside! Was Du aus diesem Hinweis machst, ist Dein Bier. Ich verkneife mir diesbezüglich weitere Kommentare.

2) Die bisher angelegten Regeln bitte rückstandslos löschen. Dabei sträuben sich mir ebenfalls die Nackenhaare!

3) Nun zum Inhaltlichen:
Die Zywall arbeitet das Firewall-Regelwerk erst nach der NAT-Regel ab. Daraus ergibt sich:

3a NAT-Regel
Incoming Interface: vermutlich WAN1_ppp (musst Du wissen)
Original_IP: IP_Interface_WAN1_ppp (kann ein dynamisches Objekt sein)
Mapped_IP: interne_IP_Zielserver
Protocol: TCP
Original Port: Highport_extern
Mapped_Port: 22

3b Firewall-Regel
From: WAN
To: LAN1 (bzw. die Zone, in der der Server steht)
Source: any
Destination: interne_IP_Zielserver
Service: SSH
Action: Allow


Testen solltest Du zur Sicherheit von außen - ohne NAT-Loopback.


Gruß
sk
Bitte warten ..
Mitglied: Lochkartenstanzer
20.10.2013, aktualisiert um 18:30 Uhr
Zitat von sk:
Hallo,

1) Zunächst mal eines vorweg, um mein Gewissen wenigstens ein wenig zu entlasten: Nach der reinen Lehre gibt es niemals einen
direkten Zugriff von Outside nach Inside! Was Du aus diesem Hinweis machst, ist Dein Bier. Ich verkneife mir diesbezüglich
weitere Kommentare.

Ist auch mein Motto, aber gibt Situationen, wo das notwendig ist. Wenn man ssh richtig konfiguriert hat, (kein Paßwort-Login, kein root-Login, verifizierte Keys, etc.) ist das meist auch kein Problem.


2) Die bisher angelegten Regeln bitte rückstandslos löschen. Dabei sträuben sich mir ebenfalls die Nackenhaare!

Gut. Das hat sich beim Test so ein Wust ergeben, wäre nach dem funktionieren schon aufgeräumt worden.


3) Nun zum Inhaltlichen:
Die Zywall arbeitet das Firewall-Regelwerk erst nach der NAT-Regel ab. Daraus ergibt sich:

3a NAT-Regel
Incoming Interface: vermutlich WAN1_ppp (musst Du wissen)
Original_IP: IP_Interface_WAN1_ppp (kann ein dynamisches Objekt sein)
Mapped_IP: interne_IP_Zielserver
Protocol: TCP
Original Port: Highport_extern
Mapped_Port: 22

ich habe zwei wan-ports, die beide per PPPoE arbeiten. Da die DSL-Leuitugnen auf dem Dorf "dünn" sind, sind da gelich zwei "zusammengeschaltet".


3b Firewall-Regel
From: WAN
To: LAN1 (bzw. die Zone, in der der Server steht)
Source: any
Destination: interne_IP_Zielserver
Service: SSH
Action: Allow

Ah ja, das scheint der Knackpunkt zu sein. Werde ich gleich mal probieren.


Testen solltest Du zur Sicherheit von außen - ohne NAT-Loopback.

NAT-Loopback ist aus, habe ich verifiziert. Der Test erfolgt gleich, nachdem ich die regeln eingerichtet habe

Gruß
sk

Danke,

lks
Bitte warten ..
Mitglied: Lochkartenstanzer
20.10.2013, aktualisiert um 18:10 Uhr
Nochmal danke für den Hinweis.

Der entscheidende Knackpunkt war, daß erst die NAT-Regeln und dann die Firewall-Regeln greifen. ich war irgendwie in der irrigen Annahme, die Firewall--Regeln so hinschreiben zu müssen, daß sie auf ein Paket passen, daß gerade von außen reinkommt. Deswegen die jetzt im nachhinein "wirren" Regeln.

Ich habe jetzt zwei NAT-Regeln (jeweils für wan1_ppp und wan2_ppp (WAN konnte ich nicht direkt auswählen) und eine Firewall-Regel. Schön aufgeräumt also.

Danke für die schnelle Hilfe und einen schönen Sonntag noch. hast ein Bier bei mir gut. Melde dich, wenn Du in Süddeutschland (HN/KA/MA) bist oder vorbeikommst.

lks
Bitte warten ..
Mitglied: sk
20.10.2013 um 21:11 Uhr
Zitat von Lochkartenstanzer:
Der entscheidende Knackpunkt war, daß erst die NAT-Regeln und dann die Firewall-Regeln greifen. ich war irgendwie in der
irrigen Annahme, die Firewall--Regeln so hinschreiben zu müssen, daß sie auf ein Paket passen, daß gerade von
außen reinkommt. Deswegen die jetzt im nachhinein "wirren" Regeln.

Bei manchen Herstellern ist dies auch so.


Zitat von Lochkartenstanzer:
Danke für die schnelle Hilfe

Gern geschehen!


Gruß
Steffen
Bitte warten ..
Mitglied: Lochkartenstanzer
21.10.2013 um 10:10 Uhr
Zitat von sk:
> Zitat von Lochkartenstanzer:
> ----
> Der entscheidende Knackpunkt war, daß erst die NAT-Regeln und dann die Firewall-Regeln greifen. ich war irgendwie in
der
> irrigen Annahme, die Firewall--Regeln so hinschreiben zu müssen, daß sie auf ein Paket passen, daß gerade
von
> außen reinkommt. Deswegen die jetzt im nachhinein "wirren" Regeln.

Bei manchen Herstellern ist dies auch so.

Im nachhinein wundere ich mich selbst , warum ich da nicht gleich darauf gekommen bin, weil ich ja schon diverse andere Hersteller in den Fingern hatte. Vermutlich habe ich mich aus Versehen auf die Leitung gesetzt, bis Du mich runtergeschubst hast.

lks
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Firewall
gelöst ZyWALL USG 20 mit FritzBOX WLAN 7360 via IPSecVPN verbinden (4)

Frage von iceget zum Thema Firewall ...

Netzwerkgrundlagen
IPSec Site-to-Site über NAT ohne Portforwarding (18)

Frage von BirdyB zum Thema Netzwerkgrundlagen ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (15)

Frage von liquidbase zum Thema Windows Update ...

DSL, VDSL
Problem mit variernder Internetgeschwindigkeit (12)

Frage von schaurian zum Thema DSL, VDSL ...