Hi
Habe den transparenten Proxy aktiviert. Hier geht tcp/443 nicht und das leuchtet mir ein. Habe dann eine Regel für die internen Geräte erstellt, als DST = Internet und als Service = https. Zudem habe ich das HIDENAT aktiviert. Versuche ich nun eine Webseite anzusurfen ist im Log schön ersichtlich, dass ein DEFAULT DROP geschieht. Was habe ich hier falsch eingerichtet? Möchte ja nur https von drinnen nach draussen erlauben?
HTTPS ausgehend bei transparentem Proxy
Moderator: Securepoint
-
Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Hi,
die Portfilterregel erscheint so korrekt, was haben Sie im HIDENAT als Schnittstelle gewählt?
Tritt das Problem auch auf wenn Sie andere Dienste freigeben?
Gruß
die Portfilterregel erscheint so korrekt, was haben Sie im HIDENAT als Schnittstelle gewählt?
Tritt das Problem auch auf wenn Sie andere Dienste freigeben?
Gruß
Vielen Dank für die Rückmeldung. Als Interface habe ich die externe Schnittstelle gewählt.
Ich bin mir nicht sicher, ob beim HideNAT der Verkehr entschlüsselt werden muss, um die IP auszutauschen und dann mit dem eigenen Zertifikat versehen wird - eventuell liegt hier der Hund begraben?
Alles andere klappte tadellos, von internal -> external, hingegen ein DESTNAT von extern auf die IP der Firewall mit einem definierten Port und dessen Weiterleitung an eine interne Maschine klappte auch nicht. Die FW wird ja so modern sein, dass ich nur den primären Verkehr öffnen muss und nicht auch den zurückkehrenden, oder?
Freundliche Grüsse
Ich bin mir nicht sicher, ob beim HideNAT der Verkehr entschlüsselt werden muss, um die IP auszutauschen und dann mit dem eigenen Zertifikat versehen wird - eventuell liegt hier der Hund begraben?
Alles andere klappte tadellos, von internal -> external, hingegen ein DESTNAT von extern auf die IP der Firewall mit einem definierten Port und dessen Weiterleitung an eine interne Maschine klappte auch nicht. Die FW wird ja so modern sein, dass ich nur den primären Verkehr öffnen muss und nicht auch den zurückkehrenden, oder?
Freundliche Grüsse
-
Christian E.
- Securepoint
- Beiträge: 238
- Registriert: Do 05.07.2012, 16:19
- Wohnort: Lüneburg
Also für eine Portweiterleitung müssen Sie die interne Maschine zunächst als Netzwerkobjekt anlegen und dann eine Regel erstellen:
Internet -> interne Maschine -> Port (Originalport)
DESTNAT - external-interface -> Port (Der von außen angesprochen werden soll)
Dabei reicht es den Verkehr von außen zuzulassen.
Am besten melden Sie sich einmal telefonisch, dann kann man sich die Konfiguration bzw. Regeln für https einmal ansehen.
Gruß
Internet -> interne Maschine -> Port (Originalport)
DESTNAT - external-interface -> Port (Der von außen angesprochen werden soll)
Dabei reicht es den Verkehr von außen zuzulassen.
Am besten melden Sie sich einmal telefonisch, dann kann man sich die Konfiguration bzw. Regeln für https einmal ansehen.
Gruß
Die Portweiterleitung hat so funktioniert.
Das mit dem HTTPS habe ich mittlerweilen auch hingekriegt: ich wollte ein ganzes Netz freigeben und habe fälschlicherweise als Quelle die Zone "firewall-internal" und nicht nur "internal" verwendet. Nach dem Wechsel klappt es nun tadellos - sry mein Fehler!
Danke und Gruss
Das mit dem HTTPS habe ich mittlerweilen auch hingekriegt: ich wollte ein ganzes Netz freigeben und habe fälschlicherweise als Quelle die Zone "firewall-internal" und nicht nur "internal" verwendet. Nach dem Wechsel klappt es nun tadellos - sry mein Fehler!
Danke und Gruss