Zugriff auf external Interface aus fremden Subnetzen
Verfasst: Di 10.07.2018, 14:10
Hallo,
wir versuchen, auf dem Black Dwarf NAT einzurichten:
Device eth1 ist in Zone "external". Dort sind neben der externen IP des Black Dwarf (192.168.2.30) die IP-Adressen 192.168.2.X/23 konfiguriert.
Device eth2 ist in Zone "internal" mit der internen IP-Adresse des Black Dwarf. In der internen Zone hängen die Server 192.168.8.X.
Es gibt passende Portfilter mit
SOURCE = internet
DESTINATION = <network object für 192.168.8.X> (internal)
SERVICE = any
NAT TYPE = DESTNAT
NODE = <network object für 192.168.2.X> (external)
SERVICE = any
Damit ist es möglich, aus der externen Zone den Server 192.168.2.X (z.B. mit URL https://192.168.2.X) anzusprechen, und die Pakete werden im Black Dwarf nach 192.168.8.X in der internen Zone ins interne Subnetz korrekt weitergeroutet, die Anworten umgekehrt ebenfalls. tcpdump zeigt, dass die Pakete an eth1 ankommen, und richtig eth2 weitergegeben werden.
Es ist aber nicht möglich, von externen IP-Adressen, die nicht im Subnetz 192.168.2.* sind, auf diese Server/URLs zuzugreifen. tcpdump zeigt, dass die Pakete an eth1 ankommen, aber nichts nach eth2 weitergegeben wird. Welche Konfigurationseinstellungen haben wir übersehen?
Vielen Dank
mm-lab
wir versuchen, auf dem Black Dwarf NAT einzurichten:
Device eth1 ist in Zone "external". Dort sind neben der externen IP des Black Dwarf (192.168.2.30) die IP-Adressen 192.168.2.X/23 konfiguriert.
Device eth2 ist in Zone "internal" mit der internen IP-Adresse des Black Dwarf. In der internen Zone hängen die Server 192.168.8.X.
Es gibt passende Portfilter mit
SOURCE = internet
DESTINATION = <network object für 192.168.8.X> (internal)
SERVICE = any
NAT TYPE = DESTNAT
NODE = <network object für 192.168.2.X> (external)
SERVICE = any
Damit ist es möglich, aus der externen Zone den Server 192.168.2.X (z.B. mit URL https://192.168.2.X) anzusprechen, und die Pakete werden im Black Dwarf nach 192.168.8.X in der internen Zone ins interne Subnetz korrekt weitergeroutet, die Anworten umgekehrt ebenfalls. tcpdump zeigt, dass die Pakete an eth1 ankommen, und richtig eth2 weitergegeben werden.
Es ist aber nicht möglich, von externen IP-Adressen, die nicht im Subnetz 192.168.2.* sind, auf diese Server/URLs zuzugreifen. tcpdump zeigt, dass die Pakete an eth1 ankommen, aber nichts nach eth2 weitergegeben wird. Welche Konfigurationseinstellungen haben wir übersehen?
Vielen Dank
mm-lab