Hallo zusammen,
soweit ich weis bekommt man bei Kabeldeutschland ja keine feste Ip-Adresse, auch wenn die vergebene Adresse eigentlich ewig halten soll zumindest bis zum Router neustart.
Wir würden gern einen FTP Server einrichten der über die Kabeldeutschland leitung (32Mbit) erreichbar ist.
ich habe dafür folgende Regeln eingerichtet.
Netzwerkobjekt:
Name: FTP-Kabel
IP-Adresse: 192.168.200.104 (NAS-Server mit FTP Einrichtung)
Maske: Host
Zone: DMZ2
Statisches NAT: 192.168.0.2 (Router KabelDeutschland)
Portfilter:
von External_Interface ---> Grp-FTP-Kabel ---> Dienst FTP
Internet-dmz2 ---> Grp-FTP-Kabel---> Dienst FTP
Was fehlt noch?
Besten Dank
FTP Einwahl über Kabeldeutschland
Moderator: Securepoint
-
André Wandschneider
- Beiträge: 29
- Registriert: Di 31.03.2009, 15:10
Guten Tag,
im Feld "Statisches NAT" gehört die externe IP der Firewall eingetragen. Dann brauchen Sie 3 Regeln, sowie ein zweites Netzwerkobjekt, bei dem nur das Feld "Statisches NAT" nicht ausgefüllt ist.
Internet -> FTP-Server -> ftp -> ACCEPT
Internet -> FTP-Server-ohne-NAT -> ftp-passive-related -> ACCEPT
FTP-Server-ohne-NAT -> Internet -> ftp-active-related -> ACCEPT
im Feld "Statisches NAT" gehört die externe IP der Firewall eingetragen. Dann brauchen Sie 3 Regeln, sowie ein zweites Netzwerkobjekt, bei dem nur das Feld "Statisches NAT" nicht ausgefüllt ist.
Internet -> FTP-Server -> ftp -> ACCEPT
Internet -> FTP-Server-ohne-NAT -> ftp-passive-related -> ACCEPT
FTP-Server-ohne-NAT -> Internet -> ftp-active-related -> ACCEPT
-
André Wandschneider
- Beiträge: 29
- Registriert: Di 31.03.2009, 15:10
Hallo,
leider klappt das nicht.
ich habe alle Einträge eingetragen.
muß ich im Kabeldeutschland router noch den Port 21 auf die interne schnittstelle der Securepoint weiterleiten?
leider klappt das nicht.
ich habe alle Einträge eingetragen.
muß ich im Kabeldeutschland router noch den Port 21 auf die interne schnittstelle der Securepoint weiterleiten?
-
André Wandschneider
- Beiträge: 29
- Registriert: Di 31.03.2009, 15:10
Es sind alle Ports 1-65535 UDP und TCP an 192.168.0.2 weitergeleitet.
>> Es sind alle Ports 1-65535 UDP und TCP an 192.168.0.2 weitergeleitet.
Ich weiß nicht ganz, ob ich das alles verstehe, aber: warum dann eine Firewall??????? (bzw. wo sind diese weitergeleitet? auf dem Router oder der Firewall?)
>>Netzwerkobjekt:
>>Name: FTP-Kabel
>>IP-Adresse: 192.168.200.104 (NAS-Server mit FTP Einrichtung)
>>Maske: Host
>>Zone: DMZ2
>>Statisches NAT: 192.168.0.2 (Router KabelDeutschland)
Ist die Konstellation:
Kabeldose -> Kabelrouter (extern dynamische ip, intern 192.168.0.2) -> Securepoint (extern 192.168.0.x, dmz2 192.168.200.x) -> FTP-Server in dmz2 (192.168.200.104)
???
1. wenn eine Firewall benutzt werden soll, ist ein Kabelmodem notwendig/empfehlenswert, KEIN Router
2. >> Statisches NAT: 192.168.0.2 (Router KabelDeutschland)
Absolut "unverständlich/absurd..." Bei der Firewall muss als statisches NAT für den Server ppp0/eth0/ etc. angegeben werden. Ich kann der Firewall doch nicht sagen, dass sie meine Clients hinter einer IP verstecken soll, die ihr gar nicht gehört (ok, in der theorie schon... deswegen denken auch alle, wenn ich mit deren Netzen kommuniziere, dass ich update.microsoft.com bin)
3. >> von External_Interface ---> Grp-FTP-Kabel ---> Dienst FTP
>> Internet-dmz2 ---> Grp-FTP-Kabel---> Dienst FTP
Erik hat die notwendigen Regeln schon gepostet!!!
Mit den von Ihnen geposteten Regeln erlauben sie folgendes:
Die Firewall darf mit Ihrer externen IP per FTP auf den FTP-Server zugreifen.
Sie wollen: das Internet darf per FTP auf den FTP-Server zugreifen.
Was das für ein Objekt ist weiß ich nicht: "Internet-dmz2"
Es mag daran liegen, dass die Milch in meinem Kaffee heute morgen schlecht war, ich fast nicht geschlafen habe, oder dass mich gleich meine Lieblingskunden mit Telefonanrufenbombadiert haben... (da ich sonst so etwas nicht schreibe)
...aber wenn ich das alles richtig verstanden habe - meine Empfehlung: Besuchen Sie den 1. Securepointkurs. Dort werden auch Netzwerkgrundlagen angeschnitten.
Oder Falls Sie vor dem Schreiben selbst ähnliche grausame Erlebnisse hatten: bitte noch einmal verständlicher...
Ich weiß nicht ganz, ob ich das alles verstehe, aber: warum dann eine Firewall??????? (bzw. wo sind diese weitergeleitet? auf dem Router oder der Firewall?)
>>Netzwerkobjekt:
>>Name: FTP-Kabel
>>IP-Adresse: 192.168.200.104 (NAS-Server mit FTP Einrichtung)
>>Maske: Host
>>Zone: DMZ2
>>Statisches NAT: 192.168.0.2 (Router KabelDeutschland)
Ist die Konstellation:
Kabeldose -> Kabelrouter (extern dynamische ip, intern 192.168.0.2) -> Securepoint (extern 192.168.0.x, dmz2 192.168.200.x) -> FTP-Server in dmz2 (192.168.200.104)
???
1. wenn eine Firewall benutzt werden soll, ist ein Kabelmodem notwendig/empfehlenswert, KEIN Router
2. >> Statisches NAT: 192.168.0.2 (Router KabelDeutschland)
Absolut "unverständlich/absurd..." Bei der Firewall muss als statisches NAT für den Server ppp0/eth0/ etc. angegeben werden. Ich kann der Firewall doch nicht sagen, dass sie meine Clients hinter einer IP verstecken soll, die ihr gar nicht gehört (ok, in der theorie schon... deswegen denken auch alle, wenn ich mit deren Netzen kommuniziere, dass ich update.microsoft.com bin)
3. >> von External_Interface ---> Grp-FTP-Kabel ---> Dienst FTP
>> Internet-dmz2 ---> Grp-FTP-Kabel---> Dienst FTP
Erik hat die notwendigen Regeln schon gepostet!!!
Mit den von Ihnen geposteten Regeln erlauben sie folgendes:
Die Firewall darf mit Ihrer externen IP per FTP auf den FTP-Server zugreifen.
Sie wollen: das Internet darf per FTP auf den FTP-Server zugreifen.
Was das für ein Objekt ist weiß ich nicht: "Internet-dmz2"
Es mag daran liegen, dass die Milch in meinem Kaffee heute morgen schlecht war, ich fast nicht geschlafen habe, oder dass mich gleich meine Lieblingskunden mit Telefonanrufenbombadiert haben... (da ich sonst so etwas nicht schreibe)
...aber wenn ich das alles richtig verstanden habe - meine Empfehlung: Besuchen Sie den 1. Securepointkurs. Dort werden auch Netzwerkgrundlagen angeschnitten.
Oder Falls Sie vor dem Schreiben selbst ähnliche grausame Erlebnisse hatten: bitte noch einmal verständlicher...
Zuletzt geändert von achim am Do 12.11.2009, 10:21, insgesamt 1-mal geändert.
-
André Wandschneider
- Beiträge: 29
- Registriert: Di 31.03.2009, 15:10
Ich habe gestern Abend noch mit Erik gesprochen. Wir haben es soweit alles zum rennen bekommen.
Aber trotzdem Danke für die ausführliche Darstellung.
Aber trotzdem Danke für die ausführliche Darstellung.