Securepoint Support Forum

Hallo,

ich habe anscheinend mit den Regeln beim Multipathing Probleme:

Regel 28:
LAN -> externer Mailserver (78.46.1.b; Zone: external) -> smtp -> allow
Regel 29:
LAN -> Internet (ppp40: Internet/external; ppp41: Internet_2/dmz1; ppp42: Internet_3/dmz2; ppp43: Internet_4/dmz3) -> smtp -> reject

Objekt "externer Mailserver":
"externer Mailserver" - IP: 78.46.1.b - Zone: external

Versucht nun ein Client (192.168.x.y) per smtp eine Verbindung zum "externen Mailserver" herzustellen, so wird dieser Versuch rejektet:

Aug 23 11:13:58 fw.123.local Firewall REJECT (rule:29) IN=eth1 OUT=ppp43 SRC=192.168.x.y DST=78.46.a.b LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=23879 DF PROTO=TCP SPT=2233 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

Obwohl Verbindungen eine Regel weiter oben zugelassen werden.

Genauer betrachtet erfolgt die Client-Verbindung über ppp43 (Internet_4 in der Zone dmz3). Der externe Mailserver ist in Zone "external" angelegt.

verändere ich die Regel 28 in so weit, dass ich diese per Rule Routing über ppp40 (Internet in Zone external) leite, werden die Verbindungen zugelassen.

Aug 23 11:16:08 fw.123.local Firewall ACCEPT (rule:2 IN=eth1 OUT=ppp40 SRC=192.168.x.y DST=78.46.a.b LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=25047 DF PROTO=TCP SPT=2234 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

Was mache ich falsch?

Ich kann ja schlecht jedes externe Objekt 4x (für alle Zonen 1x) anlegen, oder?

Ich möchte, dass meine Regel 28 (und nicht nur die, sondern auch vergleichbare mit anderen Diensten) über alle DSL-Interfaces erlaubt ist.


Danke
Achim

Die Firewall-Regeln werden nach der Routing-Entscheidung ausgeführt. Wenn Sie also 4 Default-Routen haben, ist das von Ihnen beschriebene Verhalten zu erklären.
Wenn ein internes Netz über alle vier Leitungen auf das Internet zugreifen soll, brauchen sie auch vier Regeln (respektive eine "Internet"-Gruppe mit den vier externen Netzen.

Tut mir leid, aber die Antwort verstehe ich nicht.

>> Wenn ein internes Netz über alle vier Leitungen auf das Internet zugreifen soll, brauchen sie auch vier Regeln (respektive eine "Internet"-Gruppe mit den vier externen Netzen.

Ich habe ja eine Gruppe "Internet", die alle vier externen Netze beinhaltet. Diese Notwendigkeit ist mir klar!

Bedeutet das, dass ich diese Regel:
LAN -> externer Mailserver (78.46.1.b; Zone: external) -> smtp -> allow
bei multipathing nur über das ppp0-Interface, welches die Zone external hat, schicken kann?

Ich hätte gerne eine Regel mit der ich "einen" Dienst für "alle" Clients zu "einem" externen Ziel über "alle" ppp-Interfaces zulassen kann.

Das Problem ist nicht, dass die Clients nur eine Leitung benutzen dürfen!

Das Problem ist, wenn ich ein externes Objekt anlege, muss ich mich ja auf eine Zone festlegen (logischer Weise "external").

Wenn dann aber ein Client über ppp41 (Zone: DMZ1) auf das external Objekt möchte, wird diese Verbindung rejektet, da sich (in diesem Beispiel) der Mailserver wahrscheinlich nicht in Zone DMZ1 befindet, sondern in Zone external.

folgendes funktioniert:

LAN -> Internet (ppp40: Internet/external; ppp41: Internet_2/dmz1; ppp42: Internet_3/dmz2; ppp43: Internet_4/dmz3) -> smtp -> allow

folgendes funktioniert nicht:
LAN -> externer Mailserver (78.46.1.b; Zone: external) -> smtp -> allow (hier brauche ich nun 4 Regeln? ähh?)
Es wird zuerst geroutet (mal über ppp40/ppp41/ppp42/ppp43) -> Entscheidung fällt auf ppp43 (DMZ3)

Firewall-Event ergibt:
LAN -> externer Mailserver (Zone: external) -> SMTP -> allow
ist ungleich
LAN -> externer Mailserver (Zone: external) über ppp43/Zone-DMZ3 -> SMTP -> allow
--> also reject

PS: Oder sollen wir das lieber telefonisch klären?

Das Problem ist, wenn ich ein externes Objekt anlege, muss ich mich ja auf eine Zone festlegen (logischer Weise "external").

Nein, logischer weise müssen Sie dieses Objekt für jede Leitung anlegen (external, dmz1-x) über die es erreicht werden soll

>> Ich kann ja schlecht jedes externe Objekt 4x (für alle Zonen 1x) anlegen, oder?

alles klar, das wollte ich wissen.

Danke

PS: Aber diese Logik kannte ich von anderen Multipath-Umgebungen/Firewalls noch nicht...