Hallo zusammen,
habe folgendes Problem: Ich erreiche meinen Server in der DMZ nicht per HTTPS. Habe auf dem Server OWA eingerichtet und möchte jetzt über die Firewall drauf. Habe als Regel: Internet --> Server DMZ --> HTTPS
das sollte doch meines Erachtens ausreichen. Ich habe festgestellt das er aber ein Paket dropped. Zwar folgendermaßen: Eingehendes Interface: eth0, ausgehendes Interface: eth1, Quelladr. 192.168.10.10 Zieladresse 83.236.203.18 Quellport: 443 Zielport: 4086
Es ist bestimmt eine Kleinigkeit ich komme aber nicht drauf.
Danke
Server in der DMZ
Moderator: Securepoint
Hallo,
die Rule ist eigentlich OK, aber an dem "Drop" kann ich nicht verstehen, dass die Quelladresse 192.168.10.10 ist.
Wenn die Anfrage aus dem Internet kommt, ist die Adresse nicht OK, da keine offizielle IP.
Ist da statisches-NAT aktiviert oder war der Test aus dem LAN? - Und wenn aus dem LAN, wie kommt die Anfrage an eth0, da dieses Interface prinzipiell immer "Untrust" ist?
Gruss
M.Goeres
die Rule ist eigentlich OK, aber an dem "Drop" kann ich nicht verstehen, dass die Quelladresse 192.168.10.10 ist.
Wenn die Anfrage aus dem Internet kommt, ist die Adresse nicht OK, da keine offizielle IP.
Ist da statisches-NAT aktiviert oder war der Test aus dem LAN? - Und wenn aus dem LAN, wie kommt die Anfrage an eth0, da dieses Interface prinzipiell immer "Untrust" ist?
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Aber dann ist da irgendwie schon der Wurm drin.
eth0 = untrust
eth1 = trust
ethX = trust/dmz
Wenn das eingehende Interface schon eth0 ist, muss da schon was "aus dem Ruder" laufen.
Gruss
M.Goeres
eth0 = untrust
eth1 = trust
ethX = trust/dmz
Wenn das eingehende Interface schon eth0 ist, muss da schon was "aus dem Ruder" laufen.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Mhhh...also damit ich mir das ein bisel vorstellen kann:
- Wieviele offiziellen IP-Bereiche sind auf der Leitung? 1,2 oder mehr?
- Wie sind die Bereiche dann verteilt...(Untrust/DMZ)
Oder wird das ueber eine IP (sogar ADLS/SDSL) abgehandelt und die DMZ ist 192.168.10.0?
Gruss
M.Goeres
- Wieviele offiziellen IP-Bereiche sind auf der Leitung? 1,2 oder mehr?
- Wie sind die Bereiche dann verteilt...(Untrust/DMZ)
Oder wird das ueber eine IP (sogar ADLS/SDSL) abgehandelt und die DMZ ist 192.168.10.0?
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Das müsste ein ADSL sein. Ich habe 4 IP`s zur Verfügung. 83.236.197.155 ist meine erste, die IP-Adresse des Router vom provider 83.236.197.153. Meine Netzwerkkonfiguration 192.168.0.1 FW, 192.168.0.10 IP Server Netz intern, 192.168.10.10 IP Server Netz DMZ. So ich möchte auf meinem Server zugreifen um OWA zu nutzen.
Auf der Firewall ist für den Server stat. NAT aktiviert. Der Test erfolgt aus dem Internet bzw. erfolgte aus meinem Netzwerk.
Auf der Firewall ist für den Server stat. NAT aktiviert. Der Test erfolgt aus dem Internet bzw. erfolgte aus meinem Netzwerk.
Mhhh...OK
Also....offizielle IPs bitte nicht komplett ausschreiben, dass macht das nur schlafende Hunde wach
.
Wo ist denn das Interface fuer die DMZ in der Liste? - FW-External = OK, FW-Internal=OK und FW-DMZ=? das ist dann ja das Gateway fuer die DMZ.
Also von der Konstellation her, sollte dieses PDF: http://www.securepoint.de/dokumente/How ... server.pdf
zum Erfolg fuehren. Anstatt auf das Interface muessen entsprechend die Screenshots auf der linken Seite mit der jeweiligen IP angepasst werden.
Wenn's dann noch knackt...einfach melden.
Gruss
M.Goeres
Also....offizielle IPs bitte nicht komplett ausschreiben, dass macht das nur schlafende Hunde wach
.Wo ist denn das Interface fuer die DMZ in der Liste? - FW-External = OK, FW-Internal=OK und FW-DMZ=? das ist dann ja das Gateway fuer die DMZ.
Also von der Konstellation her, sollte dieses PDF: http://www.securepoint.de/dokumente/How ... server.pdf
zum Erfolg fuehren. Anstatt auf das Interface muessen entsprechend die Screenshots auf der linken Seite mit der jeweiligen IP angepasst werden.
Wenn's dann noch knackt...einfach melden.
Gruss
M.Goeres
Die Welt wird nicht bedroht von den Menschen, die böse sind, sondern von denen, die das Böse zulassen
- Albert Einstein -
- Albert Einstein -
Danke für die Hilfe hat sich erledigt jetzt.
Habe auf dem IIS von Windows einiges geändert und die Netzwerkkarten haben auch nicht ganz gepasst. Daher wollte er immer über das Interne Netz raus, anstatt über das DMZ interface zu laufen.
--CLOSE----
Habe auf dem IIS von Windows einiges geändert und die Netzwerkkarten haben auch nicht ganz gepasst. Daher wollte er immer über das Interne Netz raus, anstatt über das DMZ interface zu laufen.
--CLOSE----