Securepoint Support Forum

Hallo,

habe hier, da die Verbindung ins Internet nur über proxy laufen soll, die Dienste ping un tracert zu proxy dazu gegeben. Komischer weise funktioniert das mal eine Zeit, aber danach dropt die FW wieder die Pakete.

Hat jemand eine Idee?

Klaus

hallo,

wenn ich sie richtig verstehe, wollen sie ins internet pingen? wenn ja
brauchen sie eine regel von:

internal -> internet

und muessen in der regel die icmp dienste icmp-echo-req und icmp-echo-reply
freischalten.

Hallo,

ich möchte schon das es möglich ist, über die FW einen Ping absetzen können. Dazu habe ich zu dem Dienst proxy, die imcp Dienste replay und request hinzugefügt. Ich will aus Gründen der Übersichtlichkeit nicht so viele Regeln aufstellen. Ich habe ja schon die Rege, "internes Netz-->Internet-->proxy", warum soll da noch eine Regel "internes Netz--->Internet--->ping" einbauen. Bei der ganzen Sache wird es dann zu Viel an Regeln. Aus diesen Grunde habe ich die icmp´s in den Porxy-Dienst mit hineingenommen. Und hier ist es so, das es, wenn ich den Dienst kurz ändere, was rein und wieder raus., Regel anwenden drücke, funzt die Sache wunderbar, Nach einer gewissen Zeit, so 1/2 Stunde funktioniert die Sache aber nicht mehr und meine FW dropt die icmp Pakete. Warum?

Klaus

hallo,

die regel internal -> internet -> proxy macht nicht viel sinn. es sei denn sie
meinen mit der regel NICHT das sie den proxy der firewall benutzen.

zu ihrer frage. sind den die icmp dienste noch in der dienstegruppe
drin, wenn es gerade nicht funktioniert? wenn nein, koennten sie
mal einen logausschnitt der firewall mit den gedroppten paket liefern?

Hallo,

da haben sie natürlich Recht, es sollte auch internal-net heisen. Die Sache hat sich in der Zwichenzeit auch geklärt. Wenn deín Chef am Router tests durchführte und Nameserver änder, kann es nicht funktionieren.
Habe da aber eine andere Frage.
Ich benötige einen Zugang ftp, das heißt, es sollen Daten per ftp downgeloadet werden. Soweit das die Verbindung aufgebaut wird habe ich die Sache mit der Regel "internal-net --> internet --> ftp lösen können. Was noch nicht funktioniert, ich bekomme die Daten auf den FTP-Server noch nicht angezeigt. Die Sache läuft ins Time out
Hier ein Auszug aus den Trace
Nov 29 11:09:28 192.167.12.1 Firewall ACCEPT IN=eth1 OUT=eth0 SRC=192.167.12.57 DST=82.165.107.226 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=6903 DF PROTO=TCP SPT=1291 DPT=21 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 29 11:09:28 192.167.12.1 Firewall ACCEPT IN=eth0 OUT=eth1 SRC=82.165.107.226 DST=192.167.12.57 LEN=44 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=TCP SPT=21 DPT=1291 WINDOW=5840 RES=0x00 ACK SYN URGP=0
Nov 29 11:09:28 192.167.12.1 Firewall ACCEPT IN=eth1 OUT=eth0 SRC=192.167.12.57 DST=82.165.107.226 LEN=40 TOS=0x00 PREC=0x00 TTL=127 ID=6904 DF PROTO=TCP SPT=1291 DPT=21 WINDOW=65535 RES=0x00 ACK URGP=0
Nov 29 11:09:28 192.167.12.1 Firewall ACCEPT IN=eth0 OUT=eth1 SRC=82.165.107.226 DST=192.167.12.57 LEN=63 TOS=0x00 PREC=0x00 TTL=56 ID=19556 DF PROTO=TCP SPT=21 DPT=1291 WINDOW=5840 RES=0x00 ACK PSH URGP=0
Nov 29 11:09:28 192.167.12.1 Firewall ACCEPT IN=eth1 OUT=eth0 SRC=192.167.12.57 DST=82.165.107.226 LEN=55 TOS=0x00 PREC=0x00 TTL=127 ID=6905 DF PROTO=TCP SPT=1291 DPT=21 WINDOW=65512 RES=0x00 ACK PSH URGP=0
Nov 29 11:09:28 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30640 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:29 192.167.12.1 Firewall DROP IN=eth1 OUT=eth0 SRC=192.167.12.57 DST=82.165.107.226 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=6913 DF PROTO=TCP SPT=1292 DPT=59927 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 29 11:09:29 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30641 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:30 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30643 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:31 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30644 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:31 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30645 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:32 192.167.12.1 Firewall DROP IN=eth1 OUT=eth0 SRC=192.167.12.57 DST=82.165.107.226 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=6917 DF PROTO=TCP SPT=1292 DPT=59927 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 29 11:09:32 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30647 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:33 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30648 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:34 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30649 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:35 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30651 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:35 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30652 PROTO=UDP SPT=137 DPT=137 LEN=58
Nov 29 11:09:36 192.167.12.1 Firewall DROP IN=eth1 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:4a:f3:d4:9b:08:00 SRC=192.167.12.155 DST=192.167.12.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=30653 PROTO=UDP SPT=137 DPT=137 LEN=58

Und die Meldung des FTP-Programmes.
connect socket #780 to xx,xxx,xxx,xxx, port 21...
220 FTP Server ready.
USER
331 Password required for
PASS **********
230 User logged in
SYST
215 UNIX Type: L8
Keep alive off...
PWD
257 "/" is the current directory
PASV
227 Entering Passive Mode (xx,xxx,xxx,xxx,215,250).
LIST
Connect socket #824 to xx,xxx,xxx,xxx, port 55290...
imeout
QUIT
Resolving XXXXXXXXX.xxx...
Connect socket #776 to xx.xx.xxx.xx, port 21...
220 FTP Server ready.
USER
331 Password required for
PASS **********
230 User logged in
SYST
215 UNIX Type: L8
Keep alive off...
Attemping Active mode transfer...
PORT xx,xxx,xxx,xxx,76,169
200 PORT command successful
LIST
Error loading directory...

Dank,

KLaus

Hallo,

habe das Problem erst einmal so gelöst, das ich eine Dienstgruppe ftp-User angelegt und hier dann eine IP eingetragen. Dieser IP habe ich dann eben die Freiheit erlaubt mir "any" also ftp-user --> internet --> any. Dies ist zwar keine Lösung auf dauer, aber erstmal kann ich den User arbeiten lassen. Einen Nachteil hat die Sache auch noch, das ich für diesen User dann eine feste IP vergeben muss.

Wenn jemand einen Vorschlag haz dies zu verbessern, nehme ich den gerne an.

Klaus

hallo,

bei passiv ftp muessen folgende dienste freigeschaltet werden:

internal -> internet -> ftp, ftp-passive-related -> accept

bei aktiv ftp muss das regelwerk folgendermassen aufgebaut sein:

internal -> internet -> ftp -> accept
internet -> internal -> ftp-active-related -> accept

bei passiv ftp baut der client die data connection auf bei aktiv ftp
macht das der server.

Hallo,

Dank für die Hilfe.

KLaus