Firewall-Regeln funktionieren nicht

[JungerSysadmin]

Guten Morgen Zusammen,

ich bin neu in dem Beruf und leider die einzige Person, die für die IT zuständig ist. Da ich auch noch sehr jung bin, habe ich leider auch keine Möglichkeiten mich bei Freunden zu diesem Thema zu erkundigen bzw. da mal nachzuhaken.

 Kurz zum Thema: ich migriere unsere Server (DC, Exchange, Fileserver) in ein Rechenzentrum. Nun ist meine Aufgabe, ein paar Regeln für die Firewall einzurichten, damit die Clients aus dem Client-Netz auch ins Netz des RZ kommunizieren können.

Die Regeln, die ich eingerichtet habe, sehen so aus (IP-Adresse fiktiv):

Die Regeln laut Dienstleister lauten so:

Ich habe versucht, die UDP & TCP Ports in einer Regel zusammenzufassen, leider können die Clients den externen Server erreichen.

Wäre toll, wenn mir einer einen Tipp geben oder mich in die richtige Richtung lenken könnte. In der Ausbildung war ich kaum an Firewalls zugange.

Vielen Dank und viele Grüße

[schmiegi]

Moin,

besteht eine VPN-Verbindung in das RZ, oder tatsächlich plain die besagten Ports via Internet ?
Für die Zugriffe von extern nach Intern, benötigst du je nach eingesetzter Hardware entsprechend NAT (bevorzug RProxy bzw. abgesichert).

Die FW-Regeln von intern nach extern scheinen mir falsch zu sein. Du erlaubst laut Regel nur, wenn die SRC die Interface-IP deines LANs hat. Demnach müsstest du deine Source-Natten -> Vielleicht tust du das, steht hier allerdings leider nicht drin. 

Schonmal die Logs der Firewall angeschaut, welche Einträge da vorzufinden sind ?

VG
 

[JungerSysadmin]

vor 39 Minuten schrieb ITSpezi1337:

Moin,

besteht eine VPN-Verbindung in das RZ, oder tatsächlich plain die besagten Ports via Internet ?
Für die Zugriffe von extern nach Intern, benötigst du je nach eingesetzter Hardware entsprechend NAT (bevorzug RProxy bzw. abgesichert).

Die FW-Regeln von intern nach extern scheinen mir falsch zu sein. Du erlaubst laut Regel nur, wenn die SRC die Interface-IP deines LANs hat. Demnach müsstest du deine Source-Natten -> Vielleicht tust du das, steht hier allerdings leider nicht drin. 

Schonmal die Logs der Firewall angeschaut, welche Einträge da vorzufinden sind ?

VG
 

Eine VPN-Verbindung besteht, unser DC on-prem kann mit dem ext. Server im RZ kommunizieren (sind im eigenen Netz). Die Clients können es aber nicht (IP-Adresse wird aufgelöst, Ziel aber nicht verfügbar).

Müsste bei Source nicht das Client-Netz angegeben werden und als Destination die Serveradresse? Oder verstehe ich das Prinzip einfach falsch?

Die einzige NAT-Regel in der Firewall ist für den Mailserver, unser Dockerserver & eine allgemeine Regel die das WAN verbindet (?).

Zu den Logs: was genau meinst du? Einen Auszug der Regeln habe ich als .csv exportiert falls du das meinst.

Danke für deine Antwort!

Bearbeitet 7. März 2023 von JungerSysadmin

[schmiegi]

Da du vermutliche mit VPN eine S2S meinst:

Wird das Client-Netz getunnelt, oder lediglich das Netz, in dem sich der DC befindet ?
Ja, als SRC, muss deine LAN-Subnetz stehen, nicht die Interface-IP des LAN-Subnetzes (Was vermutlich dein Gateway für besagtes LAN ist). Wenn es bei der Interface-IP bleiben muss (Warum auch immer), benötigst du ein S-NAT.

Durch die VPN ist meine Anfrage zwecks D-NAT vermutlich obsolet -> Kann man dir aber erst verbindlich sagen, wenn wir mehr Infos über die Netzwerkinfrastruktur haben.

Nein, ich meine nicht die Regeln. Ich meine ein Firewall-Auszug an Verbindungen, die durch deine Firewall gehen. 
Sollte das Standarmäßig nicht aktiviert sein, würde ich es dir empfehlen für Troubleshooting-Zwecks zu aktiveren (allow, drop und reject). 

[127.1.root]

Wenn du sowas nicht kannst und verstehst solltest du eine externe Firma beauftragen, welche die FW initial konfiguriert. Kostet zwar Geld aber dann wird es richtig gemacht.