USG hinter Router: Firewallkonfiguration
Hallo!
Ich stehe vor einem mir rästelhaften Phänomen. Meine ZyWall 110 steht hinter einer Swisscom InternetBox 2 (faktisch ein "normaler" Router, den es für den ISP braucht). Diese Swisscom IB leitet sämtlichen Traffic inkl. aller Ports an die ZyWall weiter, damit funktioniert auch VPN wunderbar.
Jetzt will ich einen FTP-Server von aussen zugänglich machen, der im LAN1 schon funktioniert. NAT-Regel:
WAN1_IP ist die IP, die die ZyWall von der Swisscom IB bekommt.
Firewall-Regel:
Mit dieser Konfiguration komme ich nicht auf den FTP von aussen über DDNS. Der Log meldet "match default rule" mit Destination 192.168.9.102:21. Es geht auch nicht, wenn ich in der Firewall überall "any" setze. Erst wenn ich die Firewall komplett deaktiviere geht es.
Kann mir jemand einen Tipp geben?
0
Accepted Solution
-
Hallo @FrankLauerDie Ursache ist gefunden, in der NAT-Regel habe ich Source IP und External IP vetauscht.
Doch, ich bekomme von Swisscom eine öffentliche IP. Ich habe aber sämtlichen Traffic von der Swisscom-Box, die keinen Bridge-Mode kennt, an die USG weitergeleitet, daher die USG-WAN-Adresse.0
All Replies
-
Hallo @Frisbee und willkommen im Forum!
Soweit habe ich nichts an den zwei Regeln auszusetzen.
Dieses QNAP_Extern Objekt beinhaltet aber auch ganz sicher die interne private IP vom QNAP NAS?
Ich schätze dies lässt sich besser in einem Support Ticket unter https://support.zyxel.eu klären.
Beste Grüße
Lukas0 -
Hast du vor der FTP-Sicherheitsregel noch eine andere Regel mit Deny oder Reject, welche den Zugriff vorher verweigert?Die Reihenfolge der Regeln ist wichtig.Ausserdem kann etwas nicht stimmen, wenn das USG-Log "Match default rule, DROP" mit der Destination 192.168.9.102:21 meldet. Nach deinen Angaben ist 192.168.9.102 deine USG-WAN Adresse. Dann müsste im Log 192.168.9.102 als Source vermerkt sein.Welche lokale Adresse hat eigentlich dein FTP?PS: Du bekommst bei der Swisscom wirklich keine echte öffentliche IPv4 Adresse mehr? Oder ist dein Router nur nicht in den Bridge-Mode geschaltet worden? Bei Quickline bekommt man z.B. IPv4/IPv6 Dual Stack.
0 -
Hallo @FrankLauerDie Ursache ist gefunden, in der NAT-Regel habe ich Source IP und External IP vetauscht.Doch, ich bekomme von Swisscom eine öffentliche IP. Ich habe aber sämtlichen Traffic von der Swisscom-Box, die keinen Bridge-Mode kennt, an die USG weitergeleitet, daher die USG-WAN-Adresse.0
![[Deleted User]](https://us.v-cdn.net/6029482/uploads/defaultavatar/nN4PAQRO7TCNP.jpg)
Freshman Member
Ally Member
Categories
- All Categories
- 415 Beta Program
- 2.4K Nebula
- 144 Nebula Ideas
- 94 Nebula Status and Incidents
- 5.6K Security
- 239 USG FLEX H Series
- 267 Security Ideas
- 1.4K Switch
- 71 Switch Ideas
- 1.1K Wireless
- 40 Wireless Ideas
- 6.3K Consumer Product
- 247 Service & License
- 384 News and Release
- 83 Security Advisories
- 29 Education Center
- 10 [Campaign] Zyxel Network Detective
- 3.2K FAQ
- 34 Documents
- 34 Nebula Monthly Express
- 83 About Community
- 71 Security Highlight
