USG hinter Router: Firewallkonfiguration

Frisbee
Frisbee Posts: 2
Friend Collector First Comment
edited April 2021 in Security
Hallo!

Ich stehe vor einem mir rästelhaften Phänomen. Meine ZyWall 110 steht hinter einer Swisscom InternetBox 2 (faktisch ein "normaler" Router, den es für den ISP braucht). Diese Swisscom IB leitet sämtlichen Traffic inkl. aller Ports an die ZyWall weiter, damit funktioniert auch VPN wunderbar.

Jetzt will ich einen FTP-Server von aussen zugänglich machen, der im LAN1 schon funktioniert. NAT-Regel:
WAN1_IP ist die IP, die die ZyWall von der Swisscom IB bekommt.

Firewall-Regel:

Mit dieser Konfiguration komme ich nicht auf den FTP von aussen über DDNS. Der Log meldet "match default rule" mit Destination 192.168.9.102:21. Es geht auch nicht, wenn ich in der Firewall überall "any" setze. Erst wenn ich die Firewall komplett deaktiviere geht es.

Kann mir jemand einen Tipp geben?

Accepted Solution

  • Frisbee
    Frisbee Posts: 2
    Friend Collector First Comment
    Answer ✓

    Die Ursache ist gefunden, in der NAT-Regel habe ich Source IP und External IP vetauscht. :s

    Doch, ich bekomme von Swisscom eine öffentliche IP. Ich habe aber sämtlichen Traffic von der Swisscom-Box, die keinen Bridge-Mode kennt, an die USG weitergeleitet, daher die USG-WAN-Adresse.

All Replies

  • [Deleted User]
    [Deleted User] Posts: 213  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    Hallo @Frisbee und willkommen im Forum!

    Soweit habe ich nichts an den zwei Regeln auszusetzen.
    Dieses QNAP_Extern Objekt beinhaltet aber auch ganz sicher die interne private IP vom QNAP NAS?

    Ich schätze dies lässt sich besser in einem Support Ticket unter https://support.zyxel.eu klären.

    Beste Grüße
    Lukas
  • FrankLauer
    FrankLauer Posts: 45  Freshman Member
    First Anniversary 10 Comments Friend Collector First Answer
    edited March 2021
    Hast du vor der FTP-Sicherheitsregel noch eine andere Regel mit Deny oder Reject, welche den Zugriff vorher verweigert?
    Die Reihenfolge der Regeln ist wichtig.

    Ausserdem kann etwas nicht stimmen, wenn das USG-Log "Match default rule, DROP" mit der Destination 192.168.9.102:21 meldet. Nach deinen Angaben ist 192.168.9.102 deine USG-WAN Adresse. Dann müsste im Log 192.168.9.102 als Source vermerkt sein.

    Welche lokale Adresse hat eigentlich dein FTP?

    PS: Du bekommst bei der Swisscom wirklich keine echte öffentliche IPv4 Adresse mehr? Oder ist dein Router nur nicht in den Bridge-Mode geschaltet worden?  Bei Quickline bekommt man z.B. IPv4/IPv6 Dual Stack.



  • Frisbee
    Frisbee Posts: 2
    Friend Collector First Comment
    Answer ✓

    Die Ursache ist gefunden, in der NAT-Regel habe ich Source IP und External IP vetauscht. :s

    Doch, ich bekomme von Swisscom eine öffentliche IP. Ich habe aber sämtlichen Traffic von der Swisscom-Box, die keinen Bridge-Mode kennt, an die USG weitergeleitet, daher die USG-WAN-Adresse.

Security Highlight