Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    NAT Outbound wird geblockt

    Scheduled Pinned Locked Moved
    Deutsch
    2
    4
    418
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • S
      sunics
      last edited by

      Hallo zusammen,

      ich habe seit ein paar Tagen das Problem, dass bei einem bestimmten Server
      nach einer gewissen Zeit der Outbound geblockt wird.

      Es passiert nur bei dem Server. Alle anderen funktionieren normal.

      Für den Server ist eine Outbound Regel definiert, welche dem Server die Externe IP übergibt.
      Dies hat auch bis vor ein paar Tagen Monate lang funktioniert.
      An der Firewall ist nichts geändert worden.

      Wenn der Outbound geblockt wird, hilft nur ein neustart der Firewall.

      Gibt es irgendwo ein Auto-Ban, der dort greift oder hatte jemand schon ein ähnliches Problem?

      Falls ihr weitere Informationen benötigt, einfach Fragen.

      Vielen Dank im Voraus für eure Hilfe!

      1 Reply Last reply Reply Quote 0
      • JeGrJ
        JeGr LAYER 8 Moderator
        last edited by

        @sunics said in NAT Outbound wird geblockt:

        Falls ihr weitere Informationen benötigt, einfach Fragen.

        Also mit der Information "irgendwas wird irgendwann einfach so geblockt und wir haben nichts gemacht" sollen wir nun irgendwie hilfreich antworten können? Sorry, aber das sollte einleuchten, dass man mit der Masse an Information so gar nichts sagen kann.

        @sunics said in NAT Outbound wird geblockt:

        dass bei einem bestimmten Server
        nach einer gewissen Zeit der Outbound geblockt wird.

        Was heißt der "outbound"?

        @sunics said in NAT Outbound wird geblockt:

        Für den Server ist eine Outbound Regel definiert, welche dem Server die Externe IP übergibt.

        Also gibt es wohl mehrere IPs auf dem WAN Interface und dem Server ist gezielt eine zugewiesen? Wie? Wo? Warum? Mit welchen Regeln? Was macht der Server überhaupt?

        @sunics said in NAT Outbound wird geblockt:

        An der Firewall ist nichts geändert worden.

        Nochmal hart überlegen, ob nicht doch irgendwas geändert wurde... Updates bspw.?

        @sunics said in NAT Outbound wird geblockt:

        hatte jemand schon ein ähnliches Problem?

        Automagisch wird nicht irgendwas einfach geblockt. Dann greifen Regeln, ergo muss es Logs von dem Block geben. Was steht in den Logs, im Syslog, was sagt ein Ping, Traceroute etc. etc.
        Du gibst leider so gut wie keine verwertbaren Hinweise.

        Gruß

        Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

        If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

        1 Reply Last reply Reply Quote 0
        • S
          sunics
          last edited by

          Hallo JeGr,

          Der Server fungiert als Mailserver.
          Outbound heisst in dem Fall, dass alle ausgehenden Verbindungen vom Server ins Internet ab der Firewall geblockt werden.

          Im NAT ist eine Outbound-Regel definiert, wo dem Server die Externe Internet IP übergeben wird.

          Ja es gibt mehrere IP's auf dem WAN, da mehrere Telefon-, Mail- und andere Server betrieben werden.
          Eingehend sind nur die jeweiligen benötigten Ports freigeschaltet.
          Ausgehend im NAT nur die jeweilige Antwort IP des Servers:

          Es wurden keine Updates gemacht, keine weiteren Regeländerungen an der Firewall. 2 Wochen zuvor wurde das Passwort des Admin-Accounts geändert. Das einzige was sich ändert ist eine Sperrliste von IP's für eingehende Verbindungen zu den Mailservern.

          Ich habe einen fortlaufenden Ping zum Google-DNS Server laufen lassen. Zum zeitpunkt des
          Verbindungsabruchs waren keine blockeinträge in den Syslogs.
          Ich kann innerhalb des Netzwerks alles Pingen - Nur eben nicht mehr nach aussen ins Internet
          Traceroute vom Server aus geht bis zur Firewall und nicht weiter.

          Ich bin eben nur verwundert, da ich das noch nicht hatte und alle anderen server problemlos weiter laufen.
          Ich habe auch einen weiteren identischen Mailserver, der das Problem nicht hat.

          Soll ich Dir Screenshots der Configs zukommen lassen?

          Merci vorab schon mal für Deine Zeit und Deine Hilfe!

          1 Reply Last reply Reply Quote 0
          • JeGrJ
            JeGr LAYER 8 Moderator
            last edited by

            Ahoi!
            Okidoki dann dröseln wir mal auf :)

            @sunics said in NAT Outbound wird geblockt:

            Outbound heisst in dem Fall, dass alle ausgehenden Verbindungen vom Server ins Internet ab der Firewall geblockt werden.

            Muss nicht zwangsläufig der Fall sein. Ein falsches NATting reicht schon, dass die Verbindung nicht klappt, aber ohne dass wir hier irgendwas sehen in Form von Diagramm, Regeln, NAT etc. wirds schwer zu sagen, WO es genau klemmt.

            Im NAT ist eine Outbound-Regel definiert, wo dem Server die Externe Internet IP übergeben wird.

            Warum nur Outbound? Du sagst das ist ein Mailserver. Gerade Mailserver sind extrem sensible Themen, da hier die IP schon wegen Reverse Lookup und Spamchecks etc. richtig sitzen und passen muss. Warum also Outbound und nicht 1:1 NAT, damit sowohl eingehend als auch ausgehend garantiert die richtige Adresse sitzt? Das NATting ändert nichts an den Firewall Rules. Die kannst du so grob oder fein ziehen wie du willst.

            Das einzige was sich ändert ist eine Sperrliste von IP's für eingehende Verbindungen zu den Mailservern.

            Sperrliste? Die von was wie wo warum verwaltet wird?

            Ich kann innerhalb des Netzwerks alles Pingen - Nur eben nicht mehr nach aussen ins Internet

            Und was taucht beim "nach draußen pingen" in den Logs auf? Was macht/sagt ein Traceroute? Ein Packet Capture gemacht? Was sagt die State Table? Wird überhaupt NAT angefragt oder nicht?

            Soll ich Dir Screenshots der Configs zukommen lassen?

            Ohne mehr vom Gesamtsystem zu kennen ist eine Diagnose sinnlos, da ich/wir hier nicht wissen

            • was für Pakete installiert sind
            • wie diese konfiguriert sind
            • was für Seiteneinflüsse es noch gibt
            • welche anderen Regeln ggf. hier reingrätschen könnten
            • Ob es Block/Sperrlisten gibt die hier reinstreuen können

            Also ohne wesentlich mehr über das Gesamtsystem zu sagen, ist ein spontanes "geht nicht mehr" kaum zu heilen. Sollte das allerdings ein Company Setup sein, dann steht dir natürlich auch jederzeit frei jemanden (wie uns bspw.) anzusprechen (siehe Signatur) und Support einzukaufen. Da kann man dann natürlich auch problemlos mit Vertraulichkeitsvereinbarung und Co. arbeiten, wenn dir die Details zu heikel sind hier zu posten. Aber ansonsten kommen wir hier m.E. nicht weiter, wenn nicht wesentlich mehr Details und Infos zum System kommen. Der Teufel kann da aus leidiger Erfahrung im Detail stecken und in Ecken hausen, die man gar nicht im Verdacht hat. :)

            Don't forget to upvote 👍 those who kindly offered their time and brainpower to help you!

            If you're interested, I'm available to discuss details of German-speaking paid support (for companies) if needed.

            1 Reply Last reply Reply Quote 0
            • First post
              Last post
            Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.