Komme einfach nicht weiter -> DMZ [SOLVED]



  • Moin wehrte Mitgleider,

    ich versuche und probiere schon seid einigen Wochen eine funktionierende DMZ aufzusetzen. Darin befindet sich dann mein Mail Server. (Der funktioniert tadellos hinter meiner Fritz!Box)
    Das Internet habe ich schon rauf und runter gesucht, Anleitungen gelesen und Videos angeschaut. Ich habe mir sogar ein Buch gekauft, aber leider kein Erfolg. Langsam bin ich am verzweifeln und glaube auch, dass ich zu doof dafür.

    Mein Setup ist wie folgt:

    Als erstes habe ich ein Modem im Bridge Mode. Daran angeschlossen ist die Firewall (Alix Board 2D13 - pfSense). Es übernimmt die PPPoE-Einwahl. Das Board hat drei NICs: vr0 = WAN, vr1 = LAN, vr2 = DMZ.
    Vom LAN aus kann ich meinen Mail Server über SSH erreihen, aber nicht aus dem Internet; weder über meine Domain (dynDNS) noch direkt über die WAN IP.
    Wenn ich meinen Laptop in die DMZ hänge komme ich aber raus und kann surfen.

    Meine Konfiguration:

    Firewall: LAN -> 192.168.178.*/24 (DHCP)
                  DMZ -> 192.168.1.1/24 (static)
                  Mailserver -> IP: 192.168.1.2
                                      Subnetmask: 255.255.255.0
                                      Gateway: 192.168.1.1

    Hoffentlich könnt ihr mir weiterhelfen! :-\

    ![Bildschirmfoto vom 2016-02-21 14:21:25.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-02-21 14:21:25.png)
    ![Bildschirmfoto vom 2016-02-21 14:21:25.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-02-21 14:21:25.png_thumb)
    ![Bildschirmfoto vom 2016-02-21 14:22:01.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-02-21 14:22:01.png)
    ![Bildschirmfoto vom 2016-02-21 14:22:01.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-02-21 14:22:01.png_thumb)
    ![Bildschirmfoto vom 2016-02-21 14:22:07.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-02-21 14:22:07.png)
    ![Bildschirmfoto vom 2016-02-21 14:22:07.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-02-21 14:22:07.png_thumb)



  • Hallo,

    von den gezeigten Regeln her sollte der Zugriff funktionieren. Weiß zwar nicht, was du mit dem Port 8443 auf einem Mailserver willst, aber SSH sollte klappen.
    Eine DMZ-Regel wäre dafür gar nicht nötig.

    Bist du dir sicher, dass die Fritz!Box nichts sperrt?
    Ich würde mal ein Packet Capture machen (Diagnostic > Packet Capture), während du von außen über SSH eine Verbindung versuchst, erst am WAN, wenn okay am DMZ Interface.
    Damit siehst du, ob überhaupt was rein kommt und auf der DMZ rausgeht und was vom Server zurückkommt.



  • Moin,

    danke für deine Antwort.
    8443 ist ein https Port für eine Konfig-Seite.

    Leider kann die Fritz!Box keinen Modem Modus (mehr) und so musste ich mir ein ZyXEL Router holen; bei dem heisst es aber Bridge Modus.
    Ich bin mir ziemlich sicher, dass das Modem alles durchlässt. Die eigentliche Verbindung macht ja die Firewall.

    Super, genau so einen Tip habe ich gebraucht. Das probiere ich die Tage gleich mal aus.



  • Ich verstehe Dein Setup nicht ganz.
    Ist die FritzBox noch verbaut?
    Falls ja und die FritzBox in einem anderen Subnetz (DMZ) ist als sie hin-natten soll, so verliert sie ständig das Setting dazu.



  • Hallo renegade,

    die FritzBox habe ich dann nicht mit in Betrieb.
    Zum besseren Verständnis habe ich mein Setup noch mal aufgezeichnet.



  • LAYER 8 Moderator

    Okay Kalle, das Diagramm verstehe ich jetzt gut.

    Was ich nicht verstehe: Soll dein Mailserver nur Mail versenden oder auch empfangen? Denn ich sehe nur 8443 und 22 eingehend, aber keinen einzigen Mailport? Wenn nur versenden, dann sollte das schon genügen was du hast, vorbehaltlich, dass du Outbound NAT Regeln fürs DMZ angelegt hast?

    Grüße



  • Moin JeGr,

    das sind nicht alle Ports, da hast du Recht. Alle Ports die ich öffnen will, kannst du in meinem ersten Post im dritten Bild sehen.
    Ich habe die zwei nur erst mal genommen, weil das ja reicht zum testen.
    Die Outbound Regeln werden doch automatisch erstellt, oder sehe ich das falsch?

    Grüße



  • Hallo,

    wie soll der Server denn funktionieren? Soll dieser die Emails bei deinem Provider per Pop3/IMAP/Exchange abholen und intern zur Verfügung stellen oder soll dieser von anderen Mailservern direkt per SMTP "angesprochen" werden?

    Für das zweite benötigst du noch weitere Regeln die SMTP an deinen Server durchleiten.

    VG
    Andreas



  • Moin Andreas,

    mein Server sendet und empfängt Nachrichten (Ich habe meine eigene Domain, es gibt keinen Provider.) und ich greife dann per IMAP drauf zu.
    Diese Ports habe ich nur noch nicht eingerichtet, weil es ja schon grundsätzlich mit dem SSH Port
    nicht funktioniert.
    Ich habe noch gar kein richtiges Verständnis wie das mit den Firewallregeln funktioniert. Wie NAT funktioniert ist mir aber klar.

    Grüße



  • Du führst deine Verbindungsversuche aber schon von extern durch? Also nicht über den Internet Anschluss an dem auch die DMZ hängt?

    Das ist nämlich mit der Default NAT Konfig nicht möglich. NAT Reflection müsste hier das Stichwort sein.



  • Danke für den Tip Andreas,

    an so was habe ich überhaupt nicht gedacht. Vorher mit der Fritz!Box hat da ja locker funktioniert. Ich habe bis jetzt auch noch nie mit einer Firewall gearbeitet, somit kenne ich das gar nicht.
    Das klingt viel versprechend und ich werde es auf jeden Fall ausprobieren, was ich leider aber erst am Wochenende machen kann.

    Aber wie ist das denn jetzt, wenn ich mit meinem Laptop in meinem LAN bin und dann über IMAP meine emails abrufen will, das geht dann ja nicht mehr, oder wie?
    Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?

    Grüsse



  • @Kalle13:

    Muss ich dann einen Servereintrag (in meinem Mailprogramm) haben einmal mit IP und einmal mit Domain?

    Geht auch einfacher mit Split-DNS. Ich habe im DNS Resolver (geht analog auch im Forwarder) der pfSense einfach einen Host Override gesetzt.

    Host
    imap

    Domain
    domain.de

    IP
    DMZ IP des Servers

    Dann gehts von aussen und von innen problemlos.

    Beim Zyxel Modem würde ich darauf achten, die neuste Firmware zu installieren. Ist schon ein paar Jahre her, aber es gab da mal Probleme mit IPSec bei nem Bekannten. Das lief nur sauber nach Firmware Update. Auch wenn ich nie kapiert habe, wie das sein konnte bei Bridge Betrieb. :)



  • Moin athurdent,

    danke für deinen Tip, aber leider verstehe ich nur Bahnhof. :-[
    Was ist das und wie funktioniert es?

    Grüße



  • :)
    Also, geh mal in der pfSense auf Services -> DNS Resolver. Dort findest Du den Punkt Host Overrides. Nehmen wir an, Dein IMAP Server heisst imap.kalle13.de und hat in der DMZ die IP 192.168.2.10. Dann trägst Du das dort entsprechend ein:
    Host: imap
    Domain: kalle13.de
    IP: 192.168.2.10

    Damit löst der Name dann bei Dir im LAN korrekt auf und Dein Mailprogramm braucht keine Änderung.



  • Oh, ok.
    Wenn das so einfach ist.
    Danke!  :D
    Das werde ich auch mit auf meine To-Do Liste nehmen.

    Grüße



  • Kann ich auch den Hostnamen weglassen?
    Im Mailprogramm habe ich ja nur meine Domain und den Port angegeben. Meine Domain habe ich nur für meinen Mailserver.

    Grüße



  • Moin,

    nee, den Hostnamen musst Du schon angeben, das gibt doch an welcher Rechner kontaktiert wird.
    Trag es einfach mal ein: Hostname.Domain.TLD

    Welches Mailprogramm?

    -teddy



  • @magicteddy: Wieso? Es ist kein Problem, einen A Record auf eine Domain zu setzen. Nur CNAMEs sind eine schlechte Idee, aber das ist eine andere Geschichte. ;)

    @Kalle13: Also, ja Du kannst den Hostnamen weglassen und nur Domain und IP beim Host Override eintragen.



  • Stümmt, hatte nur von der Tapete bis zur Wand gedacht …

    -teddy



  • Gut, werde ich so machen.
    Ich bin gespannt.  ;D

    Grüße



  • ;D Moin  ;D

    Es hat geklappt!
    Der Tip von andreas_at_work und athurdent war genau der richtige. Danke!
    Es lag an der NAT Reflection, denn ich hatte nie von aussen getestet. Nun kann ich vollständig vom Internetz auf meinen Server zugreifen!
    Leider geht das aber nur teilweise vom LAN aus, wenn ich über meine Domain gehe. Mails abrufen geht, aber kein ssh.
    -> ssh Benutzer@domain -p49999
    Dazu muss ich sagen, dass nicht über den Standart SSH-Port (22) gehe sondern über 49999. Das heisst im NAT mache ich dann aus 49999 wieder 22.
    Der Server und die NAT Regel funktioniert! Das habe ich schon von aussen getestet.  :-\

    Gerade habe ich auch noch entdeckt, dass ich vom Server aus keine Updates (Debian) machen kann. Ich habe als NAT Regel Port 80(HTTP) TCP und Port 53(DNS) TCP/UDP freigeschaltet. Trotzdem geht es nicht.  :-
    Wget geht auch nicht. -> wget http://128.101.240.212
    Ping geht auch nicht. -> ping www.google.de oder ping 8.8.8.8

    Grüße



  • Für SSH müsstest Du entweder aus dem LAN in Richtung DMZ eine NAT Regel schreiben, die Dir die Ports umbiegt (also Anfragen aus dem LAN an Port 49999 wieder auf 22 umschreiben), oder Du lässt das SSH einfach auf der Linux Box auf 49999 laufen und sparst Dir bei WAN und LAN das Portverbiegen.
    Für den Traffic aus der DMZ Richtung WAN fehlt vielleicht eine Firewallregel? Und ICMP für Ping hast Du auch nicht genatted, das würde eh nicht gehen. Der Einfachheit halber natte ich wo möglich auch immer ohne Ports/Protokolle und schreibe dann restriktive Firewallregeln, die durch dürfen. Macht die Sache unkomplizierter, ist aber nur meine Meinung ;)
    Wenns nicht klappt, zeig vielleicht mal Deine Nat und Firewallregeln…



  • Moin athurdent,

    ssh wollte ich eigentlich so wie immer beibehalten, d.h. von aussen (über meine domain) auf den Server zugreifen. Darüber den Port in der sshd_config zu ändern habe ich auch schon nachgedacht; das werde ich wohl auch so machen.

    Für den Traffic aus der DMZ Richtung WAN fehlt vielleicht eine Firewallregel?

    Ich habe NAT Regeln (Portfreigabe) für`s WAN erstellt die auf den Server zeigen (automatisch natürlich die passenden Firewall Regeln).
    Ist das also so nicht richtig und ich muss, wie du sagst, eine Firewallregel für die DMZ erstellen?
    das werde ich dann natürlich ausprobieren.
    So richtig habe ich das ganze wohl noch nicht verstanden mit den Firewallregeln und so. :P :-\

    Der Einfachheit halber natte ich wo möglich auch immer ohne Ports/Protokolle und schreibe dann restriktive Firewallregeln, die durch dürfen.

    Das verstehe ich nicht.  :-[ Was meinst du damit genau?

    Leider bin ich die nächsten 1,5 Wochen nicht zu Hause und kann es deshalb nicht testen.  :(
    Wenn ich aber zu Hause bin und es so nicht klappt, poste ich gerne meine Regeln.

    Danke und Grüße



  • Moin,

    @athurdent - Das mit dem ssh Problem habe ich hingekriegt.  :D

    Aber jetzt es ist wieder so weit, ich schmeiss gleich alles hin. Ich kriege keine Verbindung nach aussen von meinem RPI1Tor (ein weiterer PI Server der per Switch jetzt auch in der DMZ hängt) weder perping 8.8.8.8noch per```
    apt-get update

    Von aussen kann ich ihn per ssh erreichen, das ist aber auch alles.
    Hier meine Screenshots für meine DMZ Regeln.
    Ich verstehe einfach noch nicht wie die Regeln richtig funktionieren. >:(
    
    Grüße
    
    ![Bildschirmfoto vom 2016-03-11 01:28:04.png](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:28:04.png)
    ![Bildschirmfoto vom 2016-03-11 01:28:04.png_thumb](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:28:04.png_thumb)
    ![Bildschirmfoto vom 2016-03-11 01:30:29.png](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:30:29.png)
    ![Bildschirmfoto vom 2016-03-11 01:30:29.png_thumb](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:30:29.png_thumb)
    ![Bildschirmfoto vom 2016-03-11 01:32:03.png](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:32:03.png)
    ![Bildschirmfoto vom 2016-03-11 01:32:03.png_thumb](/public/_imported_attachments_/1/Bildschirmfoto vom 2016-03-11 01:32:03.png_thumb)


  • Überprüfe, ob das Outbound NAT für die DMZ oder für diesen Server korrekt arbeitet.

    Übrigens, in deinen DMZ-Firewall-Regeln sehe ich, abgesehen von der ersten, keinen Sinn. Als Destination DMZ net, wo ja DMZ net eigentlich Source ist??  ???



  • Danke für deine Antwort! ;D

    Langsam kriege ich den Dreh raus mit den Regeln. Ich musste einfach eine Nacht drüber schlafen. ;D
    Meine Konfig ist nun so, dass ich zwei Raspberries per Switch in der DMZ habe.
    Ich will, dass ich bei beiden Updates machen kann (apt-get update).
    Bei einem (RPI2Mail) funktioniert es nun, nur bei dem anderen (RPI1Tor) nicht.
    Laut meinen neuen Regeln müsste es aber doch generell für beide aus der DMZ funktionieren, oder nicht? :o
    -> Bild 1
    Ich habe ein "Packet Capture" gemacht und festgestellt, dass die Anfrage vom RPI1Tor gar nicht ins WAN geht, sondern an eine komische
    Adresse 192.168.43.1. Diesen Adressbereich habe ich gar nicht definiert und kann auch nichts mit anfangen.
    -> Bild 2

    Komisch.

    Danke und Grüße

    ![Bildschirmfoto vom 2016-03-11 11:53:48.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:48.png)
    ![Bildschirmfoto vom 2016-03-11 11:53:48.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:48.png_thumb)
    ![Bildschirmfoto vom 2016-03-11 11:53:36.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:36.png)
    ![Bildschirmfoto vom 2016-03-11 11:53:36.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 11:53:36.png_thumb)



  • Das was da an 192.168.43.1 geht, ist eine DNS-Abfrage. Vermutlich ist diese IP als DNS konfiguriert (ev. im DHCP).

    Die DMZ Regeln 2 - 4 bewirken nun nur, dass auch ins LAN erlaubt sind. Ich weiß nicht, ob das so deine Absicht ist.



  • Genau. Die DNS Abfrage funktioniert aber bei dem anderen PI richtig, denn da steht dann 192.168.178.1.

    Wieso ins LAN? "Destination" ist doch any.

    Grüsse



  • Dann überprüfe mal die Netzwerkkonfiguration am RPI1Tor.

    Die Firewall-Regeln werden von oben nach unten durchgearbeitet. Treffen die Bedingungen einer zu, wird diese angewandt und die Prüfung beendet, also nachfolgende Regeln werden ignoriert.
    Deine 1. DMZ-Regel erlaubt jeden IPv4 Zugriff auf alle Ports und alle Adressen außer aufs LAN. Damit wirken sich nachfolgende Regeln nur noch aufs LAN aus.

    Grüße



  • Ah, ich verstehe dich. Das heisst also auch, dass ich die Regeln 2-4 gar nicht brauche!?
    Somit habe ich einfach unbewusst einen Workaround gemacht, der aber gleichzeit meine erste Regel aushebelt.
    Denn die 192.168.178.1 ist der gateway von meinem LAN und der macht DNS.
    Ich habe in meiner DMZ alles statisch konfiguriert, d.h. mir fehlt wohl der DNS, weil ich aus der DMZ nix großartig machen kann.
    Wie verpasse ich der DMZ einen DNS?

    Grüße



  • Ob du die Regeln benötigst, hängt vo deiner Konfiguration ab. Mich hat vor allem die HTTP-Regel ohne Zieleinschränkung verwundert, die aber nicht mehr bewirkt, als HTTP nach LAN zu erlauben. Ein Webserver hat zudem im LAN eigentlich nichts zu suchen, wenn es eine DMZ gibt.

    Wenn du einen eigenen DNS und einen NTP-Server im LAN betreibst, brauchst du die beiden Regeln dafür.
    Aber ich nehme an, dein DNS 192.168.178.1 ist die pfSense selbst und vermutlich macht sie auch den NTP-Server. Beide Services kannst du auch für mehrere Interfaces gleichzeitig konfigurieren, dann erreichst du sie jeweils mit der nächstgelegenen Interface-Adresse und du benötigst die Regeln gar nicht.



  • Ein Webserver hat zudem im LAN eigentlich nichts zu suchen, wenn es eine DMZ gibt.

    Genau, das will ich auch gar nicht.

    Das komische ist auch, mit der ersten Regel erlaube ich doch alles aus der DMZ raus, also auch ping. Der funktioniert auch nicht.

    Ich will, dass meine PIs in der DMZ die PFsense als DNS Server (static IPs) benutzen. Aus dem LAN Funktioniert das (DHCP).
    Nur wie mache ich das? Was ist der Unterschied…wieso funktioniert das im LAN einfach und in der DMZ nicht? Oder mache ich einen grundsätzlichen Denkfehler?
    Meine /etc/network/interfaces auf den PIs sieht so aus:

    ![Bildschirmfoto vom 2016-03-11 18:14:31.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 18:14:31.png)
    ![Bildschirmfoto vom 2016-03-11 18:14:31.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 18:14:31.png_thumb)



  • @Kalle13:

    Das komische ist auch, mit der ersten Regel erlaube ich doch alles aus der DMZ raus, also auch ping. Der funktioniert auch nicht.

    Die Outbound NAT Konfiguration schon überprüft?

    @Kalle13:

    Ich will, dass meine PIs in der DMZ die PFsense als DNS Server (static IPs) benutzen. Aus dem LAN Funktioniert das (DHCP).

    Du willst, dass ein DMZ-Host eine IP vom DHCP im LAN bekommen?? Geht nicht, nicht ohne weitere Maßnahmen. DHCP ist auf Broadcasts angewiesen und die gehen über keinen Router.
    Wenn ohnehin die pfSense den DHCP-Server macht, dann aktiviere ihn einfach auch am DMZ Interface. Wenn es ein anderer Host ist, dann aktiviere und konfiguriere das DHCP-Relay auf der pfSense, so werden Anfragen auf den DHCP-Server weitergeleitet.



  • Die Outbound NAT Konfiguration schon überprüft?

    Ja. -> Bild 1

    Du willst, dass ein DMZ-Host eine IP vom DHCP im LAN bekommen?? Geht nicht, nicht ohne weitere Maßnahmen. DHCP ist auf Broadcasts angewiesen und die gehen über keinen Router.
    Wenn ohnehin die pfSense den DHCP-Server macht, dann aktiviere ihn einfach auch am DMZ Interface. Wenn es ein anderer Host ist, dann aktiviere und konfiguriere das DHCP-Relay auf der pfSense, so werden Anfragen auf den DHCP-Server weitergeleitet.

    Nein. Ich will, dass die PIs die eine statische IP Konfiguration bekommen haben den DNS von der PFsense benutzen. Was sie meiner Meinung nach nicht tun, obwohl der DNS Resolver läuft. -> Bild 2

    Ich habe auch jetzt die PFsense als DNS Server in die IP Konfiguration der PIs aufgenommen. Trotzdem kein Erfolg.
    Deine Vorschlag alles auf DHCP umstellen, habe ich auch mal umgesetzt. Leider auch kein Erfolg. :(

    Ich habe gerade mit der "Packet Capture" nachgeschaut. Eine Anfrage vom PI an die Pfsense mit z.B. UDP an Port 53 geht raus. Ich weiß aber nicht wo in der Firewall die Pakete versickern.
    Es liegt glaube ich nicht am DNS. Ich kriege einfach keine Verbindung nach aussen. Aber Wieso?

    Grüße

    ![Bildschirmfoto vom 2016-03-11 18:31:35.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 18:31:35.png)
    ![Bildschirmfoto vom 2016-03-11 18:31:35.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 18:31:35.png_thumb)
    ![Bildschirmfoto vom 2016-03-11 18:30:06.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 18:30:06.png)
    ![Bildschirmfoto vom 2016-03-11 18:30:06.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 18:30:06.png_thumb)



  • Okay, mal schön langsam. Ich habe dein Eindruck der Thread schlägt Haken wie ein Hase und hängt mich dabei immer wieder ab.
    Versuchen wir ein Problem nach dem anderen zu lösen.

    Das Problemind ist nun der PI mit der 192.168.1.2, okay?

    DNS:
    Der Resolver auf der pfSense ist nun eingestellt. Die pfSense selbst hat auch einen DNS-Server konfiguriert, d.h., es wird am Dashboard der Update-Status angezeigt?
    Hast du nun den PI so konfiguriert, dass er die pfSense DMZ 192.168.1.1 als DNS verwendet?

    Verbindung nach draußen:
    In Reply #25 hast du geschrieben, dass ein ping auf 8.8.8.8 nicht funktioniert. Wenn das immer noch so ist, dann mach bitte ein Packet Capture mit Filter auch ICMP während des Pings, einmal auf dem DMZ und einmal auf dem WAN und poste diese.



  • Ich weiss. Entschuldige für die Aufregung, aber ich habe mich wie gefühlt wie als stehe ich mitten im Wald und weiss den Weg nicht raus.
    Jetzt habe ich aber einen Weg gefunden!  ;D
    Jetzt haben beide PIs Internetzugang. Ich kann Mails versenden. Ping geht auch. Und apt-get funktioniert auch.
    Aus der DMZ kann ich auch keine Geräte an pingen.

    Zwei "Dinge" habe ich dazu gebraucht:

    I. Die PIs auf DHCP umgestellt.

    II. https://doc.pfsense.org/index.php/Example_basic_configuration

    | DMZ Configuration

    Allow TCP/UDP from DMZ subnet to DMZ Address port 53 for DNS from the firewall
        Allow TCP from DMZ subnet to DMZ address port 443 for accessing the GUI (optional)
        Allow ICMP from DMZ subnet to DMZ address to ping the firewall from the DMZ
        Allow any traffic required from DMZ to LAN (if any)
        Reject Any from DMZ subnet to RFC1918 – Do not allow DMZ to reach LAN or other private networks
        Allow Any from DMZ subnet to any -- Internet access rule

    |

    So sehen meine Regeln jetzt aus -> Bild

    Jetzt klappt auch alles, so weit ich das jetzt sehen kann!  ;D

    Vielen Dank für deine Hilfe!
    Grüße

    ![Bildschirmfoto vom 2016-03-11 21:45:15.png](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 21:45:15.png)
    ![Bildschirmfoto vom 2016-03-11 21:45:15.png_thumb](/public/imported_attachments/1/Bildschirmfoto vom 2016-03-11 21:45:15.png_thumb)


Log in to reply