OPNsense Forum

International Forums => German - Deutsch => Topic started by: HeribertB on December 11, 2020, 03:34:41 pm

Title: NAT Port Forwarding wird geblockt durch "Default deny rule"
Post by: HeribertB on December 11, 2020, 03:34:41 pm: Hallo,

bin erst umgestiegen von IPFire (davor IPCop) und stehe gerade vor dem Problem meine Port Forwardings einzurichten. Bei allen hab ich momentan das gleiche Problem, NAT Port Forwarding Regel ist erstellt doch wenn ich unter Firewall>Logs>Live View mitschaue bekomme ich die Meldung das die "Defaul deny Rule" blockt. Habe einige Tutorials angesehen und auch in der Dokumentation nachgelesen aber keine Lösung gefunden. Vermute mal ich hab irgendeine Kleinigkeit übersehen. Es sind zwar mehrere VLANs, jedes mit eigenem LAN Port aber es geht immer nur um VLAN 1. Bringe hier als Beispiel nur eine der Regeln, die anderen sind ident angelegt. Das Kabelmodem vom Provider gibt mir einfach nur meine WAN IP(s).

Hier mal mein Setup:

Versions OPNsense 20.7.5-amd64
FreeBSD 12.1-RELEASE-p10-HBSD
OpenSSL 1.1.1h 22 Sep 2020

WAN / Internet
:
: Provider
:
.-------+-------.
| Gateway | (KabelModem)
'-------+-------'
|
WAN | IP
|
.-------+--------.
| OPNsense |
'-------+---------'
| | |
VLAN 1-3

NAT Port Forward Eingtrag:

Interface Proto Address Ports Address Ports IP Ports Description
WAN TCP * * ftp_server_ip ftp_server_port ftp_server_ip ftp_server_port ftp_server_forward

Ich weiß für FTP gibts ein Proxy Plugin, damit klappte es auch nicht, mit unterschiedlichen anderen Diensten(zb ssh) war es aber das gleiche Problem.

Im Zuge der diversen Tutorials bzw anderer Foreneinträge mit dem Problem hab ich es sowohl mit als auch ohne Aliasse probiert. Weiters habe ich unter Firewall>Settings>Advanced auch folgende Einstellungen probiert:
Reflection for port forwards: Aktiv
Reflection for 1:1 : Deaktiviert
Automatic outbound NAT for Reflection: Aktiv

Log Meldung

wan Dec 11 15:25:38 externeIP:60948 WANIP:21 tcp Default deny rule

Details:
Code: [Select]
__timestamp__ Dec 11 14:51:18 ack action [block] anchorname datalen 0 dir [in] dst WANIP dstport 21 ecn id 8800 interface igb0 interface_name wan ipflags DF label Default deny rule length 60 offset 0 proto 6 protoname tcp reason match rid 02f4bab031b57d1e30553ce08e0ec131 ridentifier 0 rulenr 12 seq 2915839286 src externeIP srcport 58383 subrulenr tcpflags S tcpopts tos 0x0 ttl 61 urp 65535 version 4
Wo kann ich da noch ansetzen? Innerhalb des VLAN 1 funktioniert es. Extern probiert habe ich es übers Handy, von mir zuhause und von einem Freund aus um da auf Nummer sicher zu gehen.
Title: Re: NAT Port Forwarding wird geblockt durch "Default deny rule"
Post by: micneu on December 11, 2020, 05:25:42 pm: Bitte mal Screenshots von den Sachen was du konfiguriert hat
so kann man besser sehen wo das Problem ist.

Gesendet von iPad mit Tapatalk Pro
Title: Re: NAT Port Forwarding wird geblockt durch "Default deny rule"
Post by: HeribertB on December 17, 2020, 03:42:25 pm: Hier sind die Screenshots https://imgur.com/a/g26TpZG (https://imgur.com/a/g26TpZG)
Title: Re: NAT Port Forwarding wird geblockt durch "Default deny rule"
Post by: JeGr on December 18, 2020, 06:23:05 pm: Die NAT Regel macht schon keinen Sinn:

Du hast als Destination "ftp_server_ip" UND dann als Redirect ebenfalls "ftp_server_ip" - wie soll das denn auch funktionieren? :) Das eine ist die externe Adresse - wenn du das daheim einsetzt dann wahrscheinlich ohne mehrere IP Adressen etc. dann ist die Destination, wo die Pakete hingehen, die IP vom WAN also sehr wahrscheinlich WAN_address. Da man keine Aliase sieht vermute ich mal dass "ftp_server_ip" die interne IP ist wo das ganze hin soll, dann ist das die Redirection IP. Aber so passt eben schon das NATting nicht, weshalb die Pakete auch wegen Default Deny geblockt werden weil sie nicht auf die Regel matchen :)