Monat: März 2017

Damit die Firewall des EdgeRouters den von einer DNAT Regel umgeschriebenen Traffic akzeptiert muss dieser in der Firewall explizit akzeptiert werden. In einem Beispiel eines anderen Beitrags wurden tcp Pakete an die externe IP 217.8.8.8 auf Port 80 so umgeschrieben das diese an 192.168.1.1 Port 9300 adressiert sind. Damit diese Pakete nun bei 192.168.1.1 auch ankommen ist folgende Firewall Regel notwendig:

set firewall name WAN_IN rule 31 action accept
set firewall name WAN_IN rule 31 description 'Description for this Firewall Rule'
set firewall name WAN_IN rule 31 destination address 192.168.1.1
set firewall name WAN_IN rule 31 destination port 9300
set firewall name WAN_IN rule 31 log disable
set firewall name WAN_IN rule 31 protocol tcp

Somit wird tcp Traffic an 192.168.1.1 Port 9300 von der Firewall akzetiert. Die DNAT Regel funktioniert somit.

Im vorliegenden Beispiel wird Port 80 von der externen IPv4 Adresse 217.8.8.8 auf einen internen Host mit der IP Adresse 192.168.1.1 auf Port 9300 weitergeleitet.

Diese Kommandos können beispielsweise per SSH auf dem Router ausgeführt werden um die Regel zu erstellen.

set service nat rule 1 description "Description for this DNAT Rule"
set service nat rule 1 destination address 217.8.8.8
set service nat rule 1 destination port 80
set service nat rule 1 inbound-interface eth0
set service nat rule 1 inside-address address 192.168.1.1
set service nat rule 1 inside-address port 9300
set service nat rule 1 log disable
set service nat rule 1 protocol tcp
set service nat rule 1 type destination

Dabei wird ein ankommendes tcp Protokoll Paket an eth0 welches für die Adresse 217.8.8.8 port 80 bestimmt ist übersetzt / umgeschrieben bevor es auf die Firewall trifft. An der Firewall müssen dann also Pakete für 192.168.1.1 Port 9300 akzeptiert werden damit es klappt.