Aufruf: UTM-IP:Port oder UTM-URL:Port Port wie unter Netzwerk / Servereinstellungen / Webserver konfiguriert Default-Port: 11115 z.B.: https://utm.ttt-point.de:11115 Default: https://192.168.175.1:11115→ Anwendungen →Reverse-Proxy
Verwendungszweck
Mit einem Reverse-Proxy kann man aus dem Internet heraus, den Zugriff auf die "internen" Webserver steuern. Im Gegensatz zu einer Portweiterleitung, können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.
Ein weiteres Highlight bietet das Load-Balancing. Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden.
Voraussetzungen
Für die Beispielkonfiguration werden folgende Werte angenommen:
Webserver mit der privaten IP: 10.1.0.150
Domäne: www.ttt-point.de
Vorbereitungen
Achtung: Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden.
In der Werkseinstellung ist der Port 443 für https schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden. Die Einstellungen dazu befinden sich im Menü → Netzwerk →ServereinstellungenReiter Servereinstellungen im Abschnitt ╭╴Webserver╶╮
Ggf. müssen Portfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden.
Speichern
Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann
Hierzu wird unter → Authentifizierung →Zertifikate ein Zertifikat benötigt
Wird ein lokal selbst erstelltes Zertifikat verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen
Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu importieren oder ein ACME-Zertifikat zu erstellen
Wichtig: der Name des Zertifikates muss so benannt werden wie die Domäne. In diesem Beispiel wird ein Wildcard-Zertifikat *.ttt-point.de verwendet.
Portfilter-Regel
Damit der Reverse Proxy erreichbar ist, muss folgende Portfilter-Regel vorhanden sein. Unter → Firewall →Portfilter kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit Regel hinzufügen diese Regel hinzugefügt.
#
Quelle
Ziel
Dienst
NAT
Aktion
Aktiv
3
internet
external-interface
https
Accept
Ein
Gegebenenfalls muss diese Portfilterregel auch mit dem Dienst http erstellt werden.
Einrichtung
Die Einstellungen für den Reverse Proxy befinden sich im Menü → Anwendungen →Reverse-Proxy Mit einem Klick auf die Schaltfläche Reverse-Proxy Assistent öffnet sich der Assistent.
Assistent
Schritt 1 - Intern
Beschriftung
Wert
Beschreibung
Zielserver existiert bereits als Netzwerkobjekt
Zielserver:
www.ttt-point.de
Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden.
Port
443
Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
SSL benutzen:
Ein
SSL muss aktiviert sein.
Zielserver:
Server anlegen
Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt Server anlegen im Assistenten angelegt werden.
Zielserver existiert noch nicht als Netzwerkobjekt
Servername:
www.ttt-point.de
Name des Netzwerkobjektes. Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-point.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet.
IP-Adresse:
10.1.0.150
IP-Adresse des Webservers
Zone:
dmz1
Zone des Netzwerkobjektes. Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist.
Wir empfehlen grundsätzlich Systeme, die von außen erreichbar sind, in einem eigenen Netzwerk mit eigener Zone aufzustellen.
Port
443
Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden.
SSL benutzen:
Ein
SSL muss aktiviert sein.
Weiter
Schritt 2 - Extern
Eingehende Verbindung definieren
Externer Domainname:
www.ttt-point.de
Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird
Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden.
Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert
Modus
HTTPS
Der Zugriff soll ausschließlich verschlüsselt über https erfolgen.
SSL-Proxy Port:
443
Proxy-Port ist ebenfalls 443
SSL-Zertifikat:
*.ttt-point.de
Das zuvor angelegte Wildcard-Zertifikat
Weiter
Schritt 3 - Authentifizierung
Authentifizierung weiterleiten:
Zugangsdaten festlegen
Der Proxy soll keine Authentifizierung durchführen
Keine Authentifizierung!
Anmeldename
Leer
Passwort
Leer
Authentifizierung:
aus
Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll.
Fertig
Servergruppen
Servergruppen
Es wird automatisch eine Servergruppe angelegt
neue Servergruppen können hinzugefügt werden
Vorhandene Servergruppen können mit weiteren Server erweitert werden
Ein Portforwarding ermöglicht eine 1:1 Beziehung, die Verbindung wird an einen Server weitergeleitet.
Bei einem Reverse-Proxy ist das anders, hier gibt es die Beziehungen:
1:1 - Eine Domäne/IP : Ein Server
1:N - Eine Domäne/IP : Mehrere Server (Load Balancing)
N:1 - Mehrere Domänen/IPs : Ein Server
N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing)
Nun ist auch klar, warum sich die Server in Gruppen befinden. Sie können, müssen aber nicht mehrere Objekte in diese Gruppen legen.
Mit der Schaltfläche lässt sich eine Servergruppe bearbeiten.
Automatisch angelegte Servergruppe
Mit der Schaltfläche Server hinzufügen lässt sich die Servergruppe erweitern.
ACL Sets
ACL Sets
ACLs - Zugriffsrechte Über ACLs lassen sich Zugriffsrechte zuweisen.
req_header
Filter auf den Header des Clients (Es könnte z. B. der Browser bestimmt werden)
src
Gibt die Quell IP des Clients an (87.139.55.127/255.255.255.255)
dstdomain
Gibt die Domäne/IP des Ziel-Servers an (www.ttt-point.de oder IP-Adresse)
dstdom_regex
Regex auf die Ziel-Domäne (.*\ttt-point\.(de|com))
srcdomain
Gibt die Domäne des Absenders an (anyideas.de)
srcdom_regex
Regex auf die Domäne (anyideas)
urlpath_regex
Regex für Pfade
proto
protoProtokoll (http, https)
time
Zeitangabe (M T W H F 9:00-17:00)
S - Sonntag
M - Montag
T - Dienstag
W - Mittwoch
H - Donnerstag
F - Freitag
A - Samstag
D - jeden Werktag
Sites
Sites
Hier können nun die Zuweisungen von den ACLs, der Aktion "Allow/Deny", der Reihenfolge, den Verteilungsalgorithmus sowie der Bandbreite für dem Server erfolgen.
Die ACLs werden der Reihenfolge nach abgearbeitet, man kann sie entweder zulassen "Allow" oder verweigern "Deny".
Die ACLs vom Typ "Deny" sollten in der Reihenfolge vor den "Allow" ACLs kommen.
Einstellungen
Einstellungen
Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server.