Wechseln zu:Navigation, Suche
Wiki





























De.png
En.png
Fr.png









Best Practice: Konfiguration von Portumleitungen

Letzte Anpassung zur Version: 12.6.0

Neu:
  • Aktualisierung zum Redesign des Webinterfaces
notempty
Dieser Artikel bezieht sich auf eine Resellerpreview

Einsatz-Zweck

Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.


Portumleitung

Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.

Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.

In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffentlichem Netz erreichbar sein.
Die öffentliche IP ist 192.0.2.192/32

  • Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!


  • Konfiguration der Appliance

    Netzwerkobjekt anlegen

    Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.

    1. Menü Firewall Netzwerkobjekte  Schaltfläche Objekt hinzufügen
    2. Es erscheint die Eingabemaske "Netzwerkobjekt hinzufügen".
    Beschriftung Eingabe Beschreibung Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte UTM v12.6 Portumleitung Netzwerkobjekt hinzufuegen Server.pngNetzwerkobjekt anlegen
    Name: Server Bezeichnung für das Netzwerkobjekt
    Typ: Host Die Pakete werden zum Ziel hin genattet
    Adresse: 192.168.175.111/---  Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers).
    Zone: internal Als Zone "internal" auswählen
    Gruppe:     Zuordnung zu einer Netzwerkgruppe (kann leer bleiben).
    Speichern und schließen
    Speichert das Netzwerkobjekt und schließt den Dialog




    Dienst anlegen

    Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.

    1. Menü Firewall Dienste  Schaltfläche Objekt hinzufügen
    2. Es erscheint die Eingabemaske "Dienst hinzufügen".
    Beschriftung Eingabe Beschreibung Dienst hinzufügen UTMbenutzer@firewall.name.fqdnFirewallDienste UTM v12.6 Portumleitung Deinst hinzufuegen extern-https.pngDienst anlegen
    Name: extern-https Bezeichnung für den Dienst vergeben
    Protokoll: tcp Protokoll auswählen
    Protokolltyp: Wird beim Protokoll "tcp" nicht benötigt
    Zielport Typ: Einzelner Port Port-Bereich Einzelner Port oder Port-Bereich auswählen
    Zielport: 4443Link= Port bzw. Port-Range auf dem Zielrechner
    Quellport Typ: Alle Einzelner Port Port-Bereich Den Quellport anzugeben ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp).
    Speichern und schließen
    Speichert den Dienst und schließt den Dialog




    Firewall-Regeln anlegen

    Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit "Destination NAT" angelegt werden.
    Regel können unter Firewall Paketfilter  Schaltfläche Regel hinzufügen angelegt werden.
    Anhand des Beispiels müsste die Regel also wie folgt aussehen:

    Allgemein

    Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter UTM v12.6 Portumleitung Paketfilterregel hinzufuegen.pngPortumleitung
    Quelle World.svg internet Zugriff vom Internet aus
    Ziel Host.svg Server Netzwerkobjekt für den Zielserver
    Dienst Tcp.svg https Dienst, mit dem der Port am Zielrechner angesprochen werden soll
    Aktion ACCEPT Akzeptieren der Datenpakete
    [-] Nat
    Typ DESTNAT Die Pakete werden zum Ziel hin genattet
    Netzwerkobjekt Interface.svg external-interface Netzwerkobjekt für das Interface, das das NAT durchführen soll
    Dienst Tcp.svg extern-https Dienst, mit dem der Port vom Internet kommend (von extern) angesprochen wird
    Speichern und schließen
    Nach Neuanlage (wie in diesem Beispiel)
    Speichern
    Save
    Nach Änderung
    Regeln aktualisieren
    Damit die Änderungen wirksam werden

    Die Paketfilterregel sieht dann wie unten aus.
    Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 4 World.svg internet Host.svg server Tcp.svg https DN Accept Ein