Portumleitung

Aus Securepoint Wiki
Wechseln zu:Navigation, Suche














|Address }}































De.png
En.png
Fr.png


Best Practice: Konfiguration von Portumleitungen
Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.

Letzte Anpassung zur Version: 11.8

Änderungen: Artikelanpassung

Vorherige Versionen: 11.7



Portumleitung

Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.

Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.

In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffenltichem Netz erreichbar sein.

Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!


Konfiguration der Appliance

Netzwerkobjekt anlegen

Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.

Netzwerkobjekt anlegen
  1. Menü → Firewall →Portfilter
  2. Reiter Netzwerkobjekte → Schaltfläche Objekt hinzufügen.
  3. Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
Beschriftung Eingabe Beschreibung
Name Server Bezeichnung für das Netzwerkobjekt
Typ Host
Adresse 192.168.175.111/32 Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers).
Zone internal
Gruppe     Zuordnung zu einer Netzwerkgruppe (optional).


Speichern


Dienst anlegen

Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.

Dienst anlegen
  1. Menü → Firewall →Portfilter
  2. Reiter Dienste → Schaltfläche Objekt hinzufügen.
  3. Es erscheint die Eingabemaske Dienst hinzufügen.
Beschriftung Eingabe Beschreibung
Name Beispieldienst Bezeichnung für den Dienst
Protokoll tcp Protokoll auswählen
Protokolltyp     Wird bei tcp nicht benötigt.
Typ Einzelner Port einzelner Port oder Port-Bereich
Zielport 4443Link= Port bzw. Port-Range auf dem Zielrechner
Quellbereich anpassen: Quell Bereich anpassen ist nur in den Fällen sinnvoll, in denen sich der Quellport genau vorhersagen lässt.

Speichern


Firewall-Regeln anlegen

Portumleitung

Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.

  • Menü → Firewall →Portfilter
  • Reiter Portfilter → Schaltfläche Regel hinzufügen
Feld Wert Beschreibung
╭╴ Aktiv ╶╮ Ein
╭╴ Aktion ╶╮ ACCEPT
╭╴ Logging ╶╮ Short Protokollierungsdienst
╭╴ Gruppe ╶╮ default Die Regel kann gleich einer Regelgruppe zugeordnet werden.
╭╴ Quelle ╶╮ internet
╭╴Ziel ╶╮ Server
╭╴ Dienst ╶╮ https
Port für die Weiterleitung,   der am Ziel-Rechner ankommen soll.  
Man spricht hier vom "Originalen Port"
╭╴ NAT╶╮
╭╴ Typ ╶╮ DESTNAT
╭╴ Netzwerkobjekt ╶╮ external-interface Externes Interface oder das Netzwerkobjekt welches die externe IP inne hat über die der Port weitergeleitet werden soll.
╭╴ Dienst ╶╮ extern-https Der Port, mit dem man   von extern an der Firewall ankommt   und der umgebogen werden soll.
Man spricht hier auch vom "Externen Port".


Hinzufügen und schließen (nach Neuanlage) oder Speichern (nach Änderung)

Regeln aktualisieren damit die Änderungen wirksam werden.


Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.