Portumleitung

Best Practice: Konfiguration von Portumleitungen

Letzte Anpassung: 11.2022

Neu:

Layoutanpassungen

Vorherige Versionen: 11.8

Einsatz-Zweck

Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.

Portumleitung

Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.

Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.

In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffentlichem Netz erreichbar sein.
Die öffentliche IP ist 192.0.2.192/32

Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!

Konfiguration der Appliance

Netzwerkobjekt anlegen

Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.

Menü → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche + Objekt hinzufügen
Es erscheint die Eingabemaske "Netzwerkobjekt hinzufügen".

Beschriftung	Eingabe	Beschreibung	Netzwerkobjekt anlegen
Name:	Server	Bezeichnung für das Netzwerkobjekt
Typ:	Host	Die Pakete werden zum Ziel hin genattet
Adresse:	192.168.175.111/---	Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers).
Zone:	internal	Als Zone "internal" auswählen
Gruppe:		Zuordnung zu einer Netzwerkgruppe (kann leer bleiben).
Speichern und schließen		Speichert das Netzwerkobjekt und schließt den Dialog

Dienst anlegen

Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.

Menü → Firewall →PortfilterReiter Dienste Schaltfläche + Objekt hinzufügen
Es erscheint die Eingabemaske "Dienst hinzufügen".

Beschriftung	Eingabe	Beschreibung	Dienst anlegen
Name:	extern-https	Bezeichnung für den Dienst vergeben
Protokoll:	tcp	Protokoll auswählen
Protokolltyp:		Wird beim Protokoll "tcp" nicht benötigt
Zielport Typ:	Einzelner Port Port-Bereich	Einzelner Port oder Port-Bereich auswählen
Zielport:	4443	Port bzw. Port-Range auf dem Zielrechner
Quellport Typ:	Alle Einzelner Port Port-Bereich	Den Quellport anzugeben ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp).
Speichern		Speichert den Dienst

Firewall-Regeln anlegen

Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit "Destination NAT" angelegt werden. Regel können unter → Firewall →PortfilterReiter Portfilter Schaltfläche + Regel hinzufügen angelegt werden. Anhand des Beispiels müsste die Regel also wie folgt aussehen: ╭╴ Allgemein ╶╮			Portumleitung
Quelle	internet	Zugriff vom Internet aus
Ziel	Server	Netzwerkobjekt für den Zielserver
Dienst	https	Dienst, mit dem der Port am Zielrechner angesprochen werden soll
Aktion	Accept	Akzeptieren der Datenpakete
╭╴ [-] Nat╶╮
Typ	Destnat	Die Pakete werden zum Ziel hin genattet
Netzwerkobjekt	external-interface	Netzwerkobjekt für das Interface, das das NAT durchführen soll
Dienst	extern-https	Dienst, mit dem der Port vom Internet kommend (von extern) angesprochen wird
Hinzufügen und schließen	Nach Neuanlage (wie in diesem Beispiel)
Speichern	Nach Änderung
Regeln aktualisieren	Damit die Änderungen wirksam werden

Die Portfilterregel sieht dann wie unten aus.
Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.

		#	Quelle	Ziel	Dienst	NAT	Aktion	Aktiv
		4	internet	Server	https	DN ⎇	Accept	Ein