Wechseln zu:Navigation, Suche
Wiki




























De.png
En.png
Fr.png




Best Practice: Konfiguration von Portumleitungen
Letzte Anpassung: 11.2022
Neu:
  • Layoutanpassungen

Vorherige Versionen: 11.8


Einsatz-Zweck

Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.


Portumleitung

Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.

Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.

In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffentlichem Netz erreichbar sein.
Die öffentliche IP ist 192.0.2.192/32

  • Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!


  • Konfiguration der Appliance

    Netzwerkobjekt anlegen

    Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.

    1. Menü → Firewall →PortfilterReiter Netzwerkobjekte Schaltfläche + Objekt hinzufügen
    2. Es erscheint die Eingabemaske "Netzwerkobjekt hinzufügen".
    Beschriftung Eingabe Beschreibung UTM v12.4 Firewall Portfilter Netzwerkobjekte Objekt hinzufügen interne IP.png
    Netzwerkobjekt anlegen
    Name: Server Bezeichnung für das Netzwerkobjekt
    Typ: Host Die Pakete werden zum Ziel hin genattet
    Adresse: 192.168.175.111/---  Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers).
    Zone: internal Als Zone "internal" auswählen
    Gruppe:     Zuordnung zu einer Netzwerkgruppe (kann leer bleiben).
    Speichern und schließen Speichert das Netzwerkobjekt und schließt den Dialog




    Dienst anlegen

    Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.

    1. Menü → Firewall →PortfilterReiter Dienste Schaltfläche + Objekt hinzufügen
    2. Es erscheint die Eingabemaske "Dienst hinzufügen".
    Beschriftung Eingabe Beschreibung UTM v12.4 Firewall Portfilter Dienste Objekt hinzufügen.png
    Dienst anlegen
    Name: extern-https Bezeichnung für den Dienst vergeben
    Protokoll: tcp Protokoll auswählen
    Protokolltyp: Wird beim Protokoll "tcp" nicht benötigt
    Zielport Typ: Einzelner Port Port-Bereich Einzelner Port oder Port-Bereich auswählen
    Zielport: 4443Link= Port bzw. Port-Range auf dem Zielrechner
    Quellport Typ: Alle Einzelner Port Port-Bereich Den Quellport anzugeben ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp).
    Speichern Speichert den Dienst




    Firewall-Regeln anlegen

    Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit "Destination NAT" angelegt werden.
    Regel können unter → Firewall →PortfilterReiter Portfilter Schaltfläche + Regel hinzufügen angelegt werden.
    Anhand des Beispiels müsste die Regel also wie folgt aussehen:

    ╭╴ Allgemein ╶╮

    UTM v12.4 Firewall Portfilter Regel anlegen https internet first.png
    Portumleitung
    Quelle World.svg internet Zugriff vom Internet aus
    Ziel Host.svg Server Netzwerkobjekt für den Zielserver
    Dienst Tcp.svg https Dienst, mit dem der Port am Zielrechner angesprochen werden soll
    Aktion Accept Akzeptieren der Datenpakete
    ╭╴ [-] Nat╶╮
    Typ Destnat Die Pakete werden zum Ziel hin genattet
    Netzwerkobjekt Interface.svg external-interface Netzwerkobjekt für das Interface, das das NAT durchführen soll
    Dienst Tcp.svg extern-https Dienst, mit dem der Port vom Internet kommend (von extern) angesprochen wird
    Hinzufügen und schließen Nach Neuanlage (wie in diesem Beispiel)
    Speichern Nach Änderung
    Regeln aktualisieren Damit die Änderungen wirksam werden

    Die Portfilterregel sieht dann wie unten aus.
    Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.

    # Quelle Ziel Dienst NAT Aktion Aktiv
    Dragndrop.png 4 World.svg internet Host.svg Server Tcp.svg https DN ⎇ Accept Ein