Wechseln zu:Navigation, Suche
Wiki
Keine Bearbeitungszusammenfassung
KKeine Bearbeitungszusammenfassung
 
(4 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Securepoint UTM Portumleitung}}
{{Archivhinweis|UTM/RULE/Portumleitung}}
== Portumleitung ==
{{Set_lang}}
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.


Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.
{{#vardefine:headerIcon|spicon-utm}}


</div>{{DISPLAYTITLE:Portumleitung}}{{TOC2}}
<p>'''Best Practice: Konfiguration von Portumleitungen'''<br>
Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.</p>
<p>Letzte Anpassung zur Version: '''11.8''' </p>
<p>Bemerkung: Artikelanpassung</p>
----


*Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!


=== Portumleitung ===
<p>Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.</p>


*Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.
<p>Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.</p>
 
<p>In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffenltichem Netz erreichbar sein.<br>
Die öffentliche IP ist 192.0.2.192/32</p>
 
<p>{{Hinweis|!|g}} Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!</p>
----


===  Konfiguration der Appliance ===
===  Konfiguration der Appliance ===
==== Netzwerkobjekt anlegen ====
==== Netzwerkobjekt anlegen ====
Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.
Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.
{{pt3|UTM_v11.8.6_Firewall_Portfilter_Netzwerkobjekt_hinzufügen.png| Netzwerkobjekt anlegen|hochkant=1}}
# Menü {{Menu| Firewall | Portfilter}}
# Reiter {{ Reiter | Netzwerkobjekte}} → Schaltfläche {{Button| Objekt hinzufügen.|+}}
# Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
{| class="sptable"
! Beschriftung !! Eingabe !! Beschreibung
|-
| {{b| Name}} || {{ic| Server|w=x}} || Bezeichnung für das Netzwerkobjekt
|-
|{{b|Typ}} || {{ic| Host |dr}} ||
|-
| {{b|Adresse}} || {{ic|192.168.175.111/32|w=x}} ||Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers).
|-
| {{b| Zone}} || {{ic| internal|dr}} ||
|-
| {{b| Gruppe}} || {{ic| |dr}} || Zuordnung zu einer Netzwerkgruppe (kann leer bleiben).
|}




#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
{{Button| Speichern}}
#Gehen Sie im erscheinenden Dialog auf den Reiter Netzwerkobjekte und klicken Sie auf Objekt hinzufügen.
#Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
#Geben Sie im Feld Name eine Bezeichnung für das Netzwerkobjekt an.
#Wählen Sie als Typ den Eintrag Host.
#Tragen Sie im Feld Adresse die IP-Adresse des Servers ein.
#Stellen Sie im Feld Zone die Zone internal ein.
#Das Feld Gruppe kann leer bleiben.
#Klicken Sie auf Speichern.
 
 
[[Datei:Objekt_anlegen.jpg|800px|thumb|center|Netzwerkobjekt anlegen]]


----


==== Dienst anlegen ====
==== Dienst anlegen ====
Da meistens der Port, mit dem man an der externen IP von außen ankommt, welcher nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht vorhanden ist, muss dieser nun angelegt werden.
Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.


{{pt3|UTM_v11.8.6_Firewall_Portfilter_Dienst_hinzufügen.png|Dienst anlegen|hochkant=1}}
# Menü {{Menu| Firewall| Portfilter}}
# Reiter {{ Reiter | Dienste}} → Schaltfläche {{Button| Objekt hinzufügen.|+}}
# Es erscheint die Eingabemaske Dienst hinzufügen.
{| class="sptable"
! Beschriftung !! Eingabe !! Beschreibung
|-
| {{b| Name}} || {{ic|Beispieldienst}} || Bezeichnung für den Dienst
|-
| {{b| Protokoll}} || {{ic| tcp|dr}} || Protokoll auswählen
|-
| {{b| Protokolltyp}} || {{ ic | | dr}} || Wird bei tcp nicht benötigt.
|-
| {{b| Typ}} || style="min-width: 110px;" | {{ic|Einzelner Port|dr|w=x}} || einzelner Port oder Port-Bereich
|-
| {{b| Zielport}} || {{ic|4443|c|w=100px}} || Port bzw. Port-Range auf dem Zielrechner
|-
| {{b| Quellbereich anpassen: }} || {{ButtonAus}} || Quell Bereich anpassen ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp).
|}


#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
{{Button| Speichern}}
#Gehen Sie im erscheinenden Dialog auf den Reiter Dienste und klicken Sie auf den Button Objekt hinzufügen.
#Es erscheint die Eingabemaske Dienst hinzufügen.
#Geben Sie im Feld Name eine Bezeichnung für den Dienst an.
#Wählen Sie als Protokoll das Protokoll des Ports aus.
#Wählen Sie als Typ Einzelner Port für einen einzelnen Port oder Port-Bereich für einen Port-Bereich aus.
#Geben Sie im Feld Zielport den Port bzw. wenn Sie vorhergehend Port-Range ausgewählt haben den Port Bereich Start und Ende an.
#Sie können nun, wenn Sie den Haken bei Quell Bereich anpassen setzen, den Quell Bereich Start und Ende angeben. Dies ist im Normalfall aber nicht vonnöten.
#Klicken Sie auf Speichern.


----


[[Datei:Dienst_blubb.jpg|800px|thumb|center|Dienst anlegen]]
==== Firewall-Regeln anlegen ====
 
{{pt3|UTM_v11.8.6_Firewall_Portfilter_Regel_hinzufügen1.png|Portumleitung|hochkant=2.5}}
Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.
<br clear=all>


* Menü {{Menu | Firewall| Portfilter}}
* Reiter {{Reiter |Portfilter}} → Schaltfläche  {{ Button| Regel hinzufügen|+}}
{| class="sptable"
! Feld !! Wert !! Beschreibung
|-
| {{kasten| Aktiv}} || {{ButtonAn|Ein}} ||
|-
| {{kasten| Aktion}} || {{ic|ACCEPT|dr}} ||
|-
|  {{kasten| Logging}} || {{ic|Short|dr}} || Protokollierungsdienst
|-
| {{kasten| Gruppe}} || {{ic|default|dr}} || Die Regel kann gleich einer Regelgruppe zugeordnet werden.
|-
|-
| {{kasten| Quelle}} || {{button|internet|blau}} ||
|-
| {{kasten|Ziel}} || {{Button|Server|blau}} ||
|-
| {{kasten| Dienst}} || {{Button|https|blau}} || Port für die Weiterleitung, der {{Hinweis | ! am Server ankommen soll|gelb}}.<br> Man spricht hier vom "Originalen Port"
|-
| class="Leerzeile" | {{kasten| NAT}}
|-
| {{kasten| Typ}} || {{ic| DESTNAT|dr}} ||
|-
| {{kasten| Netzwerkobjekt}} || {{ic| external-interface|dr|w=x}} || Externes Interface oder das Netzwerkobjekt welches die externe IP inne hat über die der Port weitergeleitet werden soll.
|-
| {{kasten| Dienst}} || {{ic|extern-https|dr}} || Der Port, mit dem man von {{Hinweis|! extern an der Firewall ankommt|gelb}} und der umgebogen werden soll. <br>Man spricht hier auch vom "Externen Port".
|}


==== Firewall-Regeln anlegen ====
Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.


<p>{{Button| Hinzufügen und schließen}} (nach Neuanlage) oder {{Button|Speichern}} (nach Änderung)</p>
<p>{{Button| Regeln aktualisieren|Play}} damit die Änderungen wirksam werden.</p>


#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Wählen Sie in der linken Liste die Quelle internet und in der mittleren Liste den Ziel Server.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus mit dem Sie am Server ankommen wollen. Man spricht hier vom "Originalen Port"
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
#Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
#Im Bereich NAT wählen Sie als Typ DESTNAT.
#Als Netzwerkobjekt wird das externe Interface ausgewählt (oder das Netzwerkobjekt welches die externe IP inne hat über die Sie den Port weiterleiten möchten).
#Wählen Sie als Dienst den Port aus mit dem Sie von extern an der Firewall ankommen und der umgebogen werden soll. Man spricht hier auch vom "Externen Port".
#Klicken Sie auf Speichern.
#Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.


[[Datei:Weiterleitung extern.jpg |800px|thumb|center|Portumleitung]]


*Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.
*Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.

Aktuelle Version vom 2. November 2022, 15:28 Uhr





notempty
Dieser Artikel bezieht sich auf eine nicht mehr aktuelle Version!

notempty
Der Artikel für die neueste Version steht hier

notempty
Zu diesem Artikel gibt es bereits eine neuere Version, die sich allerdings auf eine Reseller-Preview bezieht





























Best Practice: Konfiguration von Portumleitungen
Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.

Letzte Anpassung zur Version: 11.8

Bemerkung: Artikelanpassung



Portumleitung

Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.

Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.

In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffenltichem Netz erreichbar sein.
Die öffentliche IP ist 192.0.2.192/32

Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!


Konfiguration der Appliance

Netzwerkobjekt anlegen

Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.

Netzwerkobjekt anlegen
  1. Menü → Firewall →Portfilter
  2. Reiter Netzwerkobjekte → Schaltfläche Objekt hinzufügen.
  3. Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
Beschriftung Eingabe Beschreibung
Name Server Bezeichnung für das Netzwerkobjekt
Typ Host
Adresse 192.168.175.111/32 Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers).
Zone internal
Gruppe     Zuordnung zu einer Netzwerkgruppe (kann leer bleiben).


Speichern


Dienst anlegen

Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.

Dienst anlegen
  1. Menü → Firewall →Portfilter
  2. Reiter Dienste → Schaltfläche Objekt hinzufügen.
  3. Es erscheint die Eingabemaske Dienst hinzufügen.
Beschriftung Eingabe Beschreibung
Name Beispieldienst Bezeichnung für den Dienst
Protokoll tcp Protokoll auswählen
Protokolltyp     Wird bei tcp nicht benötigt.
Typ Einzelner Port einzelner Port oder Port-Bereich
Zielport 4443Link= Port bzw. Port-Range auf dem Zielrechner
Quellbereich anpassen: Quell Bereich anpassen ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp).

Speichern


Firewall-Regeln anlegen

Portumleitung

Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.

  • Menü → Firewall →Portfilter
  • Reiter Portfilter → Schaltfläche Regel hinzufügen
Feld Wert Beschreibung
Aktiv
Ein
Aktion
ACCEPT
Logging
Short Protokollierungsdienst
Gruppe
default Die Regel kann gleich einer Regelgruppe zugeordnet werden.
Quelle
internet
Ziel
Server
Dienst
https Port für die Weiterleitung, der am Server ankommen soll .
Man spricht hier vom "Originalen Port"
NAT
Typ
DESTNAT
Netzwerkobjekt
external-interface Externes Interface oder das Netzwerkobjekt welches die externe IP inne hat über die der Port weitergeleitet werden soll.
Dienst
extern-https Der Port, mit dem man von extern an der Firewall ankommt und der umgebogen werden soll.
Man spricht hier auch vom "Externen Port".


Hinzufügen und schließen (nach Neuanlage) oder Speichern (nach Änderung)

Regeln aktualisieren damit die Änderungen wirksam werden.


  • Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.