K (Lauritzl verschob die Seite UTM/RULE/Portumleitung nach UTM/RULE/Portumleitung v11.8) |
KKeine Bearbeitungszusammenfassung |
||
Zeile 1: | Zeile 1: | ||
{{Archivhinweis|UTM/RULE/Portumleitung}} | |||
{{Set_lang}} | {{Set_lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
Aktuelle Version vom 2. November 2022, 15:28 Uhr
notempty
Best Practice: Konfiguration von Portumleitungen
Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.
Letzte Anpassung zur Version: 11.8
Bemerkung: Artikelanpassung
Portumleitung
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.
Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.
In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffenltichem Netz erreichbar sein.
Die öffentliche IP ist 192.0.2.192/32
Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!
Konfiguration der Appliance
Netzwerkobjekt anlegen
Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.
- Menü
- Reiter Netzwerkobjekte → Schaltfläche
- Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
Beschriftung | Eingabe | Beschreibung |
---|---|---|
Name | Server | Bezeichnung für das Netzwerkobjekt |
Typ | Host | |
Adresse | 192.168.175.111/32 | Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers). |
Zone | internal | |
Gruppe | Zuordnung zu einer Netzwerkgruppe (kann leer bleiben). |
Dienst anlegen
Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.
- Menü
- Reiter Dienste → Schaltfläche
- Es erscheint die Eingabemaske Dienst hinzufügen.
Beschriftung | Eingabe | Beschreibung |
---|---|---|
Name | Beispieldienst | Bezeichnung für den Dienst |
Protokoll | tcp | Protokoll auswählen |
Protokolltyp | Wird bei tcp nicht benötigt. | |
Typ | Einzelner Port | einzelner Port oder Port-Bereich |
Zielport | 4443 | Port bzw. Port-Range auf dem Zielrechner |
Quellbereich anpassen: | Quell Bereich anpassen ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp). |
Firewall-Regeln anlegen
Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.
- Menü
- Reiter Portfilter → Schaltfläche
Feld | Wert | Beschreibung |
---|---|---|
Aktiv |
Ein | |
Aktion |
ACCEPT | |
Logging |
Short | Protokollierungsdienst |
Gruppe |
default | Die Regel kann gleich einer Regelgruppe zugeordnet werden. |
Quelle |
||
Ziel |
||
Dienst |
Port für die Weiterleitung, der am Server ankommen soll . Man spricht hier vom "Originalen Port" | |
NAT
| ||
Typ |
DESTNAT | |
Netzwerkobjekt |
external-interface | Externes Interface oder das Netzwerkobjekt welches die externe IP inne hat über die der Port weitergeleitet werden soll. |
Dienst |
extern-https | Der Port, mit dem man von extern an der Firewall ankommt und der umgebogen werden soll. Man spricht hier auch vom "Externen Port". |
(nach Neuanlage) oder (nach Änderung)
damit die Änderungen wirksam werden.
- Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.