KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 4: | Zeile 4: | ||
{{:UTM/RULE/Portumleitung.lang}} | {{:UTM/RULE/Portumleitung.lang}} | ||
</div>{{TOC2}}{{Select_lang}} | </div><div class="new_design"></div>{{TOC2}}{{Select_lang}} | ||
{{Header| | {{Header|12.6.0| | ||
* {{#var: | * {{#var:neu--rwi}} | ||
|[[UTM/RULE/Portumleitung_v11.8 | 11.8]] | |[[UTM/RULE/Portumleitung_11.2022 | 11.2022]] | ||
[[UTM/RULE/Portumleitung_v11.8 | 11.8]] | |||
}} | }} | ||
---- | ---- | ||
| Zeile 32: | Zeile 33: | ||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
! {{#var:Beschriftung}} !! {{#var:Eingabe}} !! {{#var:Beschreibung}} | ! {{#var:Beschriftung}} !! {{#var:Eingabe}} !! {{#var:Beschreibung}} | ||
| class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt anlegen--Bild}} |{{#var:Netzwerkobjekt anlegen}} }} | | class="Bild" rowspan="8" | {{Bild| {{#var:Netzwerkobjekt anlegen--Bild}} |{{#var:Netzwerkobjekt anlegen}}||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|Name:}} || {{ic| Server |class=available}} || {{#var:Name--desc}} | | {{b|Name:}} || {{ic| Server |class=available}} || {{#var:Name--desc}} | ||
| Zeile 38: | Zeile 39: | ||
|{{b|{{#var:Typ}}:}} || {{Button| Host |dr|class=available}} || {{#var:Typ--desc}} | |{{b|{{#var:Typ}}:}} || {{Button| Host |dr|class=available}} || {{#var:Typ--desc}} | ||
|- | |- | ||
| {{b|{{#var:Adresse}}:}} || {{ic|192.168.175.111|rechts|icon=/--- |iconw=x| | | {{b|{{#var:Adresse}}:}} || {{ic|192.168.175.111|rechts|icon=/--- |iconw=x|class=available}} || {{#var:Adresse--desc}} | ||
|- | |- | ||
| {{b|Zone:}} || {{Button| internal |dr|class=available}} || {{#var:Zone--desc}} | | {{b|Zone:}} || {{Button| internal |dr|class=available}} || {{#var:Zone--desc}} | ||
| Zeile 44: | Zeile 45: | ||
| {{b|{{#var:Gruppe}}:}} || {{ic| |cb|class=available}} || {{#var:Gruppe--desc}} | | {{b|{{#var:Gruppe}}:}} || {{ic| |cb|class=available}} || {{#var:Gruppe--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="2" | {{Button| {{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
| Zeile 60: | Zeile 61: | ||
{| class="sptable2 pd5 zh1 Einrücken" | {| class="sptable2 pd5 zh1 Einrücken" | ||
! {{#var:Beschriftung}} !! {{#var:Eingabe}} !! {{#var:Beschreibung}} | ! {{#var:Beschriftung}} !! {{#var:Eingabe}} !! {{#var:Beschreibung}} | ||
| class="Bild" rowspan="9" | {{Bild| {{#var:Dienst anlegen--Bild}} |{{#var:Dienst anlegen}} }} | | class="Bild" rowspan="9" | {{Bild| {{#var:Dienst anlegen--Bild}} |{{#var:Dienst anlegen}}||{{#var:Dienst hinzufügen}}|Firewall|{{#var:Dienste}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}} | ||
|- | |- | ||
| {{b|Name:}} || {{ic| extern-https |class=available}} || {{#var:Bezeichnung für den Dienst vergeben}} | | {{b|Name:}} || {{ic| extern-https |class=available}} || {{#var:Bezeichnung für den Dienst vergeben}} | ||
| Zeile 68: | Zeile 69: | ||
| {{b|{{#var:Protokolltyp}}:}} || {{Button| |dr|class=mw11}} || {{#var:Protokolltyp--desc}} | | {{b|{{#var:Protokolltyp}}:}} || {{Button| |dr|class=mw11}} || {{#var:Protokolltyp--desc}} | ||
|- | |- | ||
| {{b|{{#var:Zielport Typ}}:}} || {{Button| {{#var:Einzelner Port}} | | | {{b|{{#var:Zielport Typ}}:}} || {{Button| {{#var:Einzelner Port}} |class=aktiv}}{{Button| {{#var:Port-Bereich}} }} || {{#var:Zielport Typ--desc}} | ||
|- | |- | ||
| {{b|{{#var:Zielport}}:}} || {{ic|4443|c|class=available}} || {{#var:Zielport--desc}} | | {{b|{{#var:Zielport}}:}} || {{ic|4443|c|class=available}} || {{#var:Zielport--desc}} | ||
|- | |- | ||
| {{b|{{#var:Quellport Typ}}:}} || {{Button| {{#var:Alle}} | | | {{b|{{#var:Quellport Typ}}:}} || {{Button| {{#var:Alle|}} |class=aktiv}}{{Button| {{#var:Einzelner Port}} }}{{Button| {{#var:Port-Bereich}} }} || {{#var:Quellport Typ--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| colspan="2" | {{Button| {{#var:Speichern}} }} || {{#var:Speichern--desc}} | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}} }} || {{#var:Speichern und schließen2--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
| Zeile 88: | Zeile 89: | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{#var:Firewall-Regeln anlegen--desc}}<p>{{Kasten | {{#var:Allgemein}} }}</p> | | colspan="3" | {{#var:Firewall-Regeln anlegen--desc}}<p>{{Kasten | {{#var:Allgemein}} }}</p> | ||
| class="Bild" rowspan="13" | {{Bild| {{#var:Firewall-Regeln anlegen--Bild}} |{{#var:Portumleitung}} }} | | class="Bild" rowspan="13" | {{Bild| {{#var:Firewall-Regeln anlegen--Bild}} |{{#var:Portumleitung}}||{{#var:Regel hinzufügen}}|Firewall|{{#var:Paketfilter}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}} | ||
|- | |- | ||
| {{b|{{#var:Quelle}} }} || {{ic| internet|dr|icon=internet|class=available }} || {{#var:Quelle--desc}} | | {{b|{{#var:Quelle}} }} || {{ic| internet|dr|icon=internet|class=available }} || {{#var:Quelle--desc}} | ||
| Zeile 96: | Zeile 97: | ||
| {{b|{{#var:Dienst}} }} || {{ic|https|dr|icon=tcp|class=available }} || {{#var:Dienst--Ziel--desc}} | | {{b|{{#var:Dienst}} }} || {{ic|https|dr|icon=tcp|class=available }} || {{#var:Dienst--Ziel--desc}} | ||
|- | |- | ||
| {{b|{{#var:Aktion}} }} || {{Button| | | {{b|{{#var:Aktion}} }} || {{Button|ACCEPT|dr|class=available }} || {{#var:Aktion--desc}} | ||
|- class="noborder" | |- class="noborder" | ||
| colspan="3" | {{Kasten| [-] Nat}} | | colspan="3" | {{Kasten| [-] Nat}} | ||
|- | |- | ||
| {{b|{{#var:Typ}} }} || {{Button| | | {{b|{{#var:Typ}} }} || {{Button|DESTNAT|dr|class=available }} || {{#var:Typ--desc}} | ||
|- | |- | ||
| {{b|{{#var:Netzwerkobjekt}} }} || {{ic| {{#var:Netzwerkobjekt--val}}|dr||class=mw13|icon=interface }} || {{#var:Netzwerkobjekt--desc}} | | {{b|{{#var:Netzwerkobjekt}} }} || {{ic| {{#var:Netzwerkobjekt--val}}|dr||class=mw13|icon=interface }} || {{#var:Netzwerkobjekt--desc}} | ||
| Zeile 106: | Zeile 107: | ||
| {{b|{{#var:Dienst}} }} || {{ic| extern-https|dr|class=available|icon=tcp}} || {{#var:Dienst-NAT--desc}} | | {{b|{{#var:Dienst}} }} || {{ic| extern-https|dr|class=available|icon=tcp}} || {{#var:Dienst-NAT--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| {{Button| {{#var: | | colspan="2" | {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}} || {{#var:Hinzufügen und schließen--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| {{Button| {{#var:Speichern}} }} | | | colspan="2" | {{Button-dialog||fa-save|hover={{#var:Speichern}} }} || {{#var:Nach Änderung}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
|{{Button| {{#var:Regeln aktualisieren}} | | | colspan="2" | {{Button-dialog|{{#var:Regeln aktualisieren}}|fa-play}} || {{#var:Regeln aktualisieren--desc}} | ||
|- class="Leerzeile" | |- class="Leerzeile" | ||
| | | | ||
| Zeile 122: | Zeile 123: | ||
| class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | | class="Leerzeile bc__default" | || || <nowiki>#</nowiki> || style="min-width:12em;"| {{#var:Quelle}} || style="min-width:12em;"| {{#var:Ziel}} || style="min-width:12em;"| {{#var:Dienst}} || style="min-width:6em;"| NAT || {{#var:Aktion}} || {{#var:Aktiv}} ||style="min-width:5em;"| | ||
|- | |- | ||
| class="Leerzeile bc__default" | || {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|host|o|-}} | | class="Leerzeile bc__default" | || {{spc|drag|o|-}} || 4 || {{spc|world|o|-}} internet || {{spc|host|o|-}} server || {{spc|tcp|o|-}} https || {{Kasten|1=DN|2=blau|title="{{#var:Destnat-Title}}" }} || {{Kasten|Accept|grün}} || {{ButtonAn|{{#var:ein}} }} || {{Button||w|fs=14}}{{Button||trash|fs=14}} | ||
|} | |} | ||
</div> | </div> | ||
Version vom 30. Januar 2024, 06:52 Uhr
Best Practice: Konfiguration von Portumleitungen
Letzte Anpassung zur Version: 12.6.0
Neu:
- Aktualisierung zum Redesign des Webinterfaces
Einsatz-Zweck
Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.
Portumleitung
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.
Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffentlichem Netz erreichbar sein.
Die öffentliche IP ist 192.0.2.192/32
Konfiguration der Appliance
Netzwerkobjekt anlegen
Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.
- Menü Schaltfläche
- Es erscheint die Eingabemaske "Netzwerkobjekt hinzufügen".
| Beschriftung | Eingabe | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte  Netzwerkobjekt anlegen
|
|---|---|---|---|
| Name: | Server | Bezeichnung für das Netzwerkobjekt | |
| Typ: | Die Pakete werden zum Ziel hin genattet | ||
| Adresse: | Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers). | ||
| Zone: | Als Zone "internal" auswählen | ||
| Gruppe: | Zuordnung zu einer Netzwerkgruppe (kann leer bleiben). | ||
Speichern und schließen |
Speichert das Netzwerkobjekt und schließt den Dialog | ||
Dienst anlegen
Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.
- Menü Schaltfläche
- Es erscheint die Eingabemaske "Dienst hinzufügen".
| Beschriftung | Eingabe | Beschreibung | UTMbenutzer@firewall.name.fqdnFirewallDienste  Dienst anlegen
|
|---|---|---|---|
| Name: | extern-https | Bezeichnung für den Dienst vergeben | |
| Protokoll: | Protokoll auswählen | ||
| Protokolltyp: | Wird beim Protokoll "tcp" nicht benötigt | ||
| Zielport Typ: | Einzelner Port oder Port-Bereich auswählen | ||
| Zielport: | 4443 |
Port bzw. Port-Range auf dem Zielrechner | |
| Quellport Typ: | Den Quellport anzugeben ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp). | ||
Speichern und schließen |
Speichert den Dienst und schließt den Dialog | ||
Firewall-Regeln anlegen
| Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit "Destination NAT" angelegt werden. Regel können unter Schaltfläche angelegt werden. Anhand des Beispiels müsste die Regel also wie folgt aussehen: Allgemein
|
UTMbenutzer@firewall.name.fqdnFirewallPaketfilter  Portumleitung
| ||
| Quelle |  internet |
Zugriff vom Internet aus | |
| Ziel |  Server |
Netzwerkobjekt für den Zielserver | |
| Dienst |  https |
Dienst, mit dem der Port am Zielrechner angesprochen werden soll | |
| Aktion | Akzeptieren der Datenpakete | ||
[-] Nat
| |||
| Typ | Die Pakete werden zum Ziel hin genattet | ||
| Netzwerkobjekt |  external-interface |
Netzwerkobjekt für das Interface, das das NAT durchführen soll | |
| Dienst | extern-https |
Dienst, mit dem der Port vom Internet kommend (von extern) angesprochen wird | |
Speichern und schließen |
Nach Neuanlage (wie in diesem Beispiel) | ||
Speichern Save |
Nach Änderung | ||
| Damit die Änderungen wirksam werden | |||
Die Paketfilterregel sieht dann wie unten aus.
Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.
| # | Quelle | Ziel | Dienst | NAT | Aktion | Aktiv | |||
 |
4 | internet |
server |
https |
DN | Accept | Ein |