UTM/RULE/Portumleitung-Intern: Unterschied zwischen den Versionen

• Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter einer öffentlichen IP-Adresse des Routers.
• Eine Port Weiterleitung ist eingerichtet und wird dazu genutzt Anfragen, die auf bestimmte Ports der öffentlichen IP-Adresse des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist.

Ein interner Server soll aus dem internen Netz über die öffentliche IP der Firewall (mit entsprechender Portangabe) erreichbar sein.
Dieses wird mit Hilfe von hairpinning (auch als NAT loopback oder NAT reflection bezeichnet) bewerkstelligt.
Hierzu wird eine DestNAT- und eine HideNAT-Regel erstellt.

• Ein PC sendet ein SYN-Paket mit der externen IP-Adresse des internen Servers (hier www) an die UTM ①
• Die DestNAT-Regel maskiert die Empfänger IP-Adresse und sorgt so dafür, dass das Paket an den internen Server weitergeleitet werden kann.②

Abb.1 (nur mit DestNAT-Regel)

• Der Server sendet die Antwort SYN-ACK an die Absender-IP des Paketes: die IP des PCs aus dem internen Netz ③
• Die Firewall des PCs verwirft das Paket, weil es an die Absenderadresse des SYN-ACK-Paketes (die IP des Servers aus dem internen Netz) kein SYN-Paket gesendet hat.
  oder
• Der PC hat keine Firewall und sendet sein ACK-Paket an die öffentliche IP des Servers und damit an die UTM
  → Die UTM verwirft das Paket, weil sie kein SYN-ACK-Paket dazu gesehen hat.

Abb.2 (mit DestNAT und mit HideNAT-Regel)

• Die HideNAT-Regel hat auch die Absenderadresse verändert.
  Der Server sendet das SYN-ACK-Paket an die UTM zurück ③
• Die UTM NATtet das Paket und sendet es an den ursprünglichen Absender ④
• Der PC kann nun sein ACK-Paket erfolgreich an die öffentliche IP des Servers senden.

Für eine Portweiterleitung muss es ein Netzwerkobjekt für den Server geben.

Anlegen des Netzwerkobjektes zeigen

Anlegen im Menü Netzwerk Netzwerkobjekte  Schaltfläche Objekt hinzufügen Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen. Folgende Angaben sind möglich:
Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte Netzwerkobjekt anlegen
Name:	Server	Eindeutiger Name
Typ	Host	Ein einzelner Host soll angesprochen werden
Adresse:	192.168.175.10/---	IP-Adresse aus dem internen Netz, über die der interne Server erreichbar ist
Zone:	internal	Zone, in welcher der Server steht (z.B.: internal oder dmz)
Gruppe:		Zur besseren Übersicht kann das Netzwerkobjekt einer Gruppe zugeordnet werden.
Speichern und schließen		Speichert die Einstellungen und schließt den Dialog

Firewall-Regeln für die Weiterleitung anlegen

Damit der entsprechende Port an den Server weitergeleitet wird, muss eine Portweiterleitung als Regel angelegt werden. Konfiguration im Menü Firewall Paketfilter  Schaltfläche Regel hinzufügen

Beschriftung	Wert	Beschreibung	Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter Portweiterleitung
Quelle	internal-network	Quellnetzwerk, für das der Server erreichbar gemacht werden soll.
Ziel	Server	Netzwerkobjekt des Zielservers (ggf. wie oben beschrieben zuvor angelegt).
Dienst	https	Dienst, der den gewünschten Port belegt. Hier Port 443 → https Wird ein individueller Port benötigt, muss dieser mit der Schaltfläche als Dienst neu angelegt werden. Weitere Hinweise dazu im Artikel zum Paketfilter, Abschnitt Dienste.
Aktion	ACCEPT	Die Aktion muss auf Accept (annehmen) stehen.
[-] Nat
Typ	DESTNAT	Ein einzelner Host soll angesprochen werden
Netzwerkobjekt	external-interface	Als Netzwerkobjekt wird das externe Interface ausgewählt (bzw. das Netzwerkobjekt, welches die externe IP inne hat über die der Port weitergeleitet werden soll).
Dienst	https	Dienst, der den gewünschten Zielport belegt. ‍ Soll hier ein anderer Port als für den Quelldienst verwendet werden und dieser ist nicht bereits als Dienstobjekt angelegt, muss dieser vor dem Erstellen angelegt werden.
Speichern und schließen		Speichert die Einstellungen und schließt den Dialog

Firewall-Regeln für das Hide-NAT anlegen

Damit der Server die Anfrage auf die öffentliche IP auf dem richtigen Weg beantwortet, muss nun eine Hide-NAT-Regel angelegt werden.
Mit dieser Regel wird die IP des anfragenden Rechners hinter der IP der Firewall versteckt.
Dies ist nötig, da sonst die Anfrage mit der internen IP des Rechners an dem Server ankommen würde und dieser dann versuchen würde, die Antwort intern zuzustellen und nicht über die Firewall.
Regel hinzufügen

Beschriftung	Wert	Beschreibung	Regel hinzufügen UTMbenutzer@firewall.name.fqdnFirewallPaketfilter
Quelle	internal-network	Quellnetzwerk, für das der Server erreichbar gemacht werden soll.
Ziel	Server	Netzwerkobjekt des Zielservers (ggf. wie oben beschrieben zuvor angelegt).
Dienst	https	Dienst, der den gewünschten Port belegt. Hier Port 443 → https
Aktion	ACCEPT	Die Aktion muss auf Accept (annehmen) stehen.
[-] Nat
Typ	HIDENAT	Das Quellnetzwerk soll genattet werden.
Netzwerkobjekt	internal-interface	Als Netzwerkobjekt wird das interne Interface ausgewählt (bzw. das Interface, hinter dem sich der Server befindet, der erreicht werden soll).
Speichern und schließen		Speichert die Einstellungen und schließt den Dialog
Regeln aktualisieren		Vollendet das Anlegen der neuen Regeln

Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portweiterleitung aktiv.