KKeine Bearbeitungszusammenfassung |
Maltea (Diskussion | Beiträge) Keine Bearbeitungszusammenfassung |
||
| Zeile 1: | Zeile 1: | ||
{{Lang}} | {{Lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
| Zeile 10: | Zeile 9: | ||
| Portweiterleitung aus internem Netz über externe IP auf internen Server <br>(''hairpinning'' - auch als ''NAT loopback'' oder ''NAT reflection'' bezeichnet) | | Portweiterleitung aus internem Netz über externe IP auf internen Server <br>(''hairpinning'' - auch als ''NAT loopback'' oder ''NAT reflection'' bezeichnet) | ||
| Port forwarding from internal network via external IP to internal server <br>(''hairpinning'' - also referred to as ''NAT loopback'' or ''NAT reflection''). }} | | Port forwarding from internal network via external IP to internal server <br>(''hairpinning'' - also referred to as ''NAT loopback'' or ''NAT reflection''). }} | ||
{{var | Ausgangslage | {{var | Ausgangslage | ||
| Ausgangslage | | Ausgangslage | ||
| Zeile 20: | Zeile 16: | ||
| Port forwarding from an internal network via an external IP address is '''not possible via a bridge'''. }} | | Port forwarding from an internal network via an external IP address is '''not possible via a bridge'''. }} | ||
{{var | Hinweis-Bridge--desc | {{var | Hinweis-Bridge--desc | ||
| Abhilfe könnte hierbei die Einrichtung einer Forward-Zone im Nameserver der UTM schaffen, sofern die UTM als Nameserver für die internen Clients eingerichtet ist. <br>In diesem Fall verweist die externe URL, die von Intern aufgerufen wird direkt auf den Internen Ziel-Server.<br> | | Abhilfe könnte hierbei die Einrichtung einer Forward-Zone im Nameserver der UTM schaffen, sofern die UTM als Nameserver für die internen Clients eingerichtet ist. <br>In diesem Fall verweist die externe URL, die von Intern aufgerufen wird direkt auf den Internen Ziel-Server.<br> Eine Anleitung zum einrichten der Forward-Zone befindet sich unter [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] im Nameserver Wiki. | ||
Eine Anleitung zum einrichten der Forward-Zone befindet sich unter [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] im Nameserver Wiki. | |||
| This could be remedied by setting up a Forward-zone in the UTM's name server, provided the UTM is set up as a name server for the internal clients. <br>In this case, the external URL that is called from Internal points directly to the Internal target server.<br> Instructions on how to set up the Forward-zone can be found at [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] in the Nameserver Wiki.}} | | This could be remedied by setting up a Forward-zone in the UTM's name server, provided the UTM is set up as a name server for the internal clients. <br>In this case, the external URL that is called from Internal points directly to the Internal target server.<br> Instructions on how to set up the Forward-zone can be found at [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] in the Nameserver Wiki.}} | ||
{{var | Ausgangslage--desc | {{var | Ausgangslage--desc | ||
|* Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter einer öffentlichen IP-Adresse des Routers. | | | ||
* Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter einer öffentlichen IP-Adresse des Routers. | |||
* Eine '''Port Weiterleitung''' ist eingerichtet und wird dazu genutzt Anfragen, die auf '''bestimmte Ports der öffentlichen IP-Adresse''' des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist. | * Eine '''Port Weiterleitung''' ist eingerichtet und wird dazu genutzt Anfragen, die auf '''bestimmte Ports der öffentlichen IP-Adresse''' des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist. | ||
| * All computers are in a private network and hide behind a public IP address of the router. | | | ||
* All computers are in a private network and hide behind a public IP address of the router. | |||
* A '''port forwarding''' is set up and is used to forward requests directed to '''specific ports of the public IP address''' of the router to the internal server so that it can be reached from the Internet. }} | * A '''port forwarding''' is set up and is used to forward requests directed to '''specific ports of the public IP address''' of the router to the internal server so that it can be reached from the Internet. }} | ||
{{var | Ziel dieses Artikels | {{var | Ziel dieses Artikels | ||
| Zeile 32: | Zeile 29: | ||
| Aim of this article: }} | | Aim of this article: }} | ||
{{var | Ziel dieses Artikels--desc | {{var | Ziel dieses Artikels--desc | ||
| Ein interner Server soll aus dem internen Netz über die öffentliche IP der Firewall (mit entsprechender Portangabe) erreichbar sein.<br>Dieses wird mit Hilfe von ''hairpinning (auch als ''NAT loopback'' oder ''NAT reflection'' bezeichnet) bewerkstelligt.<br>Hierzu wird eine DestNAT- und eine HideNAT-Regel erstellt. | | Ein interner Server soll aus dem internen Netz über die öffentliche IP der Firewall (mit entsprechender Portangabe) erreichbar sein.<br> Dieses wird mit Hilfe von ''hairpinning (auch als ''NAT loopback'' oder ''NAT reflection'' bezeichnet) bewerkstelligt.<br> Hierzu wird eine DestNAT- und eine HideNAT-Regel erstellt. | ||
| An internal server should be reachable from the internal network via the public IP of the firewall (with corresponding port specification).<br>This is accomplished with the help of ''hairpinning (also called ''NAT loopback'' or ''NAT reflection'').<br>For this purpose, a DestNAT and a HideNAT rule are created. }} | | An internal server should be reachable from the internal network via the public IP of the firewall (with corresponding port specification).<br> This is accomplished with the help of ''hairpinning (also called ''NAT loopback'' or ''NAT reflection'').<br> For this purpose, a DestNAT and a HideNAT rule are created. }} | ||
{{var | Ziel dieses Artikels--Hinweis | {{var | Ziel dieses Artikels--Hinweis | ||
| '''TIPP''': Wenn aus dem internen Netz statt der IP-Adresse ein DNS-Name aufgerufen UND die Firewall als Nameserver verwendet wird, ist das Anlegen eines A-Records der bessere Weg. <br>Hier muss die Firewall lediglich den Namen zu einer internen Adresse auflösen. <br>Die eigentliche Kommunikation geht dann nicht den Umweg über die Firewall sondern findet direkt zwischen Client und Server statt! <br>Ein entsprechendes How-To findet sich im Wikiartikel zum Nameserver im Abschnitt [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']]. | | '''TIPP''': Wenn aus dem internen Netz statt der IP-Adresse ein DNS-Name aufgerufen UND die Firewall als Nameserver verwendet wird, ist das Anlegen eines A-Records der bessere Weg. <br>Hier muss die Firewall lediglich den Namen zu einer internen Adresse auflösen. <br>Die eigentliche Kommunikation geht dann nicht den Umweg über die Firewall sondern findet direkt zwischen Client und Server statt! <br>Ein entsprechendes How-To findet sich im Wikiartikel zum Nameserver im Abschnitt [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']]. | ||
| Zeile 65: | Zeile 62: | ||
| Network objects }} | | Network objects }} | ||
{{var | Netzwerkobjekt anlegen--step-by-step | {{var | Netzwerkobjekt anlegen--step-by-step | ||
|* Anlegen im Menü {{Menu-UTM|Netzwerk|Netzwerkobjekte||Objekt hinzufügen|+}} | | | ||
* Anlegen im Menü {{Menu-UTM|Netzwerk|Netzwerkobjekte||Objekt hinzufügen|+}} | |||
* Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.<br>Folgende Angaben sind möglich: | * Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.<br>Folgende Angaben sind möglich: | ||
| * Create in the menu {{Menu|Network|Network objects||Add object|+}} | | | ||
* Create in the menu {{Menu|Network|Network objects||Add object|+}} | |||
* The input mask Add network object appears.<br>The following entries are possible: }} | * The input mask Add network object appears.<br>The following entries are possible: }} | ||
{{var | Name--desc | {{var | Name--desc | ||
| Eindeutiger Name | | Eindeutiger Name | ||
| Zeile 87: | Zeile 83: | ||
| IP-Adresse aus dem internen Netz, über die der interne Server erreichbar ist | | IP-Adresse aus dem internen Netz, über die der interne Server erreichbar ist | ||
| IP address from the internal network via which the internal server can be reached. }} | | IP address from the internal network via which the internal server can be reached. }} | ||
{{var | Zone--desc | {{var | Zone--desc | ||
| Zone, in welcher der Server steht (z.B.: ''internal'' oder ''dmz'') | | Zone, in welcher der Server steht (z.B.: ''internal'' oder ''dmz'') | ||
| Zeile 147: | Zeile 140: | ||
| Die Aktion muss auf ''Accept (annehmen)'' stehen. | | Die Aktion muss auf ''Accept (annehmen)'' stehen. | ||
| The action must be set to ''Accept''. }} | | The action must be set to ''Accept''. }} | ||
{{var | Logging--desc | {{var | Logging--desc | ||
| Das Logging kann aktiviert werden, um eventuelle Probleme besser nachverfolgen zu können. ' | | Das Logging kann aktiviert werden, um eventuelle Probleme besser nachverfolgen zu können. ' | ||
| Zeile 156: | Zeile 146: | ||
| Short - Drei Einträge pro Minute protokollieren | | Short - Drei Einträge pro Minute protokollieren | ||
| Short - Log three entries per minute }} | | Short - Log three entries per minute }} | ||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Zur besseren Übersicht kann das Netzwerkobjekt einer Gruppe zugeordnet werden. | | Zur besseren Übersicht kann das Netzwerkobjekt einer Gruppe zugeordnet werden. | ||
| Zeile 173: | Zeile 160: | ||
{{var | NAT-Dienst--desc | {{var | NAT-Dienst--desc | ||
| Dienst, der den gewünschten Zielport belegt. | | Dienst, der den gewünschten Zielport belegt. | ||
| Service that occupies the desired destination port. | | Service that occupies the desired destination port. }} | ||
{{var | NAT-Dienst--info | {{var | NAT-Dienst--info | ||
| Soll hier ein anderer Port als für den Quelldienst verwendet werden und dieser ist nicht bereits als Dienstobjekt angelegt, muss dieser '''vor''' dem Erstellen angelegt werden. | | Soll hier ein anderer Port als für den Quelldienst verwendet werden und dieser ist nicht bereits als Dienstobjekt angelegt, muss dieser '''vor''' dem Erstellen angelegt werden. | ||
| Zeile 194: | Zeile 181: | ||
{{var | Regeln aktualisieren--desc | {{var | Regeln aktualisieren--desc | ||
| Vollendet das Anlegen der neuen Regeln | | Vollendet das Anlegen der neuen Regeln | ||
| | | Completes the creation of the new rules }} | ||
{{var | Firewall-Regeln für das Hide-NAT anlegen | {{var | Firewall-Regeln für das Hide-NAT anlegen | ||
| Firewall-Regeln für das Hide-NAT anlegen | | Firewall-Regeln für das Hide-NAT anlegen | ||
| Create firewall rules for the Hide-NAT }} | | Create firewall rules for the Hide-NAT }} | ||
{{var | Firewall-Regeln für das Hide-NAT anlegen--desc | {{var | Firewall-Regeln für das Hide-NAT anlegen--desc | ||
| Damit der Server die Anfrage auf die öffentliche IP auf dem richtigen Weg beantwortet, muss nun eine Hide-NAT-Regel angelegt werden. <br>Mit dieser Regel wird die IP des anfragenden Rechners hinter der IP der Firewall versteckt.<br>Dies ist nötig, da sonst die Anfrage mit der internen IP des Rechners an dem Server ankommen würde und dieser dann versuchen würde, die Antwort intern zuzustellen und nicht über die Firewall. | | Damit der Server die Anfrage auf die öffentliche IP auf dem richtigen Weg beantwortet, muss nun eine Hide-NAT-Regel angelegt werden. <br>Mit dieser Regel wird die IP des anfragenden Rechners hinter der IP der Firewall versteckt.<br> Dies ist nötig, da sonst die Anfrage mit der internen IP des Rechners an dem Server ankommen würde und dieser dann versuchen würde, die Antwort intern zuzustellen und nicht über die Firewall. | ||
| For the server to answer the request to the public IP in the correct way, a Hide-NAT rule must now be created. <br>With this rule, the IP of the requesting computer is hidden behind the IP of the firewall.<br>This is necessary since otherwise the request would arrive at the server with the internal IP of the computer and it would then attempt to deliver the response internally and not via the firewall. }} | | For the server to answer the request to the public IP in the correct way, a Hide-NAT rule must now be created. <br>With this rule, the IP of the requesting computer is hidden behind the IP of the firewall.<br> This is necessary since otherwise the request would arrive at the server with the internal IP of the computer and it would then attempt to deliver the response internally and not via the firewall. }} | ||
{{var | Regel hinzufügen | {{var | Regel hinzufügen | ||
| Regel hinzufügen | | Regel hinzufügen | ||
| Zeile 207: | Zeile 194: | ||
| UTM v12.6 Portumleitung-Intern Paketfilterregel hinzufuegen hidenat.png | | UTM v12.6 Portumleitung-Intern Paketfilterregel hinzufuegen hidenat.png | ||
| UTM v12.6 Portumleitung-Intern Paketfilterregel hinzufuegen hidenat-en.png }} | | UTM v12.6 Portumleitung-Intern Paketfilterregel hinzufuegen hidenat-en.png }} | ||
{{var | HideNAT-Typ--desc | {{var | HideNAT-Typ--desc | ||
| Das Quellnetzwerk soll genattet werden. | | Das Quellnetzwerk soll genattet werden. | ||
| Zeile 223: | Zeile 207: | ||
| Packet flow }} | | Packet flow }} | ||
{{var | Paketfluss--desc | {{var | Paketfluss--desc | ||
|* Ein PC sendet ein ''SYN-Paket'' mit der externen IP-Adresse des internen Servers (hier www) an die UTM ① | | | ||
* Ein PC sendet ein ''SYN-Paket'' mit der externen IP-Adresse des internen Servers (hier www) an die UTM ① | |||
* Die DestNAT-Regel maskiert die ''Empfänger'' IP-Adresse und sorgt so dafür, dass das Paket an den internen Server weitergeleitet werden kann.② | * Die DestNAT-Regel maskiert die ''Empfänger'' IP-Adresse und sorgt so dafür, dass das Paket an den internen Server weitergeleitet werden kann.② | ||
| * A PC sends a ''SYN packet'' with the external IP address of the internal server (here www) to the UTM ①. | | | ||
* A PC sends a ''SYN packet'' with the external IP address of the internal server (here www) to the UTM ①. | |||
* The DestNAT rule masks the ''receiver'' IP address and thus ensures that the packet can be forwarded to the internal server.②.}} | * The DestNAT rule masks the ''receiver'' IP address and thus ensures that the packet can be forwarded to the internal server.②.}} | ||
{{var | Paketfluss--fail--Bild | {{var | Paketfluss--fail--Bild | ||
| Zeile 240: | Zeile 226: | ||
| Fig.2 (with ''DestNAT'' and with ''HideNAT'' rule) }} | | Fig.2 (with ''DestNAT'' and with ''HideNAT'' rule) }} | ||
{{var | PrePost-Routing--Hinweis | {{var | PrePost-Routing--Hinweis | ||
| Beide Regeln werden von der Firewall bearbeitet.<br>Die erste liegt in der Prerouting Chain (DestNAT), die zweite in der Postrouting Chain (HideNAT) und damit in voneinander unabhängigen Prüfabschnitten. Nur innerhalb eines Abschnittes, kann keine zweite Regel greifen. | | Beide Regeln werden von der Firewall bearbeitet.<br> Die erste liegt in der Prerouting Chain (DestNAT), die zweite in der Postrouting Chain (HideNAT) und damit in voneinander unabhängigen Prüfabschnitten. Nur innerhalb eines Abschnittes, kann keine zweite Regel greifen. | ||
| Both rules are processed by the firewall.<br>The first is situated in the prerouting chain (DestNAT), the second in the postrouting chain (HideNAT) and thus in independent test sections. Only within a section, no second rule can take effect. }} | | Both rules are processed by the firewall.<br> The first is situated in the prerouting chain (DestNAT), the second in the postrouting chain (HideNAT) and thus in independent test sections. Only within a section, no second rule can take effect. }} | ||
{{var | Paketfluss--fail--desc | {{var | Paketfluss--fail--desc | ||
|* Der Server sendet die Antwort ''SYN-ACK'' an die Absender-IP des Paketes: die IP des PCs aus dem internen Netz ③ | | | ||
* Der Server sendet die Antwort ''SYN-ACK'' an die Absender-IP des Paketes: die IP des PCs aus dem internen Netz ③ | |||
* Die Firewall des PCs verwirft das Paket, weil es an die Absenderadresse des ''SYN-ACK-Paketes'' (die IP des Servers aus dem internen Netz) kein ''SYN-Paket'' gesendet hat.<br>oder | * Die Firewall des PCs verwirft das Paket, weil es an die Absenderadresse des ''SYN-ACK-Paketes'' (die IP des Servers aus dem internen Netz) kein ''SYN-Paket'' gesendet hat.<br>oder | ||
* Der PC hat keine Firewall und sendet sein ''ACK-Paket'' an die öffentliche IP des Servers und damit an die UTM<br>→ Die UTM verwirft das Paket, weil sie kein ''SYN-ACK-Paket'' dazu gesehen hat. | * Der PC hat keine Firewall und sendet sein ''ACK-Paket'' an die öffentliche IP des Servers und damit an die UTM<br>→ Die UTM verwirft das Paket, weil sie kein ''SYN-ACK-Paket'' dazu gesehen hat. | ||
| * The server sends the response ''SYN-ACK'' to the sender IP of the packet: the IP of the PC from the internal network ③. | | | ||
* The PC's firewall drops the packet because it did not send a ''SYN packet'' to the sender address of the ''SYN-ACK packet'' (the server's IP from the internal network).<br>or | * The server sends the response ''SYN-ACK'' to the sender IP of the packet: the IP of the PC from the internal network ③. | ||
* The PC's firewall drops the packet because it did not send a ''SYN packet'' to the sender address of the ''SYN-ACK packet'' (the server's IP from the internal network).<br> or | |||
* The PC has no firewall and sends its ''ACK packet'' to the public IP of the server and thus to the UTM<br>→ The UTM drops the packet because it has not seen a ''SYN-ACK packet'' for it. }} | * The PC has no firewall and sends its ''ACK packet'' to the public IP of the server and thus to the UTM<br>→ The UTM drops the packet because it has not seen a ''SYN-ACK packet'' for it. }} | ||
{{var | Paketfluss--works--desc | {{var | Paketfluss--works--desc | ||
|* Die HideNAT-Regel hat auch die Absenderadresse verändert.<br>Der Server sendet das ''SYN-ACK-Paket'' an die UTM zurück ③ | | | ||
* Die HideNAT-Regel hat auch die Absenderadresse verändert.<br> Der Server sendet das ''SYN-ACK-Paket'' an die UTM zurück ③ | |||
* Die UTM NATtet das Paket und sendet es an den ursprünglichen Absender ④ | * Die UTM NATtet das Paket und sendet es an den ursprünglichen Absender ④ | ||
* Der PC kann nun sein ''ACK-Paket'' erfolgreich an die öffentliche IP des Servers senden. | * Der PC kann nun sein ''ACK-Paket'' erfolgreich an die öffentliche IP des Servers senden. | ||
| * The HideNAT rule has also changed the sender address.<br>The server sends the ''SYN-ACK packet'' back to the UTM ③. | | | ||
* The HideNAT rule has also changed the sender address.<br> The server sends the ''SYN-ACK packet'' back to the UTM ③. | |||
* The UTM NATs the packet and sends it to the original sender ④. | * The UTM NATs the packet and sends it to the original sender ④. | ||
* The PC can now successfully send its ''ACK packet'' to the server's public IP. }} | * The PC can now successfully send its ''ACK packet'' to the server's public IP. }} | ||
{{var | Proxy--Warnung | {{var | Proxy--Warnung | ||
| Sollte der '''transparente Proxy''' oder ein '''reverse Proxy''' verwendet werden, ist die Konfiguration über '''Paketfilter-Regeln nicht möglich'''.<br>In diesem Fall muss, wie oben beschrieben, die UTM als DNS verwendet und eine [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] eingerichtet werden. | | Sollte der '''transparente Proxy''' oder ein '''reverse Proxy''' verwendet werden, ist die Konfiguration über '''Paketfilter-Regeln nicht möglich'''.<br> In diesem Fall muss, wie oben beschrieben, die UTM als DNS verwendet und eine [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] eingerichtet werden. | ||
| Should the '''transparent proxy''' or a '''reverse proxy''' be used, configuration via '''packet filter rules''' is not possible.<br>In this case, as described above, the UTM must be used as DNS and a [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] must be set up. }} | | Should the '''transparent proxy''' or a '''reverse proxy''' be used, configuration via '''packet filter rules''' is not possible.<br> In this case, as described above, the UTM must be used as DNS and a [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] must be set up. }} | ||
{{var | neu--Skizze Paketfluss | {{var | neu--Skizze Paketfluss | ||
| Skizze zum [[#Paketfluss | Paketfluss]] | | Skizze zum [[#Paketfluss | Paketfluss]] | ||
| Zeile 265: | Zeile 255: | ||
| Anlegen des Netzwerkobjektes zeigen | | Anlegen des Netzwerkobjektes zeigen | ||
| Show creation of the network object }} | | Show creation of the network object }} | ||
{{var | | {{var | | ||
| | | | ||
UTM/RULE/Portumleitung-Intern.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki