Best Practice: Konfiguration von Portumleitungen
Letzte Anpassung: 11.2022
Neu:
notemptyDieser Artikel bezieht sich auf eine Resellerpreview
11.8
Einsatz-Zweck
Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.
Portumleitung
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.
Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.
In diesem Beispiel soll ein Web-Server mit der Internen IP 192.168.175.111 aus dem öffentlichem Netz erreichbar sein.
Die öffentliche IP ist 192.0.2.192/32
Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!
Konfiguration der Appliance
Netzwerkobjekt anlegen
Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.
- Menü Schaltfläche Objekt hinzufügen
- Es erscheint die Eingabemaske "Netzwerkobjekt hinzufügen".
Beschriftung |
Eingabe |
Beschreibung
|
Netzwerkobjekt anlegen
|
Name: |
Server |
Bezeichnung für das Netzwerkobjekt
|
Typ: |
Host |
Die Pakete werden zum Ziel hin genattet
|
Adresse: |
192.168.175.111/--- |
Die IP-Adresse, auf die die Umleitung erfolgen soll (in unserem Beispiel: des Web-Servers).
|
Zone: |
internal |
Als Zone "internal" auswählen
|
Gruppe: |
|
Zuordnung zu einer Netzwerkgruppe (kann leer bleiben).
|
Speichern und schließen |
Speichert das Netzwerkobjekt und schließt den Dialog
|
|
Dienst anlegen
Wenn der Port, mit dem man an der externen IP von außen ankommt, und der nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht als Dienst konfiguriert wurde, muss dieser nun angelegt werden.
- Menü Schaltfläche Objekt hinzufügen
- Es erscheint die Eingabemaske "Dienst hinzufügen".
Beschriftung |
Eingabe |
Beschreibung
|
Dienst anlegen
|
Name: |
extern-https |
Bezeichnung für den Dienst vergeben
|
Protokoll: |
tcp |
Protokoll auswählen
|
Protokolltyp: |
|
Wird beim Protokoll "tcp" nicht benötigt
|
Zielport Typ: |
Einzelner Port Port-Bereich |
Einzelner Port oder Port-Bereich auswählen
|
Zielport: |
4443 |
Port bzw. Port-Range auf dem Zielrechner
|
Quellport Typ: |
Alle Einzelner Port Port-Bereich |
Den Quellport anzugeben ist nur in den Fällen sinnvoll, in denen sich der Quellport vorhersagen lässt (z.B. ftp).
|
Speichern Save |
|
|
Firewall-Regeln anlegen
Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit "Destination NAT" angelegt werden. Regel können unter Schaltfläche Regel hinzufügen angelegt werden. Anhand des Beispiels müsste die Regel also wie folgt aussehen:
Allgemein
|
Portumleitung
|
Quelle |
internet |
Zugriff vom Internet aus
|
Ziel |
Server |
Netzwerkobjekt für den Zielserver
|
Dienst |
https |
Dienst, mit dem der Port am Zielrechner angesprochen werden soll
|
Aktion |
Accept |
Akzeptieren der Datenpakete
|
[-] Nat
|
Typ |
Destnat |
Die Pakete werden zum Ziel hin genattet
|
Netzwerkobjekt |
external-interface |
Netzwerkobjekt für das Interface, das das NAT durchführen soll
|
Dienst |
extern-https |
Dienst, mit dem der Port vom Internet kommend (von extern) angesprochen wird
|
Hinzufügen und schließen |
Nach Neuanlage (wie in diesem Beispiel)
|
Speichern Save |
Nach Änderung
|
Regeln aktualisieren |
Damit die Änderungen wirksam werden
|
|