(Die Seite wurde neu angelegt: „{{Lang}} {{#vardefine:headerIcon|spicon-utm}} {{var | display | Reverse Proxy | }} {{var | head | Ziel dieser Anleitung ist es, über den Reverse-Proxy…“) |
KKeine Bearbeitungszusammenfassung |
||
| (13 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt) | |||
| Zeile 1: | Zeile 1: | ||
{{Lang}} | {{Lang}} | ||
{{#vardefine:headerIcon|spicon-utm}} | {{#vardefine:headerIcon|spicon-utm}} | ||
{{var | display | {{var | display | ||
| Reverse Proxy | |||
| Reverse Proxy }} | |||
{{var | head | {{var | head | ||
| Ziel dieser Anleitung ist es, über den Reverse-Proxy auf einen internen Webserver zuzugreifen | |||
| The goal of this tutorial is to access an internal web server via the reverse proxy }} | |||
{{var | {{var | Anwendungen | ||
| | | Anwendungen | ||
| Application }} | |||
{{var | Reverse-Proxy | |||
| Reverse-Proxy | |||
| Reverse-Proxy }} | |||
{{var | | |||
{{var | Verwendungszweck | {{var | Verwendungszweck | ||
| Verwendungszweck | |||
| Intended use }} | |||
{{var | Verwendungszweck--desc | {{var | Verwendungszweck--desc | ||
| Mit einem Reverse-Proxy kann man aus dem Internet heraus, den '''Zugriff auf die "internen" Webserver''' steuern. Im Gegensatz zu einer ''Portweiterleitung'', können über den Reverse-Proxy dedizierte Filterregeln erstellt werden. Zudem können, bei nur einer öffentlichen IP-Adresse, mehrere interne Webserver anhand der Domäne angesprochen werden.<br><br> Ein weiteres Highlight bietet das '''Load-Balancing.''' Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden. | |||
| With a reverse proxy, one can control '''access to the "internal" web servers''' from the Internet. In contrast to a ''port forwarding'', dedicated filter rules can be created via the reverse proxy. In addition, with only one public IP address, several internal web servers can be addressed based on the domain.<br><br> Another highlight is offered by the '''load balancing.''' Servers can be combined into groups, to which the requests are then distributed using the selected algorithm (e.g. Round-Robin). }} | |||
Ein weiteres Highlight bietet das '''Load-Balancing.''' Server können zu Gruppen zusammen gefasst werden, auf die die Anfragen dann mit dem gewählten Algorithmus (z.B. Round-Robin) verteilt werden. | |||
{{var | Voraussetzungen | {{var | Voraussetzungen | ||
| Voraussetzungen | |||
| Requirements }} | |||
{{var | Voraussetzungen--desc | {{var | Voraussetzungen--desc | ||
| Für die Beispielkonfiguration werden folgende Werte angenommen: | |||
* Webserver mit der privaten IP: 10.1.0.150 | |||
* Domäne: www.ttt-point.de | * Domäne: www.ttt-point.de | ||
| The following values are assumed for the example configuration: | |||
* Web server with the private IP: 10.1.0.150 | |||
* Domain: www.ttt-point.de }} | |||
{{var | Vorbereitungen | {{var | Vorbereitungen | ||
| Vorbereitungen | |||
| Preparations }} | |||
{{var | Vorbereitungen--desc | {{var | Vorbereitungen--desc | ||
| '''Achtung:'''<br> Soll der Zugriff auch auf den Webserver über https erfolgen, so muss zuerst der Port des Userinterfaces umgelegt werden. | |||
| '''Attention:'''<br> If the web server is also to be accessed via https, the port of the Userinterface must be changed first. }} | |||
{{var | User Webinterface Port ändern | {{var | User Webinterface Port ändern | ||
| User Webinterface Port ändern | |||
| Change user Webinterface port }} | |||
{{var | User Webinterface Port ändern--desc | {{var | User Webinterface Port ändern--desc | ||
| In der Werkseinstellung ist der Port 443 für ''https'' schon vom User-Webinterface der UTM belegt. Dieser muss dann auf einen anderen Port umgelegt werden.<br>Die Einstellungen dazu befinden sich im Menü {{Menu|Netzwerk|Servereinstellungen|Servereinstellungen}} im Abschnitt {{Kasten|Webserver}} | |||
| In the factory setting, port 443 for ''https'' is already occupied by the user web interface of the UTM. This must then be changed to another port.<br>The settings for this are in the menu {{Menu|Network|Appliance Settings|Appliance Settings}} in the section {{Kasten|Webserver}}. }} | |||
{{var | User Webinterface Port ändern--Bild | {{var | User Webinterface Port ändern--Bild | ||
| UTM v11.8.13 Servereinstellungen.png | |||
| UTM v12.2 Servereinstellungen-en.png }} | |||
{{var | User Webinterface Port--Regelhinweis | {{var | User Webinterface Port--Regelhinweis | ||
| Ggf. müssen Portfilterregeln, die den Zugriff auf das User Webinterface erlauben angepasst werden. | |||
| If necessary, port filter rules that allow access to the user Webinterface must be adjusted. }} | |||
{{var | Speichern | {{var | Speichern | ||
| Speichern | |||
| Save }} | |||
{{var | | {{var | Zertifikat--desc | ||
| | |||
* Hierzu wird unter {{Menu|Authentifizierung|Zertifikate}} ein Zertifikat | * Für https benötigt der Reverse-Proxy ein Zertifikat damit er die verschlüsselte Verbindung entgegen nehmen kann | ||
* Hierzu wird unter {{Menu|Authentifizierung|Zertifikate}} ein Zertifikat benötigt | |||
| | |||
{{ | * For https, the reverse proxy needs a certificate to accept the encrypted connection. | ||
* For this, a certificate is used from {{Menu|Authentication|Certificates}} }} | |||
{{var | Lokales Zertifikat--Hinweis | |||
| Wird ein lokal [[UTM/AUTH/Zertifikate#Server-_und_Clientzertifikat_erstellen | selbst erstelltes Zertifikat]] verwendet, müssen externe Nutzer beim ersten Aufruf eine Zertifikatswarnung bestätigen | |||
| If a locally [{{#var:host}}UTM/AUTH/Zertifikate#Create_server_and_client_certificate self-created certificate] is used, external users must confirm a certificate warning when calling up the certificate for the first time }} | |||
{{var | ACME-Zertifikat--Hinweis | |||
| Besser ist es, ein öffentlich ausgestelltes, käuflich erworbenes Zertifikat zu [[UTM/AUTH/Zertifikate | importieren]] oder ein [[UTM/AUTH/Zertifikate-ACME | ACME-Zertifikat]] zu erstellen | |||
| It is better to [{{#var:host}}UTM/AUTH/Certificates import] a publicly issued, purchased certificate or to create an [{{#var:host}}UTM/AUTH/Certificates-ACME ACME certificate] }} | |||
{{var | Zertifikatsname--Hinweis | |||
| '''Wichtig:''' der Name des Zertifikates muss so benannt werden wie die Domäne. <br>In diesem Beispiel wird ein Wildcard-Zertifikat {{whitebox|*.ttt-point.de}} verwendet. | |||
| '''Important:''' the name of the certificate must be named like the domain. <br>In this example, a wildcard certificate {{whitebox|*.ttt-point.de}} is used. }} | |||
{{var | Einrichtung | {{var | Einrichtung | ||
| Einrichtung | |||
| Configuration}} | |||
{{var | Einrichtung--Menu | |||
| {{Menu|Anwendungen|Reverse-Proxy|Servergruppen|Reverse-Proxy Assistent|+}} | |||
| {{Menu|Applications|Reverse-Proxy|Server groups|Reverse-Proxy Assistant|+}} }} | |||
{{var | Einrichtung--desc | {{var | Einrichtung--desc | ||
| Mit einem Klick auf die Schaltfläche ''Reverse-Proxy Assistent'' öffnet sich der Assistent. | |||
| The settings for the reverse proxy are located in the menu {{Menu|Applications|Reverse-Proxy}}<br>Clicking on the button {{Button|Reverse-Proxy wizard|+}} opens the wizard. }} | |||
{{var | Assistent | {{var | Assistent | ||
| Assistent | |||
| Wizard}} | |||
{{var | Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc | {{var | Schritt 1--Zielserver--Netzwerkobjekt bereits angelegt--desc | ||
| Ist der Host schon als Netzwerkobjekt angelegt, kann dieser im Dropdown Menü direkt ausgewählt werden. | |||
| If the host has already been created as a network object, it can be selected directly in the drop-down menu. }} | |||
{{var | Schritt 1 Netzwerkobjekt bereits angelegt--Bild | {{var | Schritt 1 Netzwerkobjekt bereits angelegt--Bild | ||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 1.png | |||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 1-en.png }} | |||
{{var | Schritt 1 Netzwerkobjekt bereits angelegt--cap | {{var | Schritt 1 Netzwerkobjekt bereits angelegt--cap | ||
| Zielserver existiert bereits als Netzwerkobjekt | |||
| Target server already exists as a network object }} | |||
{{var | Zielserver | {{var | Zielserver | ||
| Zielserver: | |||
| Target Server: }} | |||
{{var | Server anlegen | {{var | Server anlegen | ||
| Server anlegen | |||
| Create server }} | |||
{{var | Schritt 1 | {{var | Schritt 1 | ||
| Schritt 1 - Intern | |||
| Step 1 - Internal }} | |||
{{var | Schritt 1--desc | {{var | Schritt 1--desc | ||
| Im Schritt 1 wird eingerichtet, welcher Host im internen Netzwerk über welchen Port vom Reverse-Proxy angesprochen werden soll. | |||
| In step 1, it is set up which host in the internal network is to be addressed by the reverse proxy via which port. }} | |||
{{var | Port--desc | {{var | Port--desc | ||
| Der Webserver soll über eine Verschlüsselte Verbindung angesprochen werden. | |||
| The web server should be accessed via an encrypted connection. }} | |||
{{var | SSL benutzen | {{var | SSL benutzen | ||
| SSL benutzen: | |||
| Use SSL: }} | |||
{{var | Ja | |||
| Ja | |||
| Yes }} | |||
{{var | SSL benutzen--desc | {{var | SSL benutzen--desc | ||
| SSL sollte unbedingt aktiviert sein | |||
| SSL should definitely be activated }} | |||
{{var | Zielserver--Server anlegen--desc | {{var | Zielserver--Server anlegen--desc | ||
| Sollte der Exchange Server noch nicht als Netzwerkobjekt existieren, kann er über den Auswahlpunkt {{Button|Server anlegen|dr}} im Assistenten angelegt werden. | |||
| If the Exchange Server does not yet exist as a network object, it can be created via the selection point {{Button|new server|dr}} in the wizard. }} | |||
{{var | Schritt 1 Netzwerkobjekt anlegen--Bild | {{var | Schritt 1 Netzwerkobjekt anlegen--Bild | ||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 1 Server anlegen.png | |||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 1 Server anlegen-en.png }} | |||
{{var | Schritt 1 Netzwerkobjekt anlegen--cap | {{var | Schritt 1 Netzwerkobjekt anlegen--cap | ||
| Zielserver existiert noch '''nicht''' als Netzwerkobjekt | |||
| Target server does '''not''' yet exist as a network object }} | |||
{{var | Servername | {{var | Servername | ||
| Servername: | |||
| Server name: }} | |||
{{var | Servername--desc | {{var | Servername--desc | ||
| Name des Netzwerkobjektes.<br> Der Servername des Netzwerkobjekts kann bei der Neuanlage frei gewählt werden, darf jedoch noch nicht bei anderen Objekten in Verwendung sein. Eine sinnvolle Namenskonventionen sollte berücksichtigt und eingehalten werden. Da hier für den Webserver mit der Homepage die Verbindung konfiguriert und das Ziel später auch als "www.ttt-pint.de" zu erreichen sein soll, wird diese Bezeichnung auch für das Netzwerkobjekt verwendet. | |||
| Name of the network object.<br> The server name of the network object can be freely selected when creating a new object, but must not already be in use with other objects. A meaningful name conventions should be considered and kept. Since here for the Web server with the homepage the connection is configured and the goal is to be attainable later also as "www.ttt-pint.de", this designation is used also for the network object. }} | |||
| Name of the network object }} | |||
{{var | IP-Adresse | {{var | IP-Adresse | ||
| IP-Adresse: | |||
| IP address: }} | |||
{{var | IP-Adresse--desc | {{var | IP-Adresse--desc | ||
| IP-Adresse des Webservers | |||
| IP address of the webserver }} | |||
{{var | Zone | {{var | Zone | ||
| Zone: | |||
| Zone: }} | |||
{{var | Zone--desc | {{var | Zone--desc | ||
| Zone des Netzwerkobjektes.<br>Die Zone wird automatisch eingetragen, wenn die IP-Range der UTM bekannt ist. | |||
| Zone of the network object.<br>The zone is entered automatically if the IP range of the UTM is known. }} | |||
| Zone of the network object }} | |||
{{var | Zone--Hinweis | {{var | Zone--Hinweis | ||
| Wir empfehlen grundsätzlich Systeme, die von außen erreichbar sind, in einem eigenen Netzwerk mit eigener Zone aufzustellen. | |||
| It is recommended to set up the server in its own network with its own zone. }} | |||
{{var | Schritt 2 | {{var | Schritt 2 | ||
| Schritt 2 - Extern | |||
| Step 2 - External }} | |||
{{var | Schritt 2--desc | {{var | Schritt 2--desc | ||
| Eingehende Verbindung definieren | |||
| Define incoming connection }} | |||
{{var | Externer Domainname | {{var | Externer Domainname | ||
| Externer Domainname: | |||
| External domain name: }} | |||
{{var | Externer Domainname--desc | {{var | Externer Domainname--desc | ||
| Hier wird eingetragen, wie der Server hinter der UTM angesprochen wird | |||
| Here you enter how the server behind the UTM is addressed }} | |||
{{var | Externer Domainname--Hinweis-IP | {{var | Externer Domainname--Hinweis-IP | ||
| Es kann hier auch die öffentliche IP-Adresse eingetragen werden, die der Client aus dem Internet aufruft. Allerdings ist es dann nicht möglich über zusätzliche Subdomains weitere einzelne Server zu unterscheiden. | |||
| The public IP address that the client calls up from the Internet can also be entered here. However, it is then not possible to distinguish further individual servers via additional subdomains. }} | |||
{{var | Schritt 2--Bild | {{var | Schritt 2--Bild | ||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 2.png | |||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 2-en.png }} | |||
{{var | Schritt 2--cap | {{var | Schritt 2--cap | ||
| Konfiguration des externen Zugriffs, damit der Reverse-Proxy auf Anfragen reagiert | |||
| Configuring external access so that the reverse proxy responds to requests }} | |||
{{var | Modus | {{var | Modus | ||
| Modus | |||
| Mode }} | |||
{{var | Modus--desc | {{var | Modus--desc | ||
| Der Zugriff soll ausschließlich verschlüsselt über ''https'' erfolgen. | |||
| Access shall be exclusively encrypted via ''https''. }} | |||
{{var | SSL-Proxy Port--desc | {{var | SSL-Proxy Port--desc | ||
| Proxy-Port ist ebenfalls 443 | |||
| Proxy port is 443 as well }} | |||
{{var | SSL-Zertifikat | {{var | SSL-Zertifikat | ||
| SSL-Zertifikat: | |||
| SSL certificate: }} | |||
{{var | SSL-Zertifikat--desc | {{var | SSL-Zertifikat--desc | ||
| Das zuvor angelegte Wildcard-Zertifikat (siehe Abschnitt: [[#Vorbereitungen | ''Vorbereitungen'']]) | |||
| The certificate that was selected in the step ''Preparations'' is selected here. }} | |||
{{var | Weiter | {{var | Weiter | ||
| Weiter | |||
| Next }} | |||
{{var | Schritt 3 | {{var | Schritt 3 | ||
| Schritt 3 - Authentifizierung | |||
| Step 3 - Authentication }} | |||
{{var | Schritt 3--Bild | {{var | Schritt 3--Bild | ||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 3.png | |||
| UTM v12.3.6 Reverse-Proxy Assistent Schritt 3-en.png }} | |||
{{var | Schritt 3--cap | {{var | Schritt 3--cap | ||
| Keine Authentifizierung! | |||
| No authentication! }} | |||
| Authentication for access from the Internet }} | |||
{{var | Authentifizierung weiterleiten | {{var | Authentifizierung weiterleiten | ||
| Authentifizierung weiterleiten: | |||
| Forward authentication: }} | |||
{{var | Authentifizierung weiterleiten--val | {{var | Authentifizierung weiterleiten--val | ||
| Zugangsdaten festlegen | |||
| Provide login data}} | |||
{{var | Authentifizierung weiterleiten--desc | {{var | Authentifizierung weiterleiten--desc | ||
| Leitet fixe Zugangsdaten (hier: Keine) an den Reverse Proxy weiter.<br> Der Proxy soll keine Authentifizierung durchführen | |||
| The proxy should not perform authentication }} | |||
{{var | Anmeldename | {{var | Zugangsdaten festlegen--info | ||
| Die Zeichenfolge kann URL-Escapes enthalten (z. B. ''%20'' für Leerzeichen). <br>Das bedeutet auch, dass % als %% geschrieben werden muss. | |||
| The string can include URL escapes (i.e. ''%20'' for spaces). <br>This also means % must be written as %%. }} | |||
{{var | Zugangsdaten Weiterleiten-Client--val | |||
| Zugangsdaten Weiterleiten (Client) | |||
| }} | |||
{{var | Zugangsdaten Weiterleiten-Client--desc | |||
| Leitet die Authentifizierungs-Header des Clients an die Gegenstelle weiter. <br>Von der UTM empfangene Anmeldedaten werden an den Reverse Proxy gesendet. <br>{{Alert}} Dadurch wird das Proxy-Passwort des Benutzers für die Gegenstelle sichtbar. <br> Eine Authentifizierung ist bei dieser Option nicht erforderlich. | |||
| }} | |||
{{var | Zugangsdaten Weiterleiten-Client-Proxy--val | |||
| Zugangsdaten Weiterleiten (Client & Proxy) | |||
| }} | |||
{{var | Zugangsdaten Weiterleiten-Client-Proxy--desc | |||
| Proxy- und Authentifizierung-Header werden unverändert weitergeleitet<br>Sendet die vom Client empfangenen Anmeldedaten an den Reverse Proxy. Sowohl Proxy- als auch WWW-Authorization-Header werden ohne Änderung an die Gegenstelle weitergegeben. | |||
| }} | |||
{{var | Anmeldename | |||
| Anmeldename | |||
| Login name }} | |||
{{var | Anmeldename--desc | {{var | Anmeldename--desc | ||
| Leer | |||
| Blank }} | |||
{{var | Passwort | {{var | Passwort | ||
| Passwort | |||
| Password }} | |||
{{var | Passwort--desc | {{var | Passwort--desc | ||
| Leer | |||
| Blank }} | |||
{{var | Authentifizierung | {{var | Authentifizierung | ||
| Authentifizierung: | |||
| Authentication: }} | |||
{{var | aus | {{var | aus | ||
| aus | |||
| off }} | |||
{{var | Authentifizierung--desc | {{var | Authentifizierung--desc | ||
| Authentifizierung ist bei einem Webserver, der die öffentliche Homepage vorhält nicht sinnvoll. | |||
| Authentication is not useful for a web server that maintains the public home page. }} | |||
{{var | Fertig | {{var | Fertig | ||
| Fertig | |||
| Finish }} | |||
{{var | Servergruppen | {{var | Servergruppen | ||
| Servergruppen | |||
| Server groups }} | |||
{{var | Servergruppen--desc | {{var | Servergruppen--desc | ||
|* Es wird automatisch eine Servergruppe angelegt | |||
* neue Servergruppen können hinzugefügt werden | * neue Servergruppen können hinzugefügt werden | ||
* Vorhandene Servergruppen können mit weiteren | * Vorhandene Servergruppen können mit weiteren Servern erweitert werden | ||
| * A server group is created automatically | |||
* New server groups can be added | |||
* Existing server groups can be extended with additional servers }} | |||
{{var | Servergruppen--Hinweis--desc | {{var | Servergruppen--Hinweis--desc | ||
| Ein Portforwarding ermöglicht eine 1:1 Beziehung, die Verbindung wird an einen Server weitergeleitet. | |||
Bei einem Reverse-Proxy ist das anders, hier gibt es die Beziehungen: | Bei einem Reverse-Proxy ist das anders, hier gibt es die Beziehungen:<br> | ||
* 1:1 - Eine Domäne/IP : Ein Server | * 1:1 - Eine Domäne/IP : Ein Server | ||
* 1:N - Eine Domäne/IP : Mehrere Server (Load Balancing) | * 1:N - Eine Domäne/IP : Mehrere Server (Load Balancing) | ||
* N:1 - Mehrere Domänen/IPs : Ein Server | * N:1 - Mehrere Domänen/IPs : Ein Server | ||
* N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing) | * N:M - Mehrere Domänen/IPs : Mehrere Server (Load Balancing)<br> | ||
Nun ist auch klar, warum sich die Server in Gruppen befinden. Sie können, müssen aber nicht mehrere Objekte in diese Gruppen legen. | |||
Nun ist auch klar warum sich die Server in Gruppen befinden | | A port forwarding allows a 1:1 relationship, the connection is forwarded to a server. | ||
With a reverse proxy it is different, these are the relationships:<br> | |||
* 1:1 - One domain/IP : One server | |||
* 1:N - One domain/IP : Multiple servers (load balancing) | |||
* N:1 - Multiple domains/IPs : One server | |||
* N:M - Multiple Domains/IPs : Multiple Servers (Load Balancing)<br> | |||
Now it is also clear, why the servers are in groups. You can, but do not have to put multiple objects in these groups. }} | |||
{{var | Servergruppen--Hinweis | {{var | Servergruppen--Hinweis | ||
| Servergruppen Hinweis | |||
| Server groups note }} | |||
{{var | Servergruppen--Bild | {{var | Servergruppen--Bild | ||
| UTM v12.1 ReverseProxy Servergruppen.png | |||
| UTM v12.1 ReverseProxy Servergruppen-en.png }} | |||
{{var | Servergruppen--cap | {{var | Servergruppen--cap | ||
| Automatisch angelegte Servergruppe | |||
| Automatically created server group }} | |||
{{var | Servergruppen bearbeiten--Schaltfläche | {{var | Servergruppen bearbeiten--Schaltfläche | ||
| Mit der Schaltfläche {{Button||w}} lässt sich eine Servergruppe bearbeiten. | |||
| The {{Button||w}} button can be used to edit a server group. }} | |||
{{var | Servergruppen bearbeiten | {{var | Servergruppen bearbeiten | ||
| Servergruppen bearbeiten | |||
| Edit server groups }} | |||
{{var | Servergruppen bearbeiten--Bild | {{var | Servergruppen bearbeiten--Bild | ||
| UTM v12.3.6 Reverse-Proxy Servergruppe bearbeiten.png | |||
| UTM v12.3.6 Reverse-Proxy Servergruppe bearbeiten-en.png }} | |||
{{var | Servergruppen bearbeiten--cap | |||
| Beispiel mit verschiedenen TLS-Versionen und Cipher-Suiten | |||
| Example with different TLS versions and cipher suites }} | |||
{{var | Servergruppen bearbeiten--desc | {{var | Servergruppen bearbeiten--desc | ||
| Mit der Schaltfläche {{Button|Server hinzufügen|+}} lässt sich die Servergruppe erweitern. | |||
| The {{Button|Add Server|+}} button can be used to expand the server group. }} | |||
{{ | |||
{{var | ACL Sets--Bild | {{var | ACL Sets--Bild | ||
| Rp-www-acl.png | |||
| Rp-www-acl-en.png }} | |||
{{var | ACL Sets--desc | {{var | ACL Sets--desc | ||
| ACLs - Zugriffsrechte<br>Über ACLs lassen sich Zugriffsrechte zuweisen. | |||
| ACLs - Access rights<br>Access rights can be assigned via ACLs. }} | |||
{{var | req_header--desc | {{var | req_header--desc | ||
| Filter auf den Header des Clients (Es könnte z. B. der Browser bestimmt werden) | |||
| Filter on the header of the client (It could be determined, for example, the browser). }} | |||
{{var | src--desc | {{var | src--desc | ||
| Gibt die Quell IP des Clients an (87.139.55.127/255.255.255.255) | |||
| Specifies the source IP of the client (87.139.55.127/255.255.255.255) }} | |||
{{var | dstdomain--desc | {{var | dstdomain--desc | ||
| Gibt die Domäne/IP des Ziel-Servers an (www.ttt-point.de oder IP-Adresse) | |||
| Specifies the domain/IP of the destination server (www.ttt-point.de or IP address). }} | |||
{{var | dstdom_regex--desc | {{var | dstdom_regex--desc | ||
| Regex auf die Ziel-Domäne (<nowiki>.*\ttt-point\.(de|com)</nowiki>) | |||
| Regex to the target domain (<nowiki>.*\ttt-point\.(en|com)</nowiki>) }} | |||
{{var | srcdomain--desc | {{var | srcdomain--desc | ||
| Gibt die Domäne des Absenders an (anyideas.de) | |||
| Specifies the domain of the sender (anyideas.com) }} | |||
{{var | srcdom_regex--desc | {{var | srcdom_regex--desc | ||
| Regex auf die Domäne (anyideas) | |||
| Regex to the domain (anyideas) }} | |||
{{var | urlpath_regex--desc | {{var | urlpath_regex--desc | ||
| Regex für Pfade | |||
| Regex for paths }} | |||
{{var | proto--desc | {{var | proto--desc | ||
| Protokoll (http, https) | |||
| Protocol (http, https) }} | |||
{{var | time--desc | {{var | time--desc | ||
| Zeitangabe (M T W H F 9:00-17:00) | |||
| Time specification (M T W H F 9:00-17:00) }} | |||
{{var | Days of the Week | {{var | Days of the Week | ||
| Wochentage | |||
| Days of the Week }} | |||
{{var | Days of the Week--desc | {{var | Days of the Week--desc | ||
| S - Sonntag<br> | |||
M - Monday | M - Montag<br> | ||
T - Tuesday | T - Dienstag<br> | ||
W - Wednesday | W - Mittwoch<br> | ||
H - Thursday | H - Donnerstag<br> | ||
F - Friday | F - Freitag<br> | ||
A - Saturday | A - Samstag<br> | ||
D - All weekdays | D - jeden Werktag | ||
| S - Sunday<br> | |||
M - Monday<br> | |||
T - Tuesday<br> | |||
W - Wednesday<br> | |||
H - Thursday<br> | |||
F - Friday<br> | |||
A - Saturday<br> | |||
D - All weekdays<br> }} | |||
{{var | Sites | {{var | Sites | ||
| Sites | |||
| Sites }} | |||
{{var | Sites--Bild | {{var | Sites--Bild | ||
| Rp-www-SITE.png | |||
| Rp-www-SITE-en.png }} | |||
{{var | Sites--desc | {{var | Sites--desc | ||
| Hier können nun die Zuweisungen von den ACLs, der Aktion "Allow/Deny", der Reihenfolge, den Verteilungsalgorithmus sowie der Bandbreite für dem Server erfolgen.<br> Die ACLs werden der Reihenfolge nach abgearbeitet, man kann sie entweder zulassen "Allow" oder verweigern "Deny". | |||
| Now the assignments of the ACLs, the action "Allow/Deny", the order, the distribution algorithm, as well as the bandwidth for the server can be made.<br> The ACLs are processed in order, you can either allow them "Allow" or deny them "Deny". }} | |||
Die ACLs werden der Reihenfolge nach abgearbeitet, man kann sie entweder zulassen "Allow" oder verweigern "Deny". | |||
{{var | Sites-Reihenfolgehinweis | {{var | Sites-Reihenfolgehinweis | ||
| Die ACLs vom Typ "Deny" sollten in der Reihenfolge vor den "Allow" ACLs kommen. | |||
| In the order, the ACLs of the type "Deny" should come before the ACLs of the type "Allow". }} | |||
{{var | Einstellungen | {{var | Einstellungen | ||
| Einstellungen | |||
| Options }} | |||
{{var | Einstellungen--desc | {{var | Einstellungen--desc | ||
| Hier kann festgelegt werden ob HTTP/HTTPS oder beides verwendet werden soll, die Ports sowie das Zertifikat für den entsprechenden Server. | |||
| Here you can specify whether HTTP/HTTPS or both should be used, the ports and the certificate for the corresponding server. }} | |||
{{var | Einstellungen--Bild | {{var | Einstellungen--Bild | ||
| UTM v12.2.3 Reverse Proxy-Einstellungen.png | |||
| Rp-www-einstellungen-en.png }} | |||
{{var | | {{var | Portfilter | ||
| Portfilter-Regel | |||
| Portfilter rule }} | |||
{{var | | {{var | Portfilter--desc | ||
| Damit der Reverse Proxy erreichbar ist, muss folgende Portfilter-Regel vorhanden sein. Unter {{Menu|Firewall|Portfilter}} kann dies überprüft werden. Falls diese nicht vorhanden ist, wird mit {{button|Regel hinzufügen|+}} diese Regel hinzugefügt. | |||
| For the reverse proxy to be reachable, the following port filter rule must be in place. This can be checked under {{Menu|Firewall|Port filter}}. If this is not present, {{button|Add rule|+}} will add this rule. }} | |||
{{var | | {{var | Portfilter HTTP--Hinweis | ||
| Gegebenenfalls muss diese Portfilterregel auch mit dem Dienst {{spc|tcp|o|-}} '''http''' erstellt werden. | |||
| If necessary, this port filter rule must also be created using the {{spc|tcp|o|-}} '''http''' service. }} | |||
{{var | | {{var | Quelle | ||
| Quelle | |||
| Source }} | |||
{{var | | {{var | Ziel | ||
| Ziel | |||
| Destination }} | |||
{{var | | {{var | Dienst | ||
| Dienst | |||
| Service }} | |||
{{var | | {{var | Aktion | ||
| Aktion | |||
| Action }} | |||
{{var | | {{var | Aktiv | ||
| Aktiv | |||
| Active }} | |||
{{var | | {{var | Erweiterte Einstellungen | ||
| Erweiterte Einstellungen | |||
| Advanced settings }} | |||
{{var | | {{var | Erweiterte Einstellungen--Hinweis | ||
| Diese TLS Einstellungen gelten für die Verbindung '''zwischen dieser Appliance und dem''' (lokalen) '''Server'''. <br>Für TLS Einstellungen '''zwischen den Clients und dieser Appliance''' gelten die Einstellungen im Dialog {{Menu|Authentifizierung|Verschlüsselung|Reverse-Proxy}} | |||
| These TLS settings apply to the connection '''between this appliance and the''' (local) '''server'''. <br>For TLS settings '''between the clients and this appliance''', the settings in the {{Menu|Authentication|Encryption|Reverse-Proxy}} dialog apply. }} | |||
{{var | | {{var | Standard TLS Einstellungen verwenden | ||
| Standard TLS Einstellungen verwenden: | |||
| Use default TLS settings: }} | |||
{{var | | {{var | Standard TLS Einstellungen verwenden--desc | ||
| Lässt nur Verbindungen mit TLS 1.2 oder 1.3 zu | |||
| Allows connections with TLS 1.2 or 1.3 only }} | |||
{{var | Minimale TLS Version | |||
| Minimale TLS Version: | |||
| Minimal TLS version: }} | |||
{{var | Standardwert verwenden | |||
| Standardwert verwenden | |||
| Use default value }} | |||
{{var | Minimale TLS Version--desc | |||
| Es lassen sich die ''veralteten'' TLS-Versionen 1.1 und 1.0 auswählen | |||
| The ''outdated'' TLS versions 1.1 and 1.0 can be selected. }} | |||
{{var | Cipher-Suite | |||
| Cipher-Suite: | |||
| Cipher-Suite: }} | |||
{{var | Cipher-Suite--desc | |||
| Um direkt ein [https://www.openssl.org/docs/man1.1.1/man3/SSL_CTX_set_security_level.html OpenSSL Sicherheitslevel] zu verwenden, kann die Notation ''@SECLEVEL=N'' im Cipherstring verwendet werden, wobei N für das gewählte Level von 0 bis 5 steht. | |||
| Note that to directly use a [https://www.openssl.org/docs/man1.1.1/man3/SSL_CTX_set_security_level.html OpenSSL security level], the notation ''@SECLEVEL=N'' can be used in the cipher string, where N represents the selected level from 0 to 5. }} | |||
{{var | Cipher-Suite--Hinweis | |||
| Damit kann auch das Sicherheitslevel 0 für Server verwendet werden, das '''veraltete und unsichere Algorithmen''' anbietet. Dies wird ausdrücklich '''nicht empfohlen''', stattdessen sollte der Server aktualisiert werden. | |||
| This can also be used with the security level 0 for servers, which offers '''outdated and insecure algorithms'''. This is strongly '''not recommended''', instead the server should be updated. }} | |||
{{var | Cipher-Suite Angabe | |||
| Ein bestimmter Cipher oder ''Default'' müssen noch mit angegeben werden. | |||
| A specific cipher or ''default'' must still be specified. }} | |||
{{var | 1=Cipher-Suite Angabe--Beispiel | |||
| 2=* Beispiele: | |||
** ''DEFAULT@SECLEVEL=0'' | |||
** ''ECDHE-RSA-AES256-SHA@SECLEVEL=0'' | |||
| 3=* Examples: | |||
** ''DEFAULT@SECLEVEL=0'' | |||
** ''ECDHE-RSA-AES256-SHA@SECLEVEL=0'' }} | |||
---- | ---- | ||
{{var | | {{var | | ||
| | |||
| }} | |||
</div> | </div> | ||
UTM/APP/Reverse Proxy.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki