UTM/RULE/Multi-IP: Unterschied zwischen den Versionen

Aktuelle Version vom 30. Januar 2024, 08:39 Uhr

NAT mit mehreren öffentlichen IPs an einer externen Schnittstelle

Letzte Anpassung zur Version: 12.6.0

Neu:

Aktualisierung zum Redesign des Webinterfaces

notempty

Dieser Artikel bezieht sich auf eine Resellerpreview

02.2023

Einleitung

In diesem Artikel wird das Anlegen und Konfigurieren eines Netzwerkobjektes beschrieben, um bei Vorhandensein mehrerer öffentlicher IP-Adressen eine Portumleitung oder Portweiterleitung über eine bestimmte IP-Adresse zu konfigurieren.

Eine Portumleitung oder Portweiterleitung wird nur auf die kleinste IP-Adresse auf einem Netzwerkobjekt angewendet.

Um also gezielt auf eine andere IP-Adressen angewendet zu werden, ist es nötig, zusätzliche Netzwerkobjekte einzurichten:

Szenario:
- Zugeteiltes Netz: 198.51.100.48/29
- IP-Adresse 1: 198.51.100.49/29
- IP-Adresse 2: 198.51.100.50/29

Vorbereitung

Schnittstelle bearbeiten UTMbenutzer@firewall.name.fqdnNetzwerkNetzwerkkonfiguration Netzwerk Netzwerkkonfiguration Bereich Netzwerkschnittstellen Schaltfläche → IP-Adressen
Die IP-Adressen auf der Schnittstelle müssen hier eingetragen sein

Anlegen eines Neuen Netzwerkobjektes

Anlegen eines neuen Netzwerkobjektes mit Firewall Netzwerkobjekte Schaltfläche Objekt hinzufügen

Beschriftung	Wert	Beschreibung	Netzwerkobjekt hinzufügen UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Name:	external-interface-IP2	Beliebiger, eindeutiger Name
Typ:	Statische Schnittstelle
IP-Adresse:	198.51.100.50/29	Auswahl der zu konfigurierende IP (wird im folgenden Schritt angepasst)
Zone:	firewall-external
Gruppe:		ggf. eine Gruppe, der diese Schnittstelle zugeordnet werden soll
Speichern und schließen und erneut aufrufen mit

Adresse:	198.51.100.51/32	Ändern der Subnetzmaske /29 in /32, damit nur diese IP angesprochen wird!	Netzwerkobjekt bearbeiten UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Speichern und schließen

Nach dem Netzwerkobjekt external-interface suchen und auf die Schaltfläche klicken
notempty Das external-Interface muss bearbeitet werden, damit es in weiteren, allgemeinen Regeln nur auf diese IP wirkt und nicht versehentlich die andere IP mit Regeln versorgt.
Adresse:	198.51.100.49/32	Eingabe der 1. IP-Adresse auf der bestehenden Schnittstelle (Wechsel zum Suffix mit Tabulator-Taste) Bestehende Adresse 0.0.0.0/0 trifft auf alle IP-Adressen zu!	Netzwerkobjekt bearbeiten UTMbenutzer@firewall.name.fqdnFirewallNetzwerkobjekte
Speichern und schließen notempty Für jede weitere IP-Adresse muss ein weiteres eigenes Netzwerkobjekt erstellt werden!

Anlegen einer Paketfilter-Regel

Anlegen einer neuen Paketfilter Regel unter Firewall Paketfilter Schaltfläche Regel hinzufügen:

Beschriftung	Wert	Beschreibung	Regel für Portweiterleitung
Quelle:	internet	Als Quelle das Internet auswählen
Ziel:	Server1	Gewünschtes Ziel auswählen, als Beispiel hier das Netzwerkobjekt Server1
Dienst:	https	Gewünschter Dienst/Port. Hier: Port 8080 (https)
Aktion:	ACCEPT	Accept auswählen
[ - ] NAT
Typ:	DESTNAT	Als Typ Destnat auswählen
Netzwerkobjekt:	external-interface-IP2	Schnittstelle, die mit der gewünschten IP konfiguriert wurde
Dienst:	https	Gewünschter Dienst / Port
Speichern und schließen → Regeln aktualisieren

@@ Zeile 1: / Zeile 1: @@
 {{Set_lang}}
+{{#vardefine:headerIcon|spicon-utm}}
+{{:UTM/RULE/Multi-IP.lang}}
-</div>{{DISPLAYTITLE:Multi-IP}}{{TOC2}}
+</div><div class="new_design"></div>{{TOC2}}{{Select_lang}}
-<p>'''IP-Weiterleitungen und IP-Umleitungen mit mehreren öffentlichen IPs an einer externen Schnittstelle.'''</p>
+{{Header|12.6.0|
+* {{#var:neu--rwi}}
+|[[UTM/RULE/Multi-IP_02.2023 | 02.2023]]
+|4=<div>1.) {{Menu-UTM|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|{{#var:Netzwerkschnittstellen}}||w}} {{#var:Bereich}} {{Reiter| {{#var:IP-Adressen}}}}&emsp;<br>2.) {{Menu-UTM|Firewall|{{#var:Netzwerkobjekte}}}}&emsp;</div> }}
-{{td | Neuer Artikel |
+----
-* Best Practice | w=80px}}
+=== {{#var:Einleitung}} ===
+<div class="Einrücken">
+{{#var:Einleitung--desc}}
+</div><br clear=all>
+----
-<p>In diesem Artikel wir das Anlegen und Konfigurieren eines Netzwerkobjektes beschrieben, um bei Vorhandensein mehrerer öffentlicher IPs eine Portumleitung oder Portweiterleitung für eine IP zu konfigurieren.<p>
+=== {{#var:Vorbereitung}} ===
-<p>{{Hinweis|!}}Eine Portumleitung oder Portweiterleitung wird nur auf die kleinste IP auf einem Netzwerkobjekt angewendet.<br>
+<div class="Einrücken">
-Um also gezielt auf eine dedizierte IP angewendet zu werden, ist es nötig, zusätzliche Netzwerkobjekte einzurichten:
+{{Bild|{{#var:Netzwerkkonfiguration_IP-Adressen--Bild}}| ||{{#var:Schnittstelle bearbeiten}}|{{#var:Netzwerk}}|{{#var:Netzwerkkonfiguration}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close|class=Bild-t}}
-Szenario:
+{{#var:IP-Adressen auf der Schnittstelle}}
-* Zugeteiltes Netz: 198.51.100.48/29
+<br clear=all>
-* IP 1: 198.51.100.49/29
+</div>
-* IP 2: 198.51.100.50/29
+----
-=== Anlegen eines Neuen Netzwerkobjektes ===
+=== {{#var:Anlegen eines Neuen Netzwerkobjektes--desc}} ===
+<div class="Einrücken">
-{{pt2 | UTM_v11.8.5_Netzwerk_Netzwerkkonfiguration_IP-Adressen.png }}
+{{#var:Anlegen Netzwerkobjekt}}
-Die IP-Adressen auf der Schnittstelle müssen unter {{Menu|Netzwerk | Netzwerkkonfiguration}} → {{Reiter|Netzwerkschnittstellen}} →  {{Button| Schnittstelle bearbeiten | w}} → {{Reiter | IP-Adressen}} eingetragen sein
 <br clear=all>
-{{pt2| UMT_v11.8.5_Rule_Interface1.png | hochkant=1 }}
+{| class="sptable2 pd5 zh1"
-Anlegen eines neuen Netzwerkobjektes mit {{Menu | Firewall | Portfilter}} → {{Reiter | Netzwerkobjekte}} → {{Button| + Objekt hinzufügen}}
+! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
+| class="Bild" rowspan="8" | {{Bild|{{#var:Rule_Interface1--Bild}}| ||{{#var:Netzwerkobjekt hinzufügen}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-save|icon2=fa-floppy-disk-circle-xmark|icon3=fa-close}}
+|-
+| {{b|{{#var:Name}} }} || class=mw14 | {{ic | {{#var:external-interface-IP2}} |class=available}} || {{#var:eindeutiger Name}}
+|-
+| {{b|{{#var:Typ}} }} ||  {{Button | {{#var:Statische Schnittstelle}} |dr|class=available}} || class=border-top-none-xs |
+|-
+| {{b|{{#var:IP-Adresse}}}} || {{Button| {{#var:IP-Adresse--exp}}|dr|class=available}} || {{#var:Auswahl konfigurierende IP}}
+|-
+| {{b|{{#var:Zone}}}} ||  {{Button | {{#var:firewall-external}} |dr|class=available}} || class=border-top-none-xs |
+|-
+| {{b|{{#var:Gruppe}}}} || {{ ic |&emsp;&emsp;&emsp;&emsp; |cb|class=available}} || {{#var:Schnittstelle zugeordnet}}
+|- class="Leerzeile"
+| colspan="3"| <br/>{{#var:Speichern und Aufruf}}
+|- class="Leerzeile"
+|
+|-
+|{{b|{{#var:Adresse}} }} || {{ic | {{#var: IP-Adresse-32--exp}} |dr|class=available}} ||  class="border-bottom" |{{#var:IP-Adresse-Hinweis}}
+| rowspan="2" class="Bild" | {{Bild|{{#var:Rule_Interface2--Bild}}| ||{{#var:Netzwerkobjekt bearbeiten}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+|- class="Leerzeile"
+| colspan="3"| {{Button-dialog||fa-floppy-disk-circle-xmark|hover={{#var:Speichern und schließen}}}}
+|- class="Leerzeile"
+|
+|-
+| class="Leerzeile" colspan="3"| {{#var:external}}
+|-
+| class="Leerzeile" colspan="3"| {{Hinweis-box|{{#var:external--Hinweis}}|gelb|fs__icon=em2}}
+|-
+| {{b|{{#var:Adresse}} }} || {{ic | {{#var:IP-Adresse-4932--exp}} |dr|class=available}} ||  class="border-bottom" | {{#var:Eingabe IP-Adresse}}
+| rowspan="2" class="Bild"| {{Bild|{{#var:Rule Interface4--Bild}}| ||{{#var:Netzwerkobjekt bearbeiten}}|Firewall|{{#var:Netzwerkobjekte}}|icon=fa-floppy-disk-circle-xmark|icon2=fa-close}}
+|- class="Leerzeile"
+| class="noborder" colspan="3" | <br/>{{#var:Speichern und eigenes Netzwerkobjekt}}
+|}
+</div><br clear=all>
+----
+=== {{#var:Anlegen einer Paketfilter-Regel--desc}} ===
-{| class="sptable"
+<div class="Einrücken">
-! Beschriftung !! Wert !! Beschreibung
+{{#var:Regel konfigurieren}}
+{| class="sptable2 pd5 zh1"
+! {{#var:Beschriftung}} !! {{#var:Wert}} !! {{#var:Beschreibung}}
+| class="Bild" rowspan="11"| {{Bild| {{#var:Rule_Portweiterleitung_2IPs--Bild}} | {{#var:Regel für Portweiterleitung--cap}} }}
+|-
+| {{b|{{#var:Quelle}} }} || {{ic|{{spc|world|o|internet}}|dr|class=available}} || {{#var:Quelle--desc}}
 |-
-| {{b|Name}} || {{ic | external-interface-IP2 |w=x}} || Beliebiger, eindeutiger Name
+| {{b|{{#var:Ziel}} }} || {{ic|{{spc|net|o|Server1}}|dr|class=available}} ||{{#var:Gewünschtes Ziel}}
 |-
-| {{b|Typ}} || {{Button | Statische Schnittstelle |dr}} ||
+| {{b|{{#var:Dienst}} }} || {{ic|{{spc|tcp|o|https}}|dr|class=available}} || {{#var:Dienst Port 8080}}
 |-
-| {{b|IP-Adresse}} || {{Button| 198.51.100.50/29|dr}} || Auswahl der zu konfigurierende IP (wird im folgenden Schritt angepasst)
+| {{b|{{#var:Aktion}} }} || {{button|ACCEPT|dr|class=available}} || {{#var:Aktion--desc}}
+<!--
 |-
-| {{b|Zone}} || {{Button | firewall-external |dr}} ||
+| {{b|Logging:}} || {{button|{{#var:Short}}|dr|class=available}} || {{#var:Logging--desc}}
 |-
-| {{b|Grupp}} || {{ Button | |dr}} || ggf. eine Gruppe, der diese Schnittstelle zugeordnet werden soll
+| {{b|{{#var:Gruppe}} }} || {{button|default|dr|class=available}} || {{#var:Gruppe--desc}}
+-->
+|- class="noborder"
+|  colspan="3"| {{Kasten|[ - ] NAT}}
 |-
-| class="Leerzeile" | <br/>{{Button | Speichern}} und erneut aufrufen mit {{Button | |w}}
+| {{b|{{#var:Typ Kasten}} }} || {{Button|DESTNAT|dr|class=available}} || {{#var:Typ Kasten--desc}}
 |-
-|{{b|Adresse}} || {{Button | 198.51.100.51/'''32'''}} || {{Hinweis|!|gelb}}Ändern der Subnetzmaske /29 in /32, damit nur diese IP angesprochen wird!
+| {{b|{{#var:Netzwerkobjekt}} }} || {{ic|{{spc|interface|o|external-interface-IP2}}|dr|class=available}} || {{#var:Schnittstelle gewünschte IP}}
 |-
-| class="Leerzeile" | <br/>{{Button | Speichern}}
+| {{b|{{#var:Dienst}} }} || {{ic|{{spc|tcp|o|https}}|dr|class=available}} || {{#var:Dienst-Port}}
+|- class="Leerzeile"
+| colspan=3 | {{#var:Schließen und aktualisieren}}
+|- class="Leerzeile"
+|
+|}
+<br/>
+</div><br clear=all>