KKeine Bearbeitungszusammenfassung |
KKeine Bearbeitungszusammenfassung |
||
| Zeile 5: | Zeile 5: | ||
{{var | display | {{var | display | ||
| Portumleitung Intern (hairpinning) | |||
| Port redirection Internal (hairpinning) }} | |||
{{var | head | {{var | head | ||
| Portweiterleitung aus internem Netz über externe IP auf internen Server <br>(''hairpinning'' - auch als ''NAT loopback'' oder ''NAT reflection'' bezeichnet) | |||
| Port forwarding from internal network via external IP to internal server <br>(''hairpinning'' - also referred to as ''NAT loopback'' or ''NAT reflection''). }} | |||
{{var | Layoutanassung | {{var | Layoutanassung | ||
| Layoutanassung | |||
| Layout adjustment }} | |||
{{var | Ausgangslage | {{var | Ausgangslage | ||
| Ausgangslage | |||
| Initial situation }} | |||
{{var | Hinweis-Bridge | {{var | Hinweis-Bridge | ||
| Eine Portweiterleitung aus einem internen Netzwerk über eine externe IP-Adresse ist '''über eine Bridge nicht möglich'''. | |||
| Port forwarding from an internal network via an external IP address is '''not possible via a bridge'''. }} | |||
{{var | Hinweis-Bridge--desc | {{var | Hinweis-Bridge--desc | ||
| Abhilfe könnte hierbei die Einrichtung einer Forward-Zone im Nameserver der UTM schaffen, sofern die UTM als Nameserver für die internen Clients eingerichtet ist. <br>In diesem Fall verweist die externe URL, die von Intern aufgerufen wird direkt auf den Internen Ziel-Server.<br> | |||
Eine Anleitung zum einrichten der Forward-Zone befindet sich unter [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] im Nameserver Wiki. | Eine Anleitung zum einrichten der Forward-Zone befindet sich unter [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] im Nameserver Wiki. | ||
| This could be remedied by setting up a Forward-zone in the UTM's name server, provided the UTM is set up as a name server for the internal clients. <br>In this case, the external URL that is called from Internal points directly to the Internal target server.<br> Instructions on how to set up the Forward-zone can be found at [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] in the Nameserver Wiki.}} | |||
{{var | Ausgangslage--desc | {{var | Ausgangslage--desc | ||
|* Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter einer öffentlichen IP des Routers. | |||
* Eine '''Port Weiterleitung''' ist eingerichtet und wird dazu genutzt Anfragen, die auf '''bestimmte Ports der öffentlichen IP''' des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist. | * Eine '''Port Weiterleitung''' ist eingerichtet und wird dazu genutzt Anfragen, die auf '''bestimmte Ports der öffentlichen IP''' des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist. | ||
| * All computers are in a private network and hide behind a public IP of the router. | |||
* A '''port forwarding''' is set up and is used to forward requests directed to '''specific ports of the public IP''' of the router to the internal server so that it can be reached from the Internet. }} | |||
{{var | Ziel dieses Artikels | {{var | Ziel dieses Artikels | ||
| Ziel dieses Artikels: | |||
| Aim of this article: }} | |||
{{var | Ziel dieses Artikels--desc | {{var | Ziel dieses Artikels--desc | ||
| Ein interner Server soll aus dem internen Netz über die öffentliche IP der Firewall (mit entsprechender Portangabe) erreichbar sein.<br>Dieses wird mit Hilfe von ''hairpinning (auch als ''NAT loopback'' oder ''NAT reflection'' bezeichnet) bewerkstelligt.<br>Hierzu wird eine DestNAT- und eine HideNAT-Regel erstellt. | |||
| An internal server should be reachable from the internal network via the public IP of the firewall (with corresponding port specification).<br>This is accomplished with the help of ''hairpinning (also called ''NAT loopback'' or ''NAT reflection'').<br>For this purpose, a DestNAT and a HideNAT rule are created. }} | |||
{{var | Ziel dieses Artikels--Hinweis | {{var | Ziel dieses Artikels--Hinweis | ||
| '''TIPP''': Wenn aus dem internen Netz statt der IP ein DNS-Name aufgerufen UND die Firewall als Nameserver verwendet wird, ist das Anlegen eines A-Records der bessere Weg. <br>Hier muss die Firewall lediglich den Namen zu einer internen Adresse auflösen. <br>Die eigentliche Kommunikation geht dann nicht den Umweg über die Firewall sondern findet direkt zwischen Client und Server statt! <br>Ein entsprechendes How-To findet sich im Wikiartikel zum Nameserver im Abschnitt [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']]. | |||
| '''TIP''': If a DNS name is called from the internal network instead of the IP AND the firewall is used as name server, creating an A-record is the better way. <br>Here the firewall only has to resolve the name to an internal address. <br>The actual communication doesn't take the detour over the firewall but takes place directly between client and server! <br>A corresponding How-To can be found in the Wiki article on the name server in the section [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']]. }} | |||
{{var | Vorbemerkungen | {{var | Vorbemerkungen | ||
| Vorbemerkungen | |||
| Preliminary remarks }} | |||
{{var | Netzwerkobjekte anlegen | {{var | Netzwerkobjekte anlegen | ||
| Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind! | |||
| The creation of network objects and services must of course only take place if they do not yet exist on the firewall in the form described here! }} | |||
{{var | Konfiguration der Appliance | {{var | Konfiguration der Appliance | ||
| Konfiguration der Appliance | |||
| Configuration of the appliance }} | |||
{{var | Netzwerkobjekt anlegen | {{var | Netzwerkobjekt anlegen | ||
| Server als Netzwerkobjekt anlegen | |||
| Create server as network object }} | |||
{{var | Netzwerkobjekt anlegen--desc | {{var | Netzwerkobjekt anlegen--desc | ||
| Für eine Portweiterleitung muss zuerst der Server als Netzwerkobjekt angelegt werden. | |||
| For port forwarding, the server must first be created as a network object. }} | |||
{{var | Netzwerkobjekt anlegen--Bild | {{var | Netzwerkobjekt anlegen--Bild | ||
| UTM v12.2 Portfilter Netzwerkobjekt anlegen.png | |||
| UTM v12.2 Portfilter Netzwerkobjekt anlegen-en.png }} | |||
{{var | Netzwerkobjekt anlegen--cap | {{var | Netzwerkobjekt anlegen--cap | ||
| Netzwerkobjekt anlegen | |||
| Create network object }} | |||
{{var | Netzwerkobjekt anlegen--step-by-step | {{var | Netzwerkobjekt anlegen--step-by-step | ||
|* Anlegen im Menü {{Menu|Netzwerk|Portfilter|Netzwerkobjekte|Objekt hinzufügen|+}} | |||
* Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.<br>Folgende Angaben sind möglich: | * Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.<br>Folgende Angaben sind möglich: | ||
| * Create in the menu {{Menu|Network|Portfilter|Network objects|Add object|+}} | |||
* The input mask Add network object appears.<br>The following entries are possible: }} | |||
{{var | Name | {{var | Name | ||
| Name: | |||
| Name: }} | |||
{{var | Name--desc | {{var | Name--desc | ||
| Eindeutiger Name | |||
| Eindeutiger Name }} | |||
{{var | Typ | {{var | Typ | ||
| Typ | |||
| Type }} | |||
{{var | Typ--desc | {{var | Typ--desc | ||
| Ein einzelner Host soll angesprochen werden | |||
| A single host should be addressed }} | |||
{{var | Adresse | {{var | Adresse | ||
| Adresse: | |||
| Address: }} | |||
{{var | Adresse--desc | {{var | Adresse--desc | ||
| IP-Adresse aus dem internen Netz, über die der interne Server erreichbar ist | |||
| IP address from the internal network via which the internal server can be reached. }} | |||
{{var | Zone | {{var | Zone | ||
| Zone: | |||
| Zone: }} | |||
{{var | Zone--desc | {{var | Zone--desc | ||
| Zone, in welcher der Server steht (z.B.: ''internal'' oder ''dmz'') | |||
| Zone in which the server is located (e.g.: ''internal'' or ''dmz'') }} | |||
{{var | Gruppe | {{var | Gruppe | ||
| Gruppe: | |||
| Group: }} | |||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Optional, kann leer bleiben | |||
| Optional, can be left blank }} | |||
{{var | Firewall-Regeln für die Weiterleitung anlegen | {{var | Firewall-Regeln für die Weiterleitung anlegen | ||
| Firewall-Regeln für die Weiterleitung anlegen | |||
| Create firewall rules for forwarding }} | |||
{{var | Firewall-Regeln für die Weiterleitung anlegen--desc | {{var | Firewall-Regeln für die Weiterleitung anlegen--desc | ||
| Damit der entsprechende Port an den Server weitergeleitet wird, muss eine Portweiterleitung als Regel angelegt werden. Konfiguration im Menü {{Menu|Firewall|Portfilter|Portfilter|Regel hinzufügen|+}} | |||
| In order for the corresponding port to be forwarded to the server, a port forwarding rule must be created. Configuration in menu {{Menu|Firewall|Portfilter|Add rule|+}} }} | |||
{{var | Firewall-Regeln für die Weiterleitung anlegen--Bild | {{var | Firewall-Regeln für die Weiterleitung anlegen--Bild | ||
| UTM v12.2 Portfilter Port-Weiterleitung intern.png | |||
| UTM v12.2 Portfilter Port-Weiterleitung intern-en.png }} | |||
{{var | Firewall-Regeln für die Weiterleitung anlegen--cap | {{var | Firewall-Regeln für die Weiterleitung anlegen--cap | ||
| Portweiterleitung | |||
| Port forwarding}} | |||
{{var | Quelle | {{var | Quelle | ||
| Quelle | |||
| Source }} | |||
{{var | Quelle--desc | {{var | Quelle--desc | ||
| Quellnetzwerk, für das der Server erreichbar gemacht werden soll. | |||
| Source network for which the server is to be made accessible. }} | |||
{{var | Ziel | {{var | Ziel | ||
| Ziel | |||
| Goal }} | |||
{{var | Ziel--desc | {{var | Ziel--desc | ||
| Netzwerkobjekt des Zielservers (ggf. wie oben beschrieben zuvor angelegt). | |||
| Network object of the target server (created previously as described above, if necessary). }} | |||
{{var | Dienst | {{var | Dienst | ||
| Dienst | |||
| Service }} | |||
{{var | Dienst--desc | {{var | Dienst--desc | ||
| Dienst, der den gewünschten Port belegt.<br>Hier Port 443 → https | |||
| Service that occupies the desired port.<br>Here port 443 → https }} | |||
{{var | Dienst--individuell | {{var | Dienst--individuell | ||
| Wird ein individueller Port benötigt, muss dieser mit der Schaltfläche {{Button|1={{spc|cog2|o|-}}<span class="halflings halflings-triangle-bottom halflings-secondary halflings-size-14 ui-button-small"></span> }} / Auswahl {{ic|Objekt hinzufügen}} als Dienst neu angelegt werden. <br>Weitere Hinweise dazu im Artikel zum Portfilter, [[UTM/RULE/Portfilter#Dienst_hinzuf.C3.BCgen_.2F_bearbeiten | Abschnitt Dienste]]. | |||
| If an individual port is required, it must be selected with the button {{Button|1={{spc|cog2|o|-}}<span class="halflings halflings-triangle-bottom halflings-secondary halflings-size-14 ui-button-small"></span> }} / selection {{ic|Add object}} to be newly created as a service. <br>For more information, see the Port Filter article, [[UTM/RULE/Portfilter#Service_add.C3.BCgen_.2F_edit | Services section]]. }} | |||
{{var | Aktiv | {{var | Aktiv | ||
| Aktiv | |||
| Active }} | |||
{{var | Aktiv--desc | {{var | Aktiv--desc | ||
| Die Regel muss aktiviert sein. | |||
| The rule must be activated. }} | |||
{{var | Aktion | {{var | Aktion | ||
| Aktion | |||
| Action }} | |||
{{var | Aktion--desc | {{var | Aktion--desc | ||
| Die Aktion muss auf ''Accept (annehmen)'' stehen. | |||
| The action must be set to ''Accept''. }} | |||
{{var | Logging | {{var | Logging | ||
| Logging | |||
| Logging }} | |||
{{var | Logging--desc | {{var | Logging--desc | ||
| Das Logging kann aktiviert werden, um eventuelle Probleme besser nachverfolgen zu können. ' | |||
| Logging can be enabled to better track potential problems. ' }} | |||
{{var | Logging--val | {{var | Logging--val | ||
| Short - Drei Einträge pro Minute protokollieren | |||
| Short - Log three entries per minute }} | |||
{{var | Gruppe | {{var | Gruppe | ||
| Gruppe | |||
| Group }} | |||
{{var | Gruppe--desc | {{var | Gruppe--desc | ||
| Zur besseren Übersicht kann die Regel einer Gruppe zugeordnet werden. | |||
| For a better overview, the rule can be assigned to a group. }} | |||
{{var | NAT-Typ--desc | {{var | NAT-Typ--desc | ||
| NAT soll für das Zielnetzwerk durchgeführt werden | |||
| NAT should be performed for the target network }} | |||
{{var | Netzwerkobjekt | {{var | Netzwerkobjekt | ||
| Netzwerkobjekt | |||
| Network object }} | |||
{{var | Netzwerkobjekt--desc | {{var | Netzwerkobjekt--desc | ||
| Als Netzwerkobjekt wird das externe Interface ausgewählt (bzw. das Netzwerkobjekt, welches die externe IP inne hat über die der Port weitergeleitet werden soll). | |||
| The external interface is selected as the network object (or the network object that holds the external IP over which the port is to be forwarded). }} | |||
{{var | NAT-Dienst--desc | {{var | NAT-Dienst--desc | ||
| Dienst, der den gewünschten Zielport belegt. | |||
| Service that occupies the desired destination port. }} | |||
{{var | NAT-Dienst--info | {{var | NAT-Dienst--info | ||
| Soll hier ein anderer Port als für den Quelldienst verwendet werden und dieser ist nicht bereits als Dienstobjekt angelegt, muss dieser '''vor''' dem Erstellen angelegt werden. | |||
| If a different port is to be used here than for the source service and this is not already created as a service object, this must be created '''before''' . }} | |||
{{var | Beschreibung--desc | {{var | Beschreibung--desc | ||
| Regelbeschreibung, die in der Übersicht angezeigt werden kann. | |||
| Rule description that can be displayed in the overview. }} | |||
{{var | Schaltfläche | {{var | Schaltfläche | ||
| Schaltfläche | |||
| Button }} | |||
{{var | Hinzufügen und schließen | {{var | Hinzufügen und schließen | ||
| Hinzufügen und schließen | |||
| Add and close }} | |||
{{var | Regeln aktualisieren | {{var | Regeln aktualisieren | ||
| Regeln aktualisieren | |||
| Update rules }} | |||
{{var | Firewall-Regeln für das Hide-NAT anlegen | {{var | Firewall-Regeln für das Hide-NAT anlegen | ||
| Firewall-Regeln für das Hide-NAT anlegen | |||
| Create firewall rules for the Hide-NAT }} | |||
{{var | Firewall-Regeln für das Hide-NAT anlegen--desc | {{var | Firewall-Regeln für das Hide-NAT anlegen--desc | ||
| Damit der Server die Anfrage auf die öffentliche IP auf dem richtigen Weg beantwortet, muss nun eine Hide-NAT-Regel angelegt werden. <br>Mit dieser Regel wird die IP des anfragenden Rechners hinter der IP der Firewall versteckt.<br>Dies ist nötig, da sonst die Anfrage mit der internen IP des Rechners an dem Server ankommen würde und dieser dann versuchen würde, die Antwort intern zuzustellen und nicht über die Firewall. | |||
| For the server to answer the request to the public IP in the correct way, a Hide-NAT rule must now be created. <br>With this rule, the IP of the requesting computer is hidden behind the IP of the firewall.<br>This is necessary since otherwise the request would arrive at the server with the internal IP of the computer and it would then attempt to deliver the response internally and not via the firewall. }} | |||
{{var | Regel hinzufügen | {{var | Regel hinzufügen | ||
| Regel hinzufügen | |||
| Add rule }} | |||
{{var | Hide-NAT-Regel--Bild | {{var | Hide-NAT-Regel--Bild | ||
| UTM v12.2 Portfilter HideNAT-Regel.png | |||
| UTM v12.2 Portfilter HideNAT-Regel-en.png }} | |||
{{var | Hide-NAT-Regel--Bild--cap | {{var | Hide-NAT-Regel--Bild--cap | ||
| | |||
| }} | |||
{{var | HideNAT-Typ--desc | {{var | HideNAT-Typ--desc | ||
| Das Quellnetzwerk soll genattet werden. | |||
| The source network is to be nattened. }} | |||
{{var | HideNAT--Netzwerkobjekt--desc | {{var | HideNAT--Netzwerkobjekt--desc | ||
| Als Netzwerkobjekt wird das interne Interface ausgewählt (bzw. das Interface, hinter dem sich der Server befindet, der erreicht werden soll). | |||
| The internal interface is selected as the network object (or the interface behind which the server to be reached is located). }} | |||
{{var | Abschluss | {{var | Abschluss | ||
| Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portweiterleitung aktiv. | |||
| After the last setup step is completed, port forwarding is active. }} | |||
{{var | Paketfluss | {{var | Paketfluss | ||
| Paketfluss | |||
| Packet flow }} | |||
{{var | Paketfluss--desc | {{var | Paketfluss--desc | ||
|* Ein PC sendet ein ''SYN-Paket'' mit der externen IP des internen Servers (hier www) an die UTM ① | |||
* Die DestNAT-Regel maskiert die ''Empfänger'' IP und sorgt so dafür, daß das Paket an den internen Server weitergeleitet werden kann.② | * Die DestNAT-Regel maskiert die ''Empfänger'' IP und sorgt so dafür, daß das Paket an den internen Server weitergeleitet werden kann.② | ||
| * A PC sends a ''SYN packet'' with the external IP of the internal server (here www) to the UTM ①. | |||
* The DestNAT rule masks the ''receiver'' IP and thus ensures that the packet can be forwarded to the internal server.②.}} | |||
{{var | Paketfluss--fail--Bild | {{var | Paketfluss--fail--Bild | ||
| nat_loopback_fail.png | |||
| nat_loopback_fail.png }} | |||
{{var | Paketfluss--fail--cap | {{var | Paketfluss--fail--cap | ||
| Abb.1 (nur mit ''DestNAT''-Regel) | |||
| Fig.1 (only with ''DestNAT'' rule) }} | |||
{{var | Paketfluss--works--Bild | {{var | Paketfluss--works--Bild | ||
| nat_loopback_tut.png | |||
| nat_loopback_tut.png }} | |||
{{var | Paketfluss--works--cap | {{var | Paketfluss--works--cap | ||
| Abb.2 (mit ''DestNAT'' und mit ''HideNAT''-Regel) | |||
| Fig.2 (with ''DestNAT'' and with ''HideNAT'' rule) }} | |||
{{var | PrePost-Routing--Hinweis | {{var | PrePost-Routing--Hinweis | ||
| Beide Regeln werden von der Firewall bearbeitet.<br>Die erste liegt in der Prerouting Chain (DestNAT), die zweite in der Postrouting Chain (HideNAT) und damit in voneinander unabhängigen Prüfabschnitten. Nur innerhalb eines Abschnittes, kann keine zweite Regel greifen. | |||
| Both rules are processed by the firewall.<br>The first is situated in the prerouting chain (DestNAT), the second in the postrouting chain (HideNAT) and thus in independent test sections. Only within a section, no second rule can take effect. }} | |||
{{var | Paketfluss--fail--desc | {{var | Paketfluss--fail--desc | ||
|* Der Server sendet die Antwort ''SYN-ACK'' an die Absender-IP des Paketes: die IP des PCs aus dem internen Netz ③ | |||
* Die Firewall des PCs verwirft das Paket, weil es an die Absenderadresse des ''SYN-ACK-Paketes'' (die IP des Servers aus dem internen Netz) kein ''SYN-Paket'' gesendet hat.<br>oder | * Die Firewall des PCs verwirft das Paket, weil es an die Absenderadresse des ''SYN-ACK-Paketes'' (die IP des Servers aus dem internen Netz) kein ''SYN-Paket'' gesendet hat.<br>oder | ||
* Der PC hat keine Firewall und sendet sein ''ACK-Paket'' die öffentliche IP des Servers und damit an die UTM<br>→ Die UTM verwirft das Paket, weil sie kein ''SYN-ACK-Paket'' dazu gesehen hat. | * Der PC hat keine Firewall und sendet sein ''ACK-Paket'' an die öffentliche IP des Servers und damit an die UTM<br>→ Die UTM verwirft das Paket, weil sie kein ''SYN-ACK-Paket'' dazu gesehen hat. | ||
| * The server sends the response ''SYN-ACK'' to the sender IP of the packet: the IP of the PC from the internal network ③. | |||
* The PC's firewall drops the packet because it did not send a ''SYN packet'' to the sender address of the ''SYN-ACK packet'' (the server's IP from the internal network).<br>or | |||
* The PC has no firewall and sends its ''ACK packet'' to the public IP of the server and thus to the UTM<br>→ The UTM drops the packet because it has not seen a ''SYN-ACK packet'' for it. }} | |||
{{var | Paketfluss--works--desc | {{var | Paketfluss--works--desc | ||
|* Die HideNAT-Regel hat auch die Absenderadresse verändert.<br>Der Server sendet das ''SYN-ACK-Paket'' an die UTM zurück ③ | |||
* Die UTM NATtet das Paket und sendet es an den ursprünglichen Absender ④ | * Die UTM NATtet das Paket und sendet es an den ursprünglichen Absender ④ | ||
* Der PC kann nun sein ''ACK-Paket'' erfolgreich an die öffentliche IP des Servers senden. | * Der PC kann nun sein ''ACK-Paket'' erfolgreich an die öffentliche IP des Servers senden. | ||
| * The HideNAT rule has also changed the sender address.<br>The server sends the ''SYN-ACK packet'' back to the UTM ③. | |||
* The UTM NATs the packet and sends it to the original sender ④. | |||
* The PC can now successfully send its ''ACK packet'' to the server's public IP. }} | |||
{{var | Proxy--Warnung | {{var | Proxy--Warnung | ||
| Sollte der '''transparente Proxy''' oder ein '''reverse Proxy''' verwendet werden, ist die Konfiguration über '''Portfilter-Regeln nicht möglich'''.<br>In diesem Fall muss, wie oben beschrieben, die UTM als DNS verwendet und eine [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] eingerichtet werden. | |||
| Should the '''transparent proxy''' or a '''reverse proxy''' be used, configuration via '''port filter rules''' is not possible.<br>In this case, as described above, the UTM must be used as DNS and a [[UTM/APP/Nameserver#Forward-Zone | '''Forward-Zone''']] must be set up. }} | |||
{{var | neu--Skizze Paketfluss | {{var | neu--Skizze Paketfluss | ||
| Skizze zum [[#Paketfluss | Paketfluss]] | |||
| Sketch for [[#Paketfluss | Packet flow]] }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
{{var | | {{var | | ||
| | |||
| }} | |||
---- | ---- | ||
{{var | | {{var | | ||
| | |||
| }} | |||
</div> | </div> | ||
UTM/RULE/Portumleitung-Intern.lang: Unterschied zwischen den Versionen
Aus Securepoint Wiki