Wechseln zu:Navigation, Suche
Wiki
(Die Seite wurde neu angelegt: „== Portweiterleitung == Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken…“)
 
Keine Bearbeitungszusammenfassung
(7 dazwischenliegende Versionen von 4 Benutzern werden nicht angezeigt)
Zeile 1: Zeile 1:
{{DISPLAYTITLE:Portweiterleitung}}
== Informationen ==
Letze Anpassung zur Version: '''11.7'''
<br>
Bemerkung: Artikelanpassung
<br>
Vorherige Versionen: -
<br>
== Portweiterleitung ==
== Portweiterleitung ==
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.
Zeile 24: Zeile 33:




[[Datei:PW_NWObjekt.jpg|800px|thumb|center|Netzwerkobjekt anlegen]]
[[Datei:Objekt_anlegen.jpg|800px|thumb|center|Netzwerkobjekt anlegen]]
 
 
==== Firewall-Regeln anlegen ====
Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.
 
#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Wählen Sie in der linken Liste die Quelle internet und in der mittleren Liste den Ziel Server.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
#Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
#Im Bereich NAT wählen Sie als Typ DESTNAT.
#Als Netzwerkobjekt wird das externe Interface ausgewählt (oder das Netzwerkobjekt welches die externe IP inne hat über die Sie den Port weiterleiten möchten).
#Wählen Sie als Dienst den Port aus den sie an den Server weiterleiten wollen.
#Klicken Sie auf Speichern.
#Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.
 
 
[[Datei:Regeln_anlegen.jpg|800px|thumb|center|Regel anlegen]]
 
 
*Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portweiterleitung aktiv.
 
== Portumleitung ==
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.
 
Eine Portumleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server auf einen anderen Port umzuleiten, damit dieser so aus dem Internet erreichbar ist.
 
 
*Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!
 
 
*Zielsetzung: Einen internen Server aus dem Internet erreichbar machen.
 
===  Konfiguration der Appliance ===
==== Netzwerkobjekt anlegen ====
Für eine Portumleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.
 
 
#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Gehen Sie im erscheinenden Dialog auf den Reiter Netzwerkobjekte und klicken Sie auf Objekt hinzufügen.
#Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
#Geben Sie im Feld Name eine Bezeichnung für das Netzwerkobjekt an.
#Wählen Sie als Typ den Eintrag Host.
#Tragen Sie im Feld Adresse die IP-Adresse des Servers ein.
#Stellen Sie im Feld Zone die Zone internal ein.
#Das Feld Gruppe kann leer bleiben.
#Klicken Sie auf Speichern.
 
 
[[Datei:PW_NWObjekt.jpg|800px|thumb|center|Netzwerkobjekt anlegen]]
 
 
==== Dienst anlegen ====
Da meistens der Port, mit dem man an der externen IP von außen ankommt, welcher nach intern zum Server auf einen anderen Port umgebogen wird, noch nicht vorhanden ist, muss dieser nun angelegt werden.
 
 
#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Gehen Sie im erscheinenden Dialog auf den Reiter Dienste und klicken Sie auf den Button Objekt hinzufügen.
#Es erscheint die Eingabemaske Dienst hinzufügen.
#Geben Sie im Feld Name eine Bezeichnung für den Dienst an.
#Wählen Sie als Protokoll das Protokoll des Ports aus.
#Wählen Sie als Typ Einzelner Port für einen einzelnen Port oder Port-Bereich für einen Port-Bereich aus.
#Geben Sie im Feld Zielport den Port bzw. wenn Sie vorhergehend Port-Range ausgewählt haben den Port Bereich Start und Ende an.
#Sie können nun, wenn Sie den Haken bei Quell Bereich anpassen setzen, den Quell Bereich Start und Ende angeben. Dies ist im Normalfall aber nicht vonnöten.
#Klicken Sie auf Speichern.
 
 
[[Datei:Dienst_anlegen.jpg|800px|thumb|center|Dienst anlegen]]
 




==== Firewall-Regeln anlegen ====
==== Firewall-Regeln anlegen ====
Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.
Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.


#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
Zeile 106: Zeile 43:
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Wählen Sie in der linken Liste die Quelle internet und in der mittleren Liste den Ziel Server.
#Wählen Sie in der linken Liste die Quelle internet und in der mittleren Liste den Ziel Server.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus mit dem Sie am Server ankommen wollen. Man spricht hier vom "Originalen Port"
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
#Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
#Im Bereich NAT wählen Sie als Typ DESTNAT.
#Als Netzwerkobjekt wird das externe Interface ausgewählt (oder das Netzwerkobjekt welches die externe IP inne hat über die Sie den Port weiterleiten möchten).
#Wählen Sie als Dienst den Port aus mit dem Sie von extern an der Firewall ankommen und der umgebogen werden soll. Man spricht hier auch vom "Externen Port".
#Klicken Sie auf Speichern.
#Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.
[[Datei:Dienst_anlegen.jpg|800px|thumb|center|Dienst anlegen]]
*Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portumleitung aktiv.
== Portweiterleitung aus internem Netz über externe IP auf internen Server ==
Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.  Eine Port Weiterleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist.
In diesem Beispiel kommt die Anfrage allerdings nicht aus dem Internet, sondern direkt aus dem internen Netz über die IP der Firewall,  um den Server mit der öffentlichen Domain ansprechen zu können.
*TIPP: Wenn aus dem internen Netz statt der IP ein DNS-Name aufgerufen UND die Firewall als Nameserver verwendet wird, ist das Anlegen eines A-Records der bessere Weg. Hier muss die Firewall lediglich den Namen zu einer internen Adresse auflösen. Die eigentliche Kommunikation geht dann nicht den Umweg über die Firewall sondern findet direkt zwischen Client und Server statt!!! Ein entsprechendes How-To finden sie [http://wiki.securepoint.de/index.php/Howtos-V11/Nameserver#Forward-Zone "HIER"].
*Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschriebenen Form noch nicht auf der Firewall vorhanden sind!
*Zielsetzung: Einen internen Server aus dem internen Netz über die IP der Firewall erreichbar machen.
===  Konfiguration der Appliance ===
==== Netzwerkobjekt anlegen ====
Für eine Portweiterleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.
#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Gehen Sie im erscheinenden Dialog auf den Reiter Netzwerkobjekte und klicken Sie auf Objekt hinzufügen.
#Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
#Geben Sie im Feld Name eine Bezeichnung für das Netzwerkobjekt an.
#Wählen Sie als Typ den Eintrag Host.
#Tragen Sie im Feld Adresse die IP-Adresse des Servers ein.
#Stellen Sie im Feld Zone die Zone internal ein.
#Das Feld Gruppe kann leer bleiben.
#Klicken Sie auf Speichern.
[[Datei:PW_NWObjekt.jpg|800px|thumb|center|Netzwerkobjekt anlegen]]
==== Firewall-Regeln für die Weiterleitung anlegen ====
Damit der entsprechende Port an den Server weitergeleitet wird, muss nun die Portweiterleitung als Regel angelegt werden.
#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Wählen Sie in der linken Liste die Quelle internal-network und in der mittleren Liste den Ziel Server.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
Zeile 169: Zeile 53:




[[Datei:Regeln_anlegen.jpg|800px|thumb|center|Regel anlegen]]
[[Datei:Weiterleitung.jpg |800px|thumb|center|Portweiterleitung]]
 
 
 
==== Firewall-Regeln für das Hide-NAT anlegen ====
Damit der Server die Anfrage auf die öffentliche IP auf dem richtigen Weg beantwortet, muss nun ein Hide-NAT angelegt werden. Mit diesem verstecken Sie die IP des anfragenden Rechners hinter der IP der Firewall. Dies ist nötig, da sonst die Anfrage mit der internen IP des Rechners an dem Server ankommen würde und dieser dann versuchen würde, die Antwort intern zuzustellen und nicht über die Firewall.
 
#Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
#Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
#Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
#Wählen Sie in der linken Liste die Quelle internal-network und in der mittleren Liste den Ziel Server.
#Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.
#Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
#Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
#Im Bereich NAT wählen Sie als Typ HIDENAT.
#Als Netzwerkobjekt wird das interne Interface ausgewählt (oder das Interface hinter dem sich der Server befindet).
#Klicken Sie auf Speichern.
#Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.
 


[[Datei:Regeln_anlegen.jpg|800px|thumb|center|Regel anlegen]]


*Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portweiterleitung aktiv.
*Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portweiterleitung aktiv.

Version vom 2. Februar 2017, 15:08 Uhr


Informationen

Letze Anpassung zur Version: 11.7
Bemerkung: Artikelanpassung
Vorherige Versionen: -

Portweiterleitung

Den meisten Unternehmen steht kein Subnetz mit externen IPs zur Verfügung. Alle Rechner sind in einem privaten Netzwerk und verstecken sich hinter der IP des Routers.

Eine Portweiterleitung wird dazu genutzt, Anfragen auf bestimmten Ports, die an die öffentliche IP des Routers gerichtet sind, zum internen Server weiterzuleiten, damit dieser so aus dem Internet erreichbar ist.


  • Das Anlegen von Netzwerkobjekten und Diensten muss natürlich nur dann erfolgen, wenn diese in der hier beschrieben Form noch nicht auf der Firewall vorhanden sind!
  • Zielsetzung: Einen internen Server aus dem Internet erreichbar machen

Konfiguration der Appliance

Netzwerkobjekt anlegen

Für eine einfache Portweiterleitung muss zuerst der Server als Netzwerkobjekt angelegt werden.


  1. Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
  2. Gehen Sie im erscheinenden Dialog auf den Reiter Netzwerkobjekte und klicken Sie auf Objekt hinzufügen.
  3. Es erscheint die Eingabemaske Netzwerkobjekt hinzufügen.
  4. Geben Sie im Feld Name eine Bezeichnung für das Netzwerkobjekt an.
  5. Wählen Sie als Typ den Eintrag Host.
  6. Tragen Sie im Feld Adresse die IP-Adresse des Servers ein.
  7. Stellen Sie im Feld Zone die Zone internal ein.
  8. Das Feld Gruppe kann leer bleiben.
  9. Klicken Sie auf Speichern.


Netzwerkobjekt anlegen


Firewall-Regeln anlegen

Damit externe Nutzer auf den Server nun auch zugreifen können, muss eine Firewall-Regel mit Destination NAT angelegt werden.

  1. Gehen Sie in der Navigationsleiste auf den Punkt Firewall und klicken Sie im Dropdown-Menü auf den Eintrag Portfilter.
  2. Im Fenster Portfilter klicken Sie auf den Button Regel hinzufügen.
  3. Auf der Registerkarte Regel hinzufügen müssen Sie zunächst Quelle, Ziel und Dienst auswählen.
  4. Wählen Sie in der linken Liste die Quelle internet und in der mittleren Liste den Ziel Server.
  5. Als Dienst wählen Sie in der rechten Liste den Port für die Weiterleitung aus.
  6. Die Aktion muss auf ACCEPT stehen und die Checkbox Aktiv muss markiert sein.
  7. Zusätzlich können Sie unter Logging den Protokollierungsdienst aktivieren so wie unter Gruppe die Regel gleich einer Regelgruppe unterordnen.
  8. Im Bereich NAT wählen Sie als Typ DESTNAT.
  9. Als Netzwerkobjekt wird das externe Interface ausgewählt (oder das Netzwerkobjekt welches die externe IP inne hat über die Sie den Port weiterleiten möchten).
  10. Wählen Sie als Dienst den Port aus den sie an den Server weiterleiten wollen.
  11. Klicken Sie auf Speichern.
  12. Klicken Sie im Dialog Portfilter auf den Button Regeln aktualisieren, damit die Änderungen wirksam werden.


Portweiterleitung


  • Nachdem der letzte Einrichtungsschritt absolviert wurde, ist die Portweiterleitung aktiv.