kinglouie
Sep 19, 2018
view6428
view12
0
Goto Top

Externer Zugriff auf Webserver

GermansolvedQuestionFirewallSecurity
Hallo zusammen,

ich habe folgendes Problem:
Ein Kollege muss gelegentlich auf einen Webserver zugreiffen, sowohl von intern als auch von extern.
Der interne Zugriff funktioniert auch soweit wie es sein soll.
Nun aber zum externen Zugriff...
Wir setzen eine UTM9 Firewall von Sophos ein.
Ich habe 4 NAT-Regeln erstellt die für den Zugriff auf den Server nötig sind, für die Ports 443, 8080, 6619 und 3305. Der Zugriff funktioniert nicht.
Erstelle ich nun eine Masquerading Regel von Any auf das Interne Netzwerk funktioniert auch der Zugriff auf den Webserver.

Nun zu meiner Frage:
Da ich noch keine Erfahrungen mit Masquerading habe und auch weitestgehend nur über Masquerading Regeln gelesen habe die den Zugriff vom internen Netz ins Internet gewähren (nicht wie in meinem Fall vom Internet ins interne Netz) kenne ich die Folgen nicht die die Einstellung mit sich bringt. Ich habe die Masquerading Regel erstellt, den Zugriff von extern bekommen und die Regel Sicherheitshalber vorerst wieder deaktiviert.
Kann mir jemand sagen welche folgen die von mir erstellte Masquerading-Regel mit sich bringt? Eigentlich sollten für den externen Zugriff doch die NAT-Regeln ausreichen oder liege ich hier gerade falsch?
comment-contentCommentShareShare
Share on Facebook Share on Twitter Share on Reddit Share on Linkedin

Content-Key: 386925

Url: https://administrator.de/contentid/386925

Printed on: April 24, 2024 at 11:04 o'clock

12 Comments
Latest comment
Goto Top
Member: falscher-sperrstatus
falscher-sperrstatus Sep 19, 2018 at 10:26:04 (UTC)
Goto Top
Hallo KL,

mit Masquerading setzt die Sophos sich als ErsatzAdresse für die bisherige Serveradresse ein, da logischerweise kein Internetteilnehmer etwas mit der Privaten IP 182.168.111.111 anfangen kann (bspw.)

VG
Member: wiesi200
wiesi200 Sep 19, 2018 updated at 10:44:34 (UTC)
Goto Top
Hallo,

als allererstes würde sich hier natürlich die frage aufstellen welche Meldung kommt, wo gibt es einträge in den Logs.
Es könnte hier durchaus möglich sein das einfach nur der Webserver auf einen gewissen IP Bereich antwortet bzw. antworten darf
Mitglied: 137084
137084 Sep 19, 2018 updated at 10:49:51 (UTC)
Goto Top
Eigentlich sollten für den externen Zugriff doch die NAT-Regeln ausreichen oder liege ich hier gerade falsch?
Nöp auch die Firewall muss die Pakete mit entsprechender Regel passieren lassen:
How to Port Forward Service Ports with NAT
Member: StefanKittel
StefanKittel Sep 19, 2018 at 10:51:23 (UTC)
Goto Top
Hallo,

wäre ein VPN nicht sicherer und einfacher?
So musst Du Dir Gedanken über die Sicherheit des Webservers machen und was passiert wenn den Jemand hackt.
Updates, Konfiguration, Brute-Force, Sicherheitslücke in der Webseite, etc.

Stefan
Member: Pjordorf
Pjordorf Sep 19, 2018 at 10:52:27 (UTC)
Goto Top
Hallo,

Zitat von @KingLouie:
Wir setzen eine UTM9 Firewall von Sophos ein.
OK, mit welchen Modulen?

Ich habe 4 NAT-Regeln erstellt die für den Zugriff auf den Server nötig sind, für die Ports 443, 8080, 6619 und 3305. Der Zugriff funktioniert nicht.
Wo? Hier mal z.B. für einen Exchange

sophos dnat exchange

Gruß,
Peter
Member: KingLouie
KingLouie Sep 19, 2018 at 12:16:37 (UTC)
Goto Top
Hallo Peter,

Zitat von @KingLouie:
Wir setzen eine UTM9 Firewall von Sophos ein.
OK, mit welchen Modulen?
Ich hoffe ich habe an der richtigen stelle geguckt:
- Email Protection
- Network Protection
- Web Protection
- Webserver Protection
- Wireless Protection


Ich habe 4 NAT-Regeln erstellt die für den Zugriff auf den Server nötig sind, für die Ports 443, 8080, 6619 und 3305. Der Zugriff funktioniert nicht.
Wo? Hier mal z.B. für einen Exchange
An der selben stelle wie Du. Also unter Network Protection -> NAT -> NAT und dann als DNAT Regeln. Nur halt für die o.g. Ports...

Es hat auch soweit alles funktioniert bis vor ca einem Monat. Bis dahin lief alles über die Telekom. Ab dem Tag wo der Telekom Anschluss abgeschaltet wurde und alles über Unitymedia lief, gab es keinen Zugriff mehr auf den Server.

Eigentlich ist das Masquerading ja (wenn ich es richtig verstanden habe) dafür da, um mehrere interne IPs auf eine externe IP "umleitet" über die dann nach extern kommuniziert wird. Wie aber ist die Sicherheit wenn ich den Spieß umdrehe, sprich die Masquerading Regel von "Any" zu "Internal" weiterleite? Sind dann nicht auch alle anderen internen Clients/Server von außen erreichbar?
Mitglied: 137084
137084 Sep 19, 2018 updated at 12:19:28 (UTC)
Goto Top
Bis dahin lief alles über die Telekom. Ab dem Tag wo der Telekom Anschluss abgeschaltet wurde und alles über Unitymedia lief, gab es keinen Zugriff mehr auf den Server.
Carrier Grade NAT beim Provider? Dann geht das natürlich nicht. Checke deine öffentliche IP wenn die im Bereich RFC1918 liegt, möööp geht nicht.
Member: Pjordorf
Pjordorf Sep 19, 2018 at 12:33:05 (UTC)
Goto Top
Hallo,

Zitat von @KingLouie:
alles über Unitymedia lief, gab es keinen Zugriff mehr auf den Server.
Da wurde dir ja schon was zu gesagt. Du hast nun andere Öffentliche IPs usw. Immer noch eine IPv4 wo du eine Portweiterleitung machen kannst oder läuft jetzt alles IPv6 oder was?

Gruß,
Peter
Member: KingLouie
KingLouie Sep 19, 2018 at 12:37:39 (UTC)
Goto Top
läuft jetzt alles IPv6 oder was?
Ne alles über IPv4
Member: Pjordorf
Pjordorf Sep 19, 2018 at 12:41:40 (UTC)
Goto Top
Hallo,

Zitat von @KingLouie:
Ne alles über IPv4
Die Frage für die 100 Gummipunkte lautet aber ob es ein Private IP oder nicht ist. RFC1918 siehe auch Frage von @137084.

Gruß,
Peter
Member: KingLouie
KingLouie Sep 19, 2018 updated at 13:33:04 (UTC)
Goto Top
Der Server selbst hat eine private IP (im 192.168.72.0/24 Netz) und wir haben eine externe IP, die auf die interne IP weitergeleitet wird.
Von außen war der Server, bis zur umstellung von der Telekom zu Unitymedia auch über eine externe IP erreichbar.
Wenn ich eine Masquerading Regel erstelle "Any" --> "Internal" funktioniert der Zugriff auf den Server auch von extern.

Meine Frage ist ob durch die Masquerading-Regel auch andere Systeme im Netz von außen erreichbar sind?
Member: Pjordorf
Pjordorf Sep 19, 2018 updated at 14:04:58 (UTC)
Goto Top
Hallo,

Zitat von @KingLouie:
Der Server selbst hat eine private IP (im 192.168.72.0/24 Netz).
Nicht die IPs aus deinen LAN sind hier ausschalgebend, sondern die Öffentliche IP welche an dein Router zur Aussenwelt anliegt. Und wenn dort eine RFC1918 IP anliegt, kannst du nicht von aussen (Internet) auf deine internern WebServer zugreifen.

Von außen war der Server, bis zur umstellung von der Telekom zu Unitymedia auch über eine externe IP erreichbar.
Klar, und was passierte nach der Umstellung - es ging nicht mehr weil, und das ist das entscheidende. Was also ist bei UnityMedia anders als bei der T-Com? Es ist nicht nur das der eine ausschliesslich DSL macht und der andere ausschliesslich Antennen Kabel DOCSIS nutzt. Wie lautet deine externe (Öffentliche ) IP. Bitte so wiedergeben das niemand deine wirkliche IP erkennen kann, aber wir trotzdem sehen um was es geht. RFC1918 überhaupt gelesen?

https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.5.html
http://www.tcp-ip-info.de/tcp_ip_und_internet/ip_masquerading.htm
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa114191 ...
https://serverfault.com/questions/739607/tcp-ip-why-does-routing-without ...

Gruß,
Peter
GermansolvedQuestionFirewallSecurity
Hotly discussed
gleixnerdCheck of ZFW Firewallgleixnerd - 5 CommentsjstrickerWireguard VPN on UDM Pro behind Fritzbox - Handshake did not completejstricker - 3 CommentsAlexWishaHow to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments