sachellen
Goto Top

DNAT- Einstellungen - Sophos UTM 9 Portweiterleitung

Guten Morgen liebe Mitglieder,

ich hoffe, ihr hattet alle schöne Weihnachten face-smile)

Ich benötige bitte nur noch ganz kurze Hilfe bei einer Einstellung für mein DNAT.

Vorgaben:
  • Webadresse ist inter über http://xxxx:8080/xxx/xxx/.htm erreichbar.
  • Das ganze ist eine VM auf einem Hyper-V System
  • Auf dem VM läuft ein Tomcat (daher Port 8080)

Mein Wunschgedanke:
Ich möchte diese IP über das DNAT von WAN (externe Netz/Internet) zugänglich machen.
Anbei sieht ihr einen Screenshot. Ich frage ich, was ich am besten dort eintrage?
  • Datenverkehrsquelle: Any?
  • Datenverkehrsdienst: Port 80? Port 8080?
  • Datenverkehrsziel: Any?

  • Ziel ändern in: Wahrscheinlich den Hostnamen Maschine http://xxxx:8080/xxx/xxx/.htm?
  • Dienst ändern in: Port 8080? (Dann beim Datenverkehrsdienst Port 80?)


Danke für eure Hilfe face-smile

Liebe Grüße
Sachellen
a

Content-ID: 325021

Url: https://administrator.de/forum/dnat-einstellungen-sophos-utm-9-portweiterleitung-325021.html

Ausgedruckt am: 22.12.2024 um 23:12 Uhr

certifiedit.net
certifiedit.net 29.12.2016 um 10:41:07 Uhr
Goto Top
Hallo Sachellen,

eine Anmerkung am Rande - wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?

Daneben:
Quelle: any (falls alle)
DVDienst: Entweder HTTP/HTPS oder eben TomCat (WebCache ovgl)
Ziel: Externe IP, Sophos
Aktion
Zieländerung: Interne IP VM
Dienst: Bei gleichem Port, offen lassen, sonst eben anpassen.

Viele Grüße.

Christian

PS: Würde allerdings ne WAF in Erwägung ziehen. Weiterhin, wenn du Probleme hast, kannst du gerne in jeglichen Firewall/Securityfragen auf mich zu kommen.
Sachellen
Sachellen 29.12.2016 um 10:58:02 Uhr
Goto Top
Hallo certifiedit.net,

vielen Dank für deine ausführliche und hilfreiche Antwort. Ich teste dies sofort mal.

Danke auch für deine Anmerkung. Ich arbeite mich in das Thema gerade rein, und frage lieber bei so einer heiklen Einstellung lieber mal nach, als es zu machen, wie ich denke. Manchmal im Leben bekommt man vom Chef leider Bereiche zugeteilt, mit denen man vorher nicht alt zu viel zutun hatte. Was will man machen...

Danke, werde ich machen face-smile
Sachellen
Sachellen 29.12.2016 aktualisiert um 11:40:58 Uhr
Goto Top
@certifiedit.net

WAF, wegen der Sicherheit?

P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können, aber ich bekomme es jeweils mit HTTP nicht hin. Sehr merkwürdig.. Ich habe folgende Einstellungen:

Aus dem Internet per HTTP auf die Internetleitung vom Anbieter (IP) und von dort auf weiter auf die VM (IP)

Aber der Nutzer aqui hat Recht.. Jetzt wo ich mich mit dem Thema beschäftige, DNAT ist wohl nicht die schlauste Lösung ~_~
a
aqui
aqui 29.12.2016 aktualisiert um 11:33:43 Uhr
Goto Top
wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?
Allein schon die Tatsache Tomcat Daten dann vollkommen ungeschützt über das Internet zu übertragen und ein Loch in die Firewall zu bohren spricht ja schon Bände.
Mit einer Sicherheitspolicy in dieser Firma oder bei dem Chef ist es ja dann wohl auch nicht weit her... Eigentlich ein NoGo in einem Firmennetz aber das muss man wohl hier nicht mehr weiter kommentieren... face-sad
Das Thema VPN ist wohl ein Fremdwort oder scheitert auch mal wieder am KnowHow...
Sachellen
Sachellen 29.12.2016 um 11:36:09 Uhr
Goto Top
Zitat von @aqui:

Das Thema VPN ist wohl ein Fremdwort oder scheitert auch mal wieder am KnowHow...

VPN kommt leider nicht in Frage, da der Kunde nur Webzugriff hat. Er darf weder was runterladen oder installieren. Nur deswegen habe ich ja die Kopfschmerzen v_v

Was würdest du empfehlen? :/
aqui
aqui 29.12.2016 um 12:14:02 Uhr
Goto Top
Wenigstens dann ja wohl HTTPS um die Daten zu verschlüsseln.
Daten ungeschützt heutzutage über das Internet zu übertragen machen ja nichtmal mehr die größten Dummies.
Über das Warum muss man ja sicher nicht mehr diskutieren...
Sachellen
Sachellen 29.12.2016 um 13:03:53 Uhr
Goto Top
Ja ok, dass richte ich noch ein face-smile Das ist ja alles noch in der Testphase face-smile
Es ging mir hier um das wie für den Zugriff. Ich informiere mich gerade über die Einstellung der Sophos und WAF.
Pjordorf
Pjordorf 29.12.2016 um 13:19:19 Uhr
Goto Top
Hallo,

Zitat von @Sachellen:
P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können
?!? Was hat jetzt ein HotSpot mit dein Portforwarding zu tun? Und testen musst du aus dem Internet - nicht aus dein Netz/LAN.

aber ich bekomme es jeweils mit HTTP nicht hin. Sehr merkwürdig.. Ich habe folgende Einstellungen:
Deine Einstellungen besagen doch das alles was aus dem Internet (Ist das die Defaultbezeichnung die Sophos erstellt?), als Dienst oder Port eben Port 80 entspricht (HTTP) und als Ziel dein UnityMedia (Router - ist hier die WAN oder LAN IP gemeint?) geht soll nach ein Host (Gerät ohne name) auf Port 80 (ebenfalls HTTP) umgeleitet werden. Den Zieldienst kannst du hier weglassen.
Besser:
Datenverkehrsquelle: Any
Datenverkehrsdienst: HTTP und oder HTTPS
Datenverkehrsziel: External (WAN) (Address) - Das Interface was dein WAN an der Sophos darstellt und beim Installieren angegeben wurde)
Ziel ändern in: Hier deine VM mit dein Tomcat
Dienst ändern in: HTTP und oder HTTPS

Da wir dein Netzaufbau nicht kennen, aber du hier einen UnityMedia Port angibst, hast du eine Routerkaskade und du musst natürlich auch in dein UnityMedia Router dort ein entsprechendes Portforwarding zu deiner Sophos einrichten. Somit hat auch deine Sophos selbst ein WAN bzw. Physikalischen Port der als solcher betrachtet werden kann, auch wenns ein LAN Port an dein UnityMedia Router ist.
Die IPs V4 und oder V6 passen alle?
Dein UnityMedia KabelRouter ist auch aus dem Internet erreichbar bzw. Öffentliche IPv4 oder doch nur eine Private IP ala Carrierer Grade NAT?

Wie ist dein Netz aufgebaut bzw. wer macht dort was und was kommt ins Haus?

Ein Wireshark und eine HUB hilft dir die Pakete zu verfolgen. Auch eine Sophos UTM kann ein Paketmittschnitt - erfordert aber Konsolenzugriff.
https://community.sophos.com/kb/de-de/115343
https://community.sophos.com/kb/en-us/123567
https://blog.escarra.org/?p=614
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://community.spiceworks.com/topic/1569486-full-packet-capture-sopho ...

VPN kommt leider nicht in Frage, da der Kunde nur Webzugriff hat
Auch über VPN kannst du sauber regeln das der VPN Benutzer halt nur 1 IP erreichen und nur 1 Port (HTTP/HTTPS) nutzen kann. Zur Zeit hört sich alles nur so an das ihr einen Kunden eine bestimmte Webseite zeigen wollt.

Gruß,
Peter
Sachellen
Sachellen 29.12.2016 aktualisiert um 14:01:44 Uhr
Goto Top
Hallo Pjordorf,

danke Dir für deine Antwort!

Der letzte Satz interessiert mich gerade fast am meisten. Du hast Recht, wir wollen einem Kunde, eine Tomcat dienst, der per URL erreichbar ist (loegt alles auf einem internen Webserver) zeigen. Dabei ist es uns wichtig, dass dieser keine Einstellungen/Installationen vornehmen muss. Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.

Ich teste gerade die HTML5 VPN Funktion der Sophos, was auch sehr schön funktioniert, aber da kommt wieder der Port ins spiel v_v


Könntest du mir sagen, wie Du dir das gedacht hattest?

Danke.
Pjordorf
Pjordorf 29.12.2016 um 22:51:51 Uhr
Goto Top
Hallo,

Zitat von @Sachellen:
Du hast Recht, wir wollen einem Kunde... Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.
Naja, Eion SSL VPN braucht auch einen Port, hier ein HHTPS oder was auch immer. Wenn dieser eine Kunden nicht ins Internet darf aber Entscheidungsträger ist, dann ist was faul. Ports 80, 443 sind meistens offen und auch die Ziele sind erlaubt, je nach Struktur und Sicherheitsbedürfnisse der Firma und dessen IT. Wenn aber ein Potenzieller Kunde von euch schon nicht ins Internet gelangt, dann werdet ihr evtentuell vor Ort vorstellig werden müssen und dann mit eurem Gerätschaften entweder vor Ort oder per .zb. euer eigenes LTE was zaubern müssen. Dann fällt mir noch VPN mit VNC & Co ein sowie VPN und RDP, selbst Teamviewer kann zur Vorführung genutzt werden, er muss nur halt irgendwie ins Internet dürfen. Wenn euer Kunde nicht ins Internet darf, dann müsst ihr ihm das anderweitig zeigen was er auf eurer Webseite sehen würde. Powerpoint?. Viele wege führen zum sehen eurer Webseite.

Ich teste gerade die HTML5 VPN Funktion der Sophos, was auch sehr schön funktioniert, aber da kommt wieder der Port ins spiel
Nun, dein Kunde will ja was von euch oder wollt ihr ihm zwingend was vorgaukeln? Dein Kunde wird schon wissen warum er etwas nicht darf und ihr solltet wissen das es auch z.B. per Flugzeug eben andere Wege gibt eine Webseite jemanden zu zeigen. Da werdet ihr euch wohl auf eine Gemeinsamkeit vereinbaren können. Wir können da nur Staunend daneben stehen und uns über eure nicht Kommunikation lächeln. Dir nützt keine Technische Lösung wenn euer Kunde sich sträubt.

Könntest du mir sagen, wie Du dir das gedacht hattest?
Ruf bei eurem Kunden dessen IT an und vereinbart das was ihr wollt - oder eben nicht.

Vielleicht den Kunden zu euch zu einen Kaffee einladen?

Gruß,
Peter
Sachellen
Sachellen 30.12.2016 um 10:44:48 Uhr
Goto Top
Der Kunde darf ins internet, aber die haben halt keine eigene IT und das sind meine Vorgaben. Ich kann auch nichts dafür.
Ich versuche halt die beste Möglichkeit zu bieten, mit den Ports die fürs web standard freigeschaltet sind. Ich hatte mich nur gefragt, ob für der HTML5 VPN Port 80 ausreicht.

Ich denke, ich teste jetzt HTML5 VPN und WAF.

Vielen Dank für Eure Antworten face-smile