DNAT- Einstellungen - Sophos UTM 9 Portweiterleitung
Guten Morgen liebe Mitglieder,
ich hoffe, ihr hattet alle schöne Weihnachten )
Ich benötige bitte nur noch ganz kurze Hilfe bei einer Einstellung für mein DNAT.
Vorgaben:
Mein Wunschgedanke:
Ich möchte diese IP über das DNAT von WAN (externe Netz/Internet) zugänglich machen.
Anbei sieht ihr einen Screenshot. Ich frage ich, was ich am besten dort eintrage?
Danke für eure Hilfe
Liebe Grüße
Sachellen
ich hoffe, ihr hattet alle schöne Weihnachten )
Ich benötige bitte nur noch ganz kurze Hilfe bei einer Einstellung für mein DNAT.
Vorgaben:
- Webadresse ist inter über http://xxxx:8080/xxx/xxx/.htm erreichbar.
- Das ganze ist eine VM auf einem Hyper-V System
- Auf dem VM läuft ein Tomcat (daher Port 8080)
Mein Wunschgedanke:
Ich möchte diese IP über das DNAT von WAN (externe Netz/Internet) zugänglich machen.
Anbei sieht ihr einen Screenshot. Ich frage ich, was ich am besten dort eintrage?
- Datenverkehrsquelle: Any?
- Datenverkehrsdienst: Port 80? Port 8080?
- Datenverkehrsziel: Any?
- Ziel ändern in: Wahrscheinlich den Hostnamen Maschine http://xxxx:8080/xxx/xxx/.htm?
- Dienst ändern in: Port 8080? (Dann beim Datenverkehrsdienst Port 80?)
Danke für eure Hilfe
Liebe Grüße
Sachellen
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325021
Url: https://administrator.de/forum/dnat-einstellungen-sophos-utm-9-portweiterleitung-325021.html
Ausgedruckt am: 22.12.2024 um 23:12 Uhr
11 Kommentare
Neuester Kommentar
Hallo Sachellen,
eine Anmerkung am Rande - wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?
Daneben:
Quelle: any (falls alle)
DVDienst: Entweder HTTP/HTPS oder eben TomCat (WebCache ovgl)
Ziel: Externe IP, Sophos
Aktion
Zieländerung: Interne IP VM
Dienst: Bei gleichem Port, offen lassen, sonst eben anpassen.
Viele Grüße.
Christian
PS: Würde allerdings ne WAF in Erwägung ziehen. Weiterhin, wenn du Probleme hast, kannst du gerne in jeglichen Firewall/Securityfragen auf mich zu kommen.
eine Anmerkung am Rande - wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?
Daneben:
Quelle: any (falls alle)
DVDienst: Entweder HTTP/HTPS oder eben TomCat (WebCache ovgl)
Ziel: Externe IP, Sophos
Aktion
Zieländerung: Interne IP VM
Dienst: Bei gleichem Port, offen lassen, sonst eben anpassen.
Viele Grüße.
Christian
PS: Würde allerdings ne WAF in Erwägung ziehen. Weiterhin, wenn du Probleme hast, kannst du gerne in jeglichen Firewall/Securityfragen auf mich zu kommen.
wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?
Allein schon die Tatsache Tomcat Daten dann vollkommen ungeschützt über das Internet zu übertragen und ein Loch in die Firewall zu bohren spricht ja schon Bände.Mit einer Sicherheitspolicy in dieser Firma oder bei dem Chef ist es ja dann wohl auch nicht weit her... Eigentlich ein NoGo in einem Firmennetz aber das muss man wohl hier nicht mehr weiter kommentieren...
Das Thema VPN ist wohl ein Fremdwort oder scheitert auch mal wieder am KnowHow...
Hallo,
Besser:
Datenverkehrsquelle: Any
Datenverkehrsdienst: HTTP undoder HTTPS
Datenverkehrsziel: External (WAN) (Address) - Das Interface was dein WAN an der Sophos darstellt und beim Installieren angegeben wurde)
Ziel ändern in: Hier deine VM mit dein Tomcat
Dienst ändern in: HTTP undoder HTTPS
Da wir dein Netzaufbau nicht kennen, aber du hier einen UnityMedia Port angibst, hast du eine Routerkaskade und du musst natürlich auch in dein UnityMedia Router dort ein entsprechendes Portforwarding zu deiner Sophos einrichten. Somit hat auch deine Sophos selbst ein WAN bzw. Physikalischen Port der als solcher betrachtet werden kann, auch wenns ein LAN Port an dein UnityMedia Router ist.
Die IPs V4 und oder V6 passen alle?
Dein UnityMedia KabelRouter ist auch aus dem Internet erreichbar bzw. Öffentliche IPv4 oder doch nur eine Private IP ala Carrierer Grade NAT?
Wie ist dein Netz aufgebaut bzw. wer macht dort was und was kommt ins Haus?
Ein Wireshark und eine HUB hilft dir die Pakete zu verfolgen. Auch eine Sophos UTM kann ein Paketmittschnitt - erfordert aber Konsolenzugriff.
https://community.sophos.com/kb/de-de/115343
https://community.sophos.com/kb/en-us/123567
https://blog.escarra.org/?p=614
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://community.spiceworks.com/topic/1569486-full-packet-capture-sopho ...
Gruß,
Peter
Zitat von @Sachellen:
P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können
?!? Was hat jetzt ein HotSpot mit dein Portforwarding zu tun? Und testen musst du aus dem Internet - nicht aus dein Netz/LAN.P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können
aber ich bekomme es jeweils mit HTTP nicht hin. Sehr merkwürdig.. Ich habe folgende Einstellungen:
Deine Einstellungen besagen doch das alles was aus dem Internet (Ist das die Defaultbezeichnung die Sophos erstellt?), als Dienst oder Port eben Port 80 entspricht (HTTP) und als Ziel dein UnityMedia (Router - ist hier die WAN oder LAN IP gemeint?) geht soll nach ein Host (Gerät ohne name) auf Port 80 (ebenfalls HTTP) umgeleitet werden. Den Zieldienst kannst du hier weglassen.Besser:
Datenverkehrsquelle: Any
Datenverkehrsdienst: HTTP und
Datenverkehrsziel: External (WAN) (Address) - Das Interface was dein WAN an der Sophos darstellt und beim Installieren angegeben wurde)
Ziel ändern in: Hier deine VM mit dein Tomcat
Dienst ändern in: HTTP und
Da wir dein Netzaufbau nicht kennen, aber du hier einen UnityMedia Port angibst, hast du eine Routerkaskade und du musst natürlich auch in dein UnityMedia Router dort ein entsprechendes Portforwarding zu deiner Sophos einrichten. Somit hat auch deine Sophos selbst ein WAN bzw. Physikalischen Port der als solcher betrachtet werden kann, auch wenns ein LAN Port an dein UnityMedia Router ist.
Die IPs V4 und oder V6 passen alle?
Dein UnityMedia KabelRouter ist auch aus dem Internet erreichbar bzw. Öffentliche IPv4 oder doch nur eine Private IP ala Carrierer Grade NAT?
Wie ist dein Netz aufgebaut bzw. wer macht dort was und was kommt ins Haus?
Ein Wireshark und eine HUB hilft dir die Pakete zu verfolgen. Auch eine Sophos UTM kann ein Paketmittschnitt - erfordert aber Konsolenzugriff.
https://community.sophos.com/kb/de-de/115343
https://community.sophos.com/kb/en-us/123567
https://blog.escarra.org/?p=614
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://community.spiceworks.com/topic/1569486-full-packet-capture-sopho ...
VPN kommt leider nicht in Frage, da der Kunde nur Webzugriff hat
Auch über VPN kannst du sauber regeln das der VPN Benutzer halt nur 1 IP erreichen und nur 1 Port (HTTP/HTTPS) nutzen kann. Zur Zeit hört sich alles nur so an das ihr einen Kunden eine bestimmte Webseite zeigen wollt.Gruß,
Peter
Hallo,
Vielleicht den Kunden zu euch zu einen Kaffee einladen?
Gruß,
Peter
Zitat von @Sachellen:
Du hast Recht, wir wollen einem Kunde... Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.
Naja, Eion SSL VPN braucht auch einen Port, hier ein HHTPS oder was auch immer. Wenn dieser eine Kunden nicht ins Internet darf aber Entscheidungsträger ist, dann ist was faul. Ports 80, 443 sind meistens offen und auch die Ziele sind erlaubt, je nach Struktur und Sicherheitsbedürfnisse der Firma und dessen IT. Wenn aber ein Potenzieller Kunde von euch schon nicht ins Internet gelangt, dann werdet ihr evtentuell vor Ort vorstellig werden müssen und dann mit eurem Gerätschaften entweder vor Ort oder per .zb. euer eigenes LTE was zaubern müssen. Dann fällt mir noch VPN mit VNC & Co ein sowie VPN und RDP, selbst Teamviewer kann zur Vorführung genutzt werden, er muss nur halt irgendwie ins Internet dürfen. Wenn euer Kunde nicht ins Internet darf, dann müsst ihr ihm das anderweitig zeigen was er auf eurer Webseite sehen würde. Powerpoint?. Viele wege führen zum sehen eurer Webseite.Du hast Recht, wir wollen einem Kunde... Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.
Ich teste gerade die HTML5 VPN Funktion der Sophos, was auch sehr schön funktioniert, aber da kommt wieder der Port ins spiel
Nun, dein Kunde will ja was von euch oder wollt ihr ihm zwingend was vorgaukeln? Dein Kunde wird schon wissen warum er etwas nicht darf und ihr solltet wissen das es auch z.B. per Flugzeug eben andere Wege gibt eine Webseite jemanden zu zeigen. Da werdet ihr euch wohl auf eine Gemeinsamkeit vereinbaren können. Wir können da nur Staunend daneben stehen und uns über eure nicht Kommunikation lächeln. Dir nützt keine Technische Lösung wenn euer Kunde sich sträubt.Könntest du mir sagen, wie Du dir das gedacht hattest?
Ruf bei eurem Kunden dessen IT an und vereinbart das was ihr wollt - oder eben nicht.Vielleicht den Kunden zu euch zu einen Kaffee einladen?
Gruß,
Peter