11
DNAT- Einstellungen - Sophos UTM 9 Portweiterleitung
Guten Morgen liebe Mitglieder,
ich hoffe, ihr hattet alle schöne Weihnachten
)
Ich benötige bitte nur noch ganz kurze Hilfe bei einer Einstellung für mein DNAT.
Vorgaben:
Mein Wunschgedanke:
Ich möchte diese IP über das DNAT von WAN (externe Netz/Internet) zugänglich machen.
Anbei sieht ihr einen Screenshot. Ich frage ich, was ich am besten dort eintrage?
Danke für eure Hilfe
Liebe Grüße
Sachellen
ich hoffe, ihr hattet alle schöne Weihnachten
)Ich benötige bitte nur noch ganz kurze Hilfe bei einer Einstellung für mein DNAT.
Vorgaben:
- Webadresse ist inter über http://xxxx:8080/xxx/xxx/.htm erreichbar.
- Das ganze ist eine VM auf einem Hyper-V System
- Auf dem VM läuft ein Tomcat (daher Port 8080)
Mein Wunschgedanke:
Ich möchte diese IP über das DNAT von WAN (externe Netz/Internet) zugänglich machen.
Anbei sieht ihr einen Screenshot. Ich frage ich, was ich am besten dort eintrage?
- Datenverkehrsquelle: Any?
- Datenverkehrsdienst: Port 80? Port 8080?
- Datenverkehrsziel: Any?
- Ziel ändern in: Wahrscheinlich den Hostnamen Maschine http://xxxx:8080/xxx/xxx/.htm?
- Dienst ändern in: Port 8080? (Dann beim Datenverkehrsdienst Port 80?)
Danke für eure Hilfe
Liebe Grüße
Sachellen
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 325021
Url: https://administrator.de/contentid/325021
Ausgedruckt am: 22.11.2024 um 14:11 Uhr
11 Kommentare
Neuester Kommentar
Hallo Sachellen,
eine Anmerkung am Rande - wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?
Daneben:
Quelle: any (falls alle)
DVDienst: Entweder HTTP/HTPS oder eben TomCat (WebCache ovgl)
Ziel: Externe IP, Sophos
Aktion
Zieländerung: Interne IP VM
Dienst: Bei gleichem Port, offen lassen, sonst eben anpassen.
Viele Grüße.
Christian
PS: Würde allerdings ne WAF in Erwägung ziehen. Weiterhin, wenn du Probleme hast, kannst du gerne in jeglichen Firewall/Securityfragen auf mich zu kommen.
eine Anmerkung am Rande - wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?
Daneben:
Quelle: any (falls alle)
DVDienst: Entweder HTTP/HTPS oder eben TomCat (WebCache ovgl)
Ziel: Externe IP, Sophos
Aktion
Zieländerung: Interne IP VM
Dienst: Bei gleichem Port, offen lassen, sonst eben anpassen.
Viele Grüße.
Christian
PS: Würde allerdings ne WAF in Erwägung ziehen. Weiterhin, wenn du Probleme hast, kannst du gerne in jeglichen Firewall/Securityfragen auf mich zu kommen.
1
Hallo certifiedit.net,
vielen Dank für deine ausführliche und hilfreiche Antwort. Ich teste dies sofort mal.
Danke auch für deine Anmerkung. Ich arbeite mich in das Thema gerade rein, und frage lieber bei so einer heiklen Einstellung lieber mal nach, als es zu machen, wie ich denke. Manchmal im Leben bekommt man vom Chef leider Bereiche zugeteilt, mit denen man vorher nicht alt zu viel zutun hatte. Was will man machen...
Danke, werde ich machen
vielen Dank für deine ausführliche und hilfreiche Antwort. Ich teste dies sofort mal.
Danke auch für deine Anmerkung. Ich arbeite mich in das Thema gerade rein, und frage lieber bei so einer heiklen Einstellung lieber mal nach, als es zu machen, wie ich denke. Manchmal im Leben bekommt man vom Chef leider Bereiche zugeteilt, mit denen man vorher nicht alt zu viel zutun hatte. Was will man machen...
Danke, werde ich machen
@certifiedit.net
WAF, wegen der Sicherheit?
P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können, aber ich bekomme es jeweils mit HTTP nicht hin. Sehr merkwürdig.. Ich habe folgende Einstellungen:
Aus dem Internet per HTTP auf die Internetleitung vom Anbieter (IP) und von dort auf weiter auf die VM (IP)
Aber der Nutzer aqui hat Recht.. Jetzt wo ich mich mit dem Thema beschäftige, DNAT ist wohl nicht die schlauste Lösung ~_~
WAF, wegen der Sicherheit?
P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können, aber ich bekomme es jeweils mit HTTP nicht hin. Sehr merkwürdig.. Ich habe folgende Einstellungen:
Aus dem Internet per HTTP auf die Internetleitung vom Anbieter (IP) und von dort auf weiter auf die VM (IP)
Aber der Nutzer aqui hat Recht.. Jetzt wo ich mich mit dem Thema beschäftige, DNAT ist wohl nicht die schlauste Lösung ~_~
wenn dich das bereits überfordert...bist du dir sicher, dass du eine FW einrichten solltest?
Allein schon die Tatsache Tomcat Daten dann vollkommen ungeschützt über das Internet zu übertragen und ein Loch in die Firewall zu bohren spricht ja schon Bände.Mit einer Sicherheitspolicy in dieser Firma oder bei dem Chef ist es ja dann wohl auch nicht weit her... Eigentlich ein NoGo in einem Firmennetz aber das muss man wohl hier nicht mehr weiter kommentieren...
Das Thema VPN ist wohl ein Fremdwort oder scheitert auch mal wieder am KnowHow...
1VPN kommt leider nicht in Frage, da der Kunde nur Webzugriff hat. Er darf weder was runterladen oder installieren. Nur deswegen habe ich ja die Kopfschmerzen v_v
Was würdest du empfehlen? :/
Wenigstens dann ja wohl HTTPS um die Daten zu verschlüsseln.
Daten ungeschützt heutzutage über das Internet zu übertragen machen ja nichtmal mehr die größten Dummies.
Über das Warum muss man ja sicher nicht mehr diskutieren...
Daten ungeschützt heutzutage über das Internet zu übertragen machen ja nichtmal mehr die größten Dummies.
Über das Warum muss man ja sicher nicht mehr diskutieren...
1
Ja ok, dass richte ich noch ein Das ist ja alles noch in der Testphase
Es ging mir hier um das wie für den Zugriff. Ich informiere mich gerade über die Einstellung der Sophos und WAF.
Das ist ja alles noch in der Testphase Es ging mir hier um das wie für den Zugriff. Ich informiere mich gerade über die Einstellung der Sophos und WAF.
Hallo,
Besser:
Datenverkehrsquelle: Any
Datenverkehrsdienst: HTTP undoder HTTPS
Datenverkehrsziel: External (WAN) (Address) - Das Interface was dein WAN an der Sophos darstellt und beim Installieren angegeben wurde)
Ziel ändern in: Hier deine VM mit dein Tomcat
Dienst ändern in: HTTP undoder HTTPS
Da wir dein Netzaufbau nicht kennen, aber du hier einen UnityMedia Port angibst, hast du eine Routerkaskade und du musst natürlich auch in dein UnityMedia Router dort ein entsprechendes Portforwarding zu deiner Sophos einrichten. Somit hat auch deine Sophos selbst ein WAN bzw. Physikalischen Port der als solcher betrachtet werden kann, auch wenns ein LAN Port an dein UnityMedia Router ist.
Die IPs V4 und oder V6 passen alle?
Dein UnityMedia KabelRouter ist auch aus dem Internet erreichbar bzw. Öffentliche IPv4 oder doch nur eine Private IP ala Carrierer Grade NAT?
Wie ist dein Netz aufgebaut bzw. wer macht dort was und was kommt ins Haus?
Ein Wireshark und eine HUB hilft dir die Pakete zu verfolgen. Auch eine Sophos UTM kann ein Paketmittschnitt - erfordert aber Konsolenzugriff.
https://community.sophos.com/kb/de-de/115343
https://community.sophos.com/kb/en-us/123567
https://blog.escarra.org/?p=614
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://community.spiceworks.com/topic/1569486-full-packet-capture-sopho ...
Gruß,
Peter
Zitat von @Sachellen:
P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können
?!? Was hat jetzt ein HotSpot mit dein Portforwarding zu tun? Und testen musst du aus dem Internet - nicht aus dein Netz/LAN.P.S.: Schwieriger als gedacht.. Ich hab gerade ein Hotspot aktiv, um aus dem Netz aus testen zu können
aber ich bekomme es jeweils mit HTTP nicht hin. Sehr merkwürdig.. Ich habe folgende Einstellungen:
Deine Einstellungen besagen doch das alles was aus dem Internet (Ist das die Defaultbezeichnung die Sophos erstellt?), als Dienst oder Port eben Port 80 entspricht (HTTP) und als Ziel dein UnityMedia (Router - ist hier die WAN oder LAN IP gemeint?) geht soll nach ein Host (Gerät ohne name) auf Port 80 (ebenfalls HTTP) umgeleitet werden. Den Zieldienst kannst du hier weglassen.Besser:
Datenverkehrsquelle: Any
Datenverkehrsdienst: HTTP und
Datenverkehrsziel: External (WAN) (Address) - Das Interface was dein WAN an der Sophos darstellt und beim Installieren angegeben wurde)
Ziel ändern in: Hier deine VM mit dein Tomcat
Dienst ändern in: HTTP und
Da wir dein Netzaufbau nicht kennen, aber du hier einen UnityMedia Port angibst, hast du eine Routerkaskade und du musst natürlich auch in dein UnityMedia Router dort ein entsprechendes Portforwarding zu deiner Sophos einrichten. Somit hat auch deine Sophos selbst ein WAN bzw. Physikalischen Port der als solcher betrachtet werden kann, auch wenns ein LAN Port an dein UnityMedia Router ist.
Die IPs V4 und oder V6 passen alle?
Dein UnityMedia KabelRouter ist auch aus dem Internet erreichbar bzw. Öffentliche IPv4 oder doch nur eine Private IP ala Carrierer Grade NAT?
Wie ist dein Netz aufgebaut bzw. wer macht dort was und was kommt ins Haus?
Ein Wireshark und eine HUB hilft dir die Pakete zu verfolgen. Auch eine Sophos UTM kann ein Paketmittschnitt - erfordert aber Konsolenzugriff.
https://community.sophos.com/kb/de-de/115343
https://community.sophos.com/kb/en-us/123567
https://blog.escarra.org/?p=614
http://www.stknetwork.com/2013/01/astaro-v7-how-to-sniff-traffic-direct ...
https://community.spiceworks.com/topic/1569486-full-packet-capture-sopho ...
VPN kommt leider nicht in Frage, da der Kunde nur Webzugriff hat
Auch über VPN kannst du sauber regeln das der VPN Benutzer halt nur 1 IP erreichen und nur 1 Port (HTTP/HTTPS) nutzen kann. Zur Zeit hört sich alles nur so an das ihr einen Kunden eine bestimmte Webseite zeigen wollt.Gruß,
Peter
1
Hallo Pjordorf,
danke Dir für deine Antwort!
Der letzte Satz interessiert mich gerade fast am meisten. Du hast Recht, wir wollen einem Kunde, eine Tomcat dienst, der per URL erreichbar ist (loegt alles auf einem internen Webserver) zeigen. Dabei ist es uns wichtig, dass dieser keine Einstellungen/Installationen vornehmen muss. Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.
Ich teste gerade die HTML5 VPN Funktion der Sophos, was auch sehr schön funktioniert, aber da kommt wieder der Port ins spiel v_v
Könntest du mir sagen, wie Du dir das gedacht hattest?
Danke.
danke Dir für deine Antwort!
Der letzte Satz interessiert mich gerade fast am meisten. Du hast Recht, wir wollen einem Kunde, eine Tomcat dienst, der per URL erreichbar ist (loegt alles auf einem internen Webserver) zeigen. Dabei ist es uns wichtig, dass dieser keine Einstellungen/Installationen vornehmen muss. Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.
Ich teste gerade die HTML5 VPN Funktion der Sophos, was auch sehr schön funktioniert, aber da kommt wieder der Port ins spiel v_v
Könntest du mir sagen, wie Du dir das gedacht hattest?
Danke.
Hallo,
Vielleicht den Kunden zu euch zu einen Kaffee einladen?
Gruß,
Peter
Zitat von @Sachellen:
Du hast Recht, wir wollen einem Kunde... Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.
Naja, Eion SSL VPN braucht auch einen Port, hier ein HHTPS oder was auch immer. Wenn dieser eine Kunden nicht ins Internet darf aber Entscheidungsträger ist, dann ist was faul. Ports 80, 443 sind meistens offen und auch die Ziele sind erlaubt, je nach Struktur und Sicherheitsbedürfnisse der Firma und dessen IT. Wenn aber ein Potenzieller Kunde von euch schon nicht ins Internet gelangt, dann werdet ihr evtentuell vor Ort vorstellig werden müssen und dann mit eurem Gerätschaften entweder vor Ort oder per .zb. euer eigenes LTE was zaubern müssen. Dann fällt mir noch VPN mit VNC & Co ein sowie VPN und RDP, selbst Teamviewer kann zur Vorführung genutzt werden, er muss nur halt irgendwie ins Internet dürfen. Wenn euer Kunde nicht ins Internet darf, dann müsst ihr ihm das anderweitig zeigen was er auf eurer Webseite sehen würde. Powerpoint?. Viele wege führen zum sehen eurer Webseite.Du hast Recht, wir wollen einem Kunde... Daher viel hier VPN aus meiner Sicht weg. Denn dafür benötigt man bei uns einen TCP/UPD Port, der nicht bei allen freigeschaltet sein könnte. Und dann muss er sich bei der IT bei denen melden.
Ich teste gerade die HTML5 VPN Funktion der Sophos, was auch sehr schön funktioniert, aber da kommt wieder der Port ins spiel
Nun, dein Kunde will ja was von euch oder wollt ihr ihm zwingend was vorgaukeln? Dein Kunde wird schon wissen warum er etwas nicht darf und ihr solltet wissen das es auch z.B. per Flugzeug eben andere Wege gibt eine Webseite jemanden zu zeigen. Da werdet ihr euch wohl auf eine Gemeinsamkeit vereinbaren können. Wir können da nur Staunend daneben stehen und uns über eure nicht Kommunikation lächeln. Dir nützt keine Technische Lösung wenn euer Kunde sich sträubt.Könntest du mir sagen, wie Du dir das gedacht hattest?
Ruf bei eurem Kunden dessen IT an und vereinbart das was ihr wollt - oder eben nicht.Vielleicht den Kunden zu euch zu einen Kaffee einladen?
Gruß,
Peter
Der Kunde darf ins internet, aber die haben halt keine eigene IT und das sind meine Vorgaben. Ich kann auch nichts dafür.
Ich versuche halt die beste Möglichkeit zu bieten, mit den Ports die fürs web standard freigeschaltet sind. Ich hatte mich nur gefragt, ob für der HTML5 VPN Port 80 ausreicht.
Ich denke, ich teste jetzt HTML5 VPN und WAF.
Vielen Dank für Eure Antworten
Ich versuche halt die beste Möglichkeit zu bieten, mit den Ports die fürs web standard freigeschaltet sind. Ich hatte mich nur gefragt, ob für der HTML5 VPN Port 80 ausreicht.
Ich denke, ich teste jetzt HTML5 VPN und WAF.
Vielen Dank für Eure Antworten
