12
Externer Zugriff auf Webserver
Hallo zusammen,
ich habe folgendes Problem:
Ein Kollege muss gelegentlich auf einen Webserver zugreiffen, sowohl von intern als auch von extern.
Der interne Zugriff funktioniert auch soweit wie es sein soll.
Nun aber zum externen Zugriff...
Wir setzen eine UTM9 Firewall von Sophos ein.
Ich habe 4 NAT-Regeln erstellt die für den Zugriff auf den Server nötig sind, für die Ports 443, 8080, 6619 und 3305. Der Zugriff funktioniert nicht.
Erstelle ich nun eine Masquerading Regel von Any auf das Interne Netzwerk funktioniert auch der Zugriff auf den Webserver.
Nun zu meiner Frage:
Da ich noch keine Erfahrungen mit Masquerading habe und auch weitestgehend nur über Masquerading Regeln gelesen habe die den Zugriff vom internen Netz ins Internet gewähren (nicht wie in meinem Fall vom Internet ins interne Netz) kenne ich die Folgen nicht die die Einstellung mit sich bringt. Ich habe die Masquerading Regel erstellt, den Zugriff von extern bekommen und die Regel Sicherheitshalber vorerst wieder deaktiviert.
Kann mir jemand sagen welche folgen die von mir erstellte Masquerading-Regel mit sich bringt? Eigentlich sollten für den externen Zugriff doch die NAT-Regeln ausreichen oder liege ich hier gerade falsch?
ich habe folgendes Problem:
Ein Kollege muss gelegentlich auf einen Webserver zugreiffen, sowohl von intern als auch von extern.
Der interne Zugriff funktioniert auch soweit wie es sein soll.
Nun aber zum externen Zugriff...
Wir setzen eine UTM9 Firewall von Sophos ein.
Ich habe 4 NAT-Regeln erstellt die für den Zugriff auf den Server nötig sind, für die Ports 443, 8080, 6619 und 3305. Der Zugriff funktioniert nicht.
Erstelle ich nun eine Masquerading Regel von Any auf das Interne Netzwerk funktioniert auch der Zugriff auf den Webserver.
Nun zu meiner Frage:
Da ich noch keine Erfahrungen mit Masquerading habe und auch weitestgehend nur über Masquerading Regeln gelesen habe die den Zugriff vom internen Netz ins Internet gewähren (nicht wie in meinem Fall vom Internet ins interne Netz) kenne ich die Folgen nicht die die Einstellung mit sich bringt. Ich habe die Masquerading Regel erstellt, den Zugriff von extern bekommen und die Regel Sicherheitshalber vorerst wieder deaktiviert.
Kann mir jemand sagen welche folgen die von mir erstellte Masquerading-Regel mit sich bringt? Eigentlich sollten für den externen Zugriff doch die NAT-Regeln ausreichen oder liege ich hier gerade falsch?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 386925
Url: https://administrator.de/forum/externer-zugriff-auf-webserver-386925.html
Ausgedruckt am: 17.04.2025 um 14:04 Uhr
12 Kommentare
Neuester Kommentar
Hallo KL,
mit Masquerading setzt die Sophos sich als ErsatzAdresse für die bisherige Serveradresse ein, da logischerweise kein Internetteilnehmer etwas mit der Privaten IP 182.168.111.111 anfangen kann (bspw.)
VG
mit Masquerading setzt die Sophos sich als ErsatzAdresse für die bisherige Serveradresse ein, da logischerweise kein Internetteilnehmer etwas mit der Privaten IP 182.168.111.111 anfangen kann (bspw.)
VG
Hallo,
als allererstes würde sich hier natürlich die frage aufstellen welche Meldung kommt, wo gibt es einträge in den Logs.
Es könnte hier durchaus möglich sein das einfach nur der Webserver auf einen gewissen IP Bereich antwortet bzw. antworten darf
als allererstes würde sich hier natürlich die frage aufstellen welche Meldung kommt, wo gibt es einträge in den Logs.
Es könnte hier durchaus möglich sein das einfach nur der Webserver auf einen gewissen IP Bereich antwortet bzw. antworten darf
Eigentlich sollten für den externen Zugriff doch die NAT-Regeln ausreichen oder liege ich hier gerade falsch?
Nöp auch die Firewall muss die Pakete mit entsprechender Regel passieren lassen:How to Port Forward Service Ports with NAT
Hallo,
wäre ein VPN nicht sicherer und einfacher?
So musst Du Dir Gedanken über die Sicherheit des Webservers machen und was passiert wenn den Jemand hackt.
Updates, Konfiguration, Brute-Force, Sicherheitslücke in der Webseite, etc.
Stefan
wäre ein VPN nicht sicherer und einfacher?
So musst Du Dir Gedanken über die Sicherheit des Webservers machen und was passiert wenn den Jemand hackt.
Updates, Konfiguration, Brute-Force, Sicherheitslücke in der Webseite, etc.
Stefan
Hallo,
OK, mit welchen Modulen?
Gruß,
Peter
OK, mit welchen Modulen?
Ich habe 4 NAT-Regeln erstellt die für den Zugriff auf den Server nötig sind, für die Ports 443, 8080, 6619 und 3305. Der Zugriff funktioniert nicht.
Wo? Hier mal z.B. für einen ExchangeGruß,
Peter
Hallo Peter,
- Email Protection
- Network Protection
- Web Protection
- Webserver Protection
- Wireless Protection
An der selben stelle wie Du. Also unter Network Protection -> NAT -> NAT und dann als DNAT Regeln. Nur halt für die o.g. Ports...
Es hat auch soweit alles funktioniert bis vor ca einem Monat. Bis dahin lief alles über die Telekom. Ab dem Tag wo der Telekom Anschluss abgeschaltet wurde und alles über Unitymedia lief, gab es keinen Zugriff mehr auf den Server.
Eigentlich ist das Masquerading ja (wenn ich es richtig verstanden habe) dafür da, um mehrere interne IPs auf eine externe IP "umleitet" über die dann nach extern kommuniziert wird. Wie aber ist die Sicherheit wenn ich den Spieß umdrehe, sprich die Masquerading Regel von "Any" zu "Internal" weiterleite? Sind dann nicht auch alle anderen internen Clients/Server von außen erreichbar?
OK, mit welchen Modulen?
Ich hoffe ich habe an der richtigen stelle geguckt:- Email Protection
- Network Protection
- Web Protection
- Webserver Protection
- Wireless Protection
Ich habe 4 NAT-Regeln erstellt die für den Zugriff auf den Server nötig sind, für die Ports 443, 8080, 6619 und 3305. Der Zugriff funktioniert nicht.
Wo? Hier mal z.B. für einen ExchangeEs hat auch soweit alles funktioniert bis vor ca einem Monat. Bis dahin lief alles über die Telekom. Ab dem Tag wo der Telekom Anschluss abgeschaltet wurde und alles über Unitymedia lief, gab es keinen Zugriff mehr auf den Server.
Eigentlich ist das Masquerading ja (wenn ich es richtig verstanden habe) dafür da, um mehrere interne IPs auf eine externe IP "umleitet" über die dann nach extern kommuniziert wird. Wie aber ist die Sicherheit wenn ich den Spieß umdrehe, sprich die Masquerading Regel von "Any" zu "Internal" weiterleite? Sind dann nicht auch alle anderen internen Clients/Server von außen erreichbar?
Bis dahin lief alles über die Telekom. Ab dem Tag wo der Telekom Anschluss abgeschaltet wurde und alles über Unitymedia lief, gab es keinen Zugriff mehr auf den Server.
Carrier Grade NAT beim Provider? Dann geht das natürlich nicht. Checke deine öffentliche IP wenn die im Bereich RFC1918 liegt, möööp geht nicht.
Hallo,
Da wurde dir ja schon was zu gesagt. Du hast nun andere Öffentliche IPs usw. Immer noch eine IPv4 wo du eine Portweiterleitung machen kannst oder läuft jetzt alles IPv6 oder was?
Gruß,
Peter
Da wurde dir ja schon was zu gesagt. Du hast nun andere Öffentliche IPs usw. Immer noch eine IPv4 wo du eine Portweiterleitung machen kannst oder läuft jetzt alles IPv6 oder was?
Gruß,
Peter
läuft jetzt alles IPv6 oder was?
Ne alles über IPv4
Hallo,
Die Frage für die 100 Gummipunkte lautet aber ob es ein Private IP oder nicht ist. RFC1918 siehe auch Frage von @137084.
Gruß,
Peter
Die Frage für die 100 Gummipunkte lautet aber ob es ein Private IP oder nicht ist. RFC1918 siehe auch Frage von @137084.
Gruß,
Peter
Der Server selbst hat eine private IP (im 192.168.72.0/24 Netz) und wir haben eine externe IP, die auf die interne IP weitergeleitet wird.
Von außen war der Server, bis zur umstellung von der Telekom zu Unitymedia auch über eine externe IP erreichbar.
Wenn ich eine Masquerading Regel erstelle "Any" --> "Internal" funktioniert der Zugriff auf den Server auch von extern.
Meine Frage ist ob durch die Masquerading-Regel auch andere Systeme im Netz von außen erreichbar sind?
Von außen war der Server, bis zur umstellung von der Telekom zu Unitymedia auch über eine externe IP erreichbar.
Wenn ich eine Masquerading Regel erstelle "Any" --> "Internal" funktioniert der Zugriff auf den Server auch von extern.
Meine Frage ist ob durch die Masquerading-Regel auch andere Systeme im Netz von außen erreichbar sind?
Hallo,
Nicht die IPs aus deinen LAN sind hier ausschalgebend, sondern die Öffentliche IP welche an dein Router zur Aussenwelt anliegt. Und wenn dort eine RFC1918 IP anliegt, kannst du nicht von aussen (Internet) auf deine internern WebServer zugreifen.
https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.5.html
http://www.tcp-ip-info.de/tcp_ip_und_internet/ip_masquerading.htm
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa114191 ...
https://serverfault.com/questions/739607/tcp-ip-why-does-routing-without ...
Gruß,
Peter
Nicht die IPs aus deinen LAN sind hier ausschalgebend, sondern die Öffentliche IP welche an dein Router zur Aussenwelt anliegt. Und wenn dort eine RFC1918 IP anliegt, kannst du nicht von aussen (Internet) auf deine internern WebServer zugreifen.
Von außen war der Server, bis zur umstellung von der Telekom zu Unitymedia auch über eine externe IP erreichbar.
Klar, und was passierte nach der Umstellung - es ging nicht mehr weil, und das ist das entscheidende. Was also ist bei UnityMedia anders als bei der T-Com? Es ist nicht nur das der eine ausschliesslich DSL macht und der andere ausschliesslich Antennen Kabel DOCSIS nutzt. Wie lautet deine externe (Öffentliche ) IP. Bitte so wiedergeben das niemand deine wirkliche IP erkennen kann, aber wir trotzdem sehen um was es geht. RFC1918 überhaupt gelesen?https://www.tldp.org/HOWTO/IP-Masquerade-HOWTO/ipmasq-background2.5.html
http://www.tcp-ip-info.de/tcp_ip_und_internet/ip_masquerading.htm
https://www.lancom-systems.de/docs/LCOS/referenzhandbuch/topics/aa114191 ...
https://serverfault.com/questions/739607/tcp-ip-why-does-routing-without ...
Gruß,
Peter
