4
LANCOM 1721 Firewall - Zugriffe nur von bestimmten IPs auf Webserver
Hallo zusammen,
ich bin glaube ich entweder ein wenig zu blöd oder mache mir zu viele Knoten in mein Gehirn
Auf einem Testserver habe ich unter Debian 6 einen Webserver am laufen, der hinter einem LANCOM 1721 steht. Ich habe eine feste IP und in meinem Home-Office ebenfalls eine feste IP. Nun möchte ich es so einrichten, dass ich nur von meiner Home-Office-IP auf den Webserver und evtl. andere Dienste wie SSH zugreifen kann.
Am LANCOM habe ich Port-Forwarding auf Port 80,443 und 22 für SSH aktiv und entsprechende Firewall-Einträge. Wenn ich in der Firewall als Quell-Netz nur meine Home-Office-IP eintrage komme ich dennoch per UMTS am Handy auf den Webserver. Als ersten Eintrag habe ich einen DENY-ALL (nach LANCOM KB http://www2.lancom.de/kb.nsf/1275/BB6FD1480986547FC1257433004F0C6B?Open ..) gemacht, und dann meinen Webserver entsprechend eingetragen.
Ich bin gerade etwas verwirrt und finde gerade meinen Haken nicht
Auch nach längerer Suche bei Google und hier im Forum.
Bitte um Hilfe
Danke
Chris
ich bin glaube ich entweder ein wenig zu blöd oder mache mir zu viele Knoten in mein Gehirn
Auf einem Testserver habe ich unter Debian 6 einen Webserver am laufen, der hinter einem LANCOM 1721 steht. Ich habe eine feste IP und in meinem Home-Office ebenfalls eine feste IP. Nun möchte ich es so einrichten, dass ich nur von meiner Home-Office-IP auf den Webserver und evtl. andere Dienste wie SSH zugreifen kann.
Am LANCOM habe ich Port-Forwarding auf Port 80,443 und 22 für SSH aktiv und entsprechende Firewall-Einträge. Wenn ich in der Firewall als Quell-Netz nur meine Home-Office-IP eintrage komme ich dennoch per UMTS am Handy auf den Webserver. Als ersten Eintrag habe ich einen DENY-ALL (nach LANCOM KB http://www2.lancom.de/kb.nsf/1275/BB6FD1480986547FC1257433004F0C6B?Open ..) gemacht, und dann meinen Webserver entsprechend eingetragen.
Ich bin gerade etwas verwirrt und finde gerade meinen Haken nicht
Auch nach längerer Suche bei Google und hier im Forum.Bitte um Hilfe
Danke
Chris
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 197950
Url: https://administrator.de/contentid/197950
Ausgedruckt am: 26.11.2024 um 09:11 Uhr
4 Kommentare
Neuester Kommentar
Hallo ChrisMoltisanti,
falls es sich um die Kosten für den VPN Klienten und/oder die Lizenz handelt, versuche
doch einfach einmal den VPN Klienten von ShrewSoft!
Damit dann einfach eine VPN von zu Hause auf den Lancom auf der Arbeit und gut ist es,
dann kannst Du auf alles im LAN zugreifen und hast die Ports vorne nicht geöffnet.
Oder von Deinem Router zu Hause zum Lancom ein Site-to-Site VPN aufbauen und IPSec benutzen!
Gruß
Dobby
falls es sich um die Kosten für den VPN Klienten und/oder die Lizenz handelt, versuche
doch einfach einmal den VPN Klienten von ShrewSoft!
Damit dann einfach eine VPN von zu Hause auf den Lancom auf der Arbeit und gut ist es,
dann kannst Du auf alles im LAN zugreifen und hast die Ports vorne nicht geöffnet.
Oder von Deinem Router zu Hause zum Lancom ein Site-to-Site VPN aufbauen und IPSec benutzen!
Gruß
Dobby
Dein oben zitiertes Beispiel bezieht auf Traffic der vom lokalen LAN Port raus ins Internet geht aber nicht andersrum. Hier liegt also dein fataler Denkfehler.
Wenn du dort eine Allow Regel der öffentlichen Home Office IP angibst interessiert das den DSL Port und incoming Traffic dort herzlich wenig bis gar nicht logischerweise.
Folglich ist es klar das du vom UMTS dann fröhlich weiter auf den Webserver kommst. Funktioniert also alles wie es soll.
Kollege Dobby hat aber Recht. Du bohrst fröhlich Löcher in die Firewall und öffnest der Welt draussen dein lokales LAN. PFW ist nie wirklich sicher und birgt final erhebliche Risiken. Nimmst du die bewusst in Kauf ist das OK nur dann wäre deine Filter Paranoia eigentlich Unsinn.
Dobbys Vorschlag kommt also nicht von ungefähr besser eine Client VPN Kopplung oder noch besser eine Site to Site VPN Kopplung zu machen.
Wenn du schon so gute und leistungsfähige Routerhardware hast wäre es ja Perlen vor die Säuse das nicht zu machen...
Die PFW Fricklei und Löcher in der FW kannst du dann komplett vergessen.
Technisch die erheblich bessere Lösung.
Wenn du dort eine Allow Regel der öffentlichen Home Office IP angibst interessiert das den DSL Port und incoming Traffic dort herzlich wenig bis gar nicht logischerweise.
Folglich ist es klar das du vom UMTS dann fröhlich weiter auf den Webserver kommst. Funktioniert also alles wie es soll.
Kollege Dobby hat aber Recht. Du bohrst fröhlich Löcher in die Firewall und öffnest der Welt draussen dein lokales LAN. PFW ist nie wirklich sicher und birgt final erhebliche Risiken. Nimmst du die bewusst in Kauf ist das OK nur dann wäre deine Filter Paranoia eigentlich Unsinn.
Dobbys Vorschlag kommt also nicht von ungefähr besser eine Client VPN Kopplung oder noch besser eine Site to Site VPN Kopplung zu machen.
Wenn du schon so gute und leistungsfähige Routerhardware hast wäre es ja Perlen vor die Säuse das nicht zu machen...
Die PFW Fricklei und Löcher in der FW kannst du dann komplett vergessen.
Technisch die erheblich bessere Lösung.
Hi,
danke! Habe gerade nochmal das Beispiel gelesen und da ist mir das auch aufgefallen. Schande über mein Haupt Macht natürlich Sinn, was Ihr geschrieben habt. Man könnte ja auch IP Spoofing betreiben...
Konkret habe ich aber leider kein site-to-site-VPN Router. Ich teste die Umsetzung für verschiedene Außenstandorte von uns, die mit Telekom-Standard-Routern (sind je nur 2-3 Mann vor Ort) an das Internet angebunden sind. Da werde ich im Endeffekt nicht drum herum kommen, meinen Chef davon zu überzeugen, dass noch paar LANCOMs fällig werden
Viele Grüße
danke! Habe gerade nochmal das Beispiel gelesen und da ist mir das auch aufgefallen. Schande über mein Haupt
Macht natürlich Sinn, was Ihr geschrieben habt. Man könnte ja auch IP Spoofing betreiben...Konkret habe ich aber leider kein site-to-site-VPN Router. Ich teste die Umsetzung für verschiedene Außenstandorte von uns, die mit Telekom-Standard-Routern (sind je nur 2-3 Mann vor Ort) an das Internet angebunden sind. Da werde ich im Endeffekt nicht drum herum kommen, meinen Chef davon zu überzeugen, dass noch paar LANCOMs fällig werden
Viele Grüße
Hallo ChrisMoltisanti,
Du es wesentlich besser und einfacher, denn da hast Du vor allen Dingen auch richtig lange etwas
davon!!!!
Draytek hat auch wohl etwas preisgünstiger Router im Angebot ich kann Dir nicht viel dazu sagen,
aber der @aqui empfiehlt die des öfteren hier im Forum und der weiß in der Regel welcher Router
was vermag!
Alle beiden haben jeweils auch einen Router im Sortiment mit einem SFP Port für FTTx Lösungen,
also wenn Ihr irgend wann auf so etwas umsteigen wollt vielleicht nicht schlecht zu wissen.
Gruß
Dobby
...meinen Chef davon zu überzeugen, dass noch paar LANCOMs fällig werden
Die sind nicht billig, aber wenn Du das schaffst Ihn davon zu überzeugen, hastDu es wesentlich besser und einfacher, denn da hast Du vor allen Dingen auch richtig lange etwas
davon!!!!
Draytek hat auch wohl etwas preisgünstiger Router im Angebot ich kann Dir nicht viel dazu sagen,
aber der @aqui empfiehlt die des öfteren hier im Forum und der weiß in der Regel welcher Router
was vermag!
Alle beiden haben jeweils auch einen Router im Sortiment mit einem SFP Port für FTTx Lösungen,
also wenn Ihr irgend wann auf so etwas umsteigen wollt vielleicht nicht schlecht zu wissen.
Gruß
Dobby
