NAT auf ein paar Ports beschränken? Wie?
Hallo,
da ich seit ein paar Monaten mit dem Aufbau eines Server in einem kleinen Unternehmen betraut bin habe ich eine Frage an euch. Das System ist folgendermaßen aufgebaut: Server läuft als DC und Jana-Server läuft als Proxy, denn wir müssen die Zugriffe der Clients (zur Zeit 6) ins Web protokollieren. Zuerst hatten wir deswegen auch kein RRAS mit NAT aktiviert, da das Surfen im Web wunderbar funktioniert per Proxy. Mittlerweile sind jedoch die Anforderungen gestiegen, auch mal anderen Diensten den Zugriff aufs Web zu gewähren (Bsp: FTP, MAIL, NEWS, ICQ, ...). Deswegen haben wir NAT aktiviert. Jetzt besteht natürlich das Problem, dass somit zur Zeit ALLE Ports und Protokolle ins Web weitergeleitet werden, was aber im Falle von eMule oder sonstigen Proggis nicht sein soll.
Meine Idee war es nun, in den RRAS Optionen mit Hilfe der eingehenden und ausgehenden Filter erstmal alle Pakete zu blocken und dann nur die gewünschten freizugeben. Wenn ich diese Filter bei der internen Netzwerkkarte anwende, dann können sich die Leute aber nicht mehr in die Domäne einwählen oder sontiges im LAN machen (schätze, ich hab da wichtige Ports noch nicht freigegeben). Andererseits könnte ich ja auch den Filter an der externen Netzwerkkarte aktivieren und somit unerwünschte Pakete von innen nicht weiter nach außen leiten. Aber auch das funktioniert nicht, denn wenn ich zum Beispiel Quellport 80 blockiere, dann kann der Proxy auch keine Seiten mehr beziehen.
Wo setzt man den Filter richtigerweise an bzw. gibt es andere Möglichkeiten, um das Vorhaben zu realisieren?
Hier nochmal der Systemaufbau:
Server hat zwei Netzerkkarte:
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0
- interne Karte: verbunden mit LAN, IP: 192.168.0.100, Subnetz: 255.255.255.0
- auf dem Server läuft Jana-Server als HTTP-Proxy und neuerdings auch NAT
Wäre für jede Hilfe dankbar.
onkelfu
da ich seit ein paar Monaten mit dem Aufbau eines Server in einem kleinen Unternehmen betraut bin habe ich eine Frage an euch. Das System ist folgendermaßen aufgebaut: Server läuft als DC und Jana-Server läuft als Proxy, denn wir müssen die Zugriffe der Clients (zur Zeit 6) ins Web protokollieren. Zuerst hatten wir deswegen auch kein RRAS mit NAT aktiviert, da das Surfen im Web wunderbar funktioniert per Proxy. Mittlerweile sind jedoch die Anforderungen gestiegen, auch mal anderen Diensten den Zugriff aufs Web zu gewähren (Bsp: FTP, MAIL, NEWS, ICQ, ...). Deswegen haben wir NAT aktiviert. Jetzt besteht natürlich das Problem, dass somit zur Zeit ALLE Ports und Protokolle ins Web weitergeleitet werden, was aber im Falle von eMule oder sonstigen Proggis nicht sein soll.
Meine Idee war es nun, in den RRAS Optionen mit Hilfe der eingehenden und ausgehenden Filter erstmal alle Pakete zu blocken und dann nur die gewünschten freizugeben. Wenn ich diese Filter bei der internen Netzwerkkarte anwende, dann können sich die Leute aber nicht mehr in die Domäne einwählen oder sontiges im LAN machen (schätze, ich hab da wichtige Ports noch nicht freigegeben). Andererseits könnte ich ja auch den Filter an der externen Netzwerkkarte aktivieren und somit unerwünschte Pakete von innen nicht weiter nach außen leiten. Aber auch das funktioniert nicht, denn wenn ich zum Beispiel Quellport 80 blockiere, dann kann der Proxy auch keine Seiten mehr beziehen.
Wo setzt man den Filter richtigerweise an bzw. gibt es andere Möglichkeiten, um das Vorhaben zu realisieren?
Hier nochmal der Systemaufbau:
Server hat zwei Netzerkkarte:
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0
- interne Karte: verbunden mit LAN, IP: 192.168.0.100, Subnetz: 255.255.255.0
- auf dem Server läuft Jana-Server als HTTP-Proxy und neuerdings auch NAT
Wäre für jede Hilfe dankbar.
onkelfu
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 10833
Url: https://administrator.de/forum/nat-auf-ein-paar-ports-beschraenken-wie-10833.html
Ausgedruckt am: 28.04.2025 um 21:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
du kannst NAT Ports öffnen, die dann extern wie intern die gleiche Portnummer besitzen. Sie werden dann nicht umgedreht. Ist zum Beispiel gut für Emule. Extern wie intern die gleichen Portnummern, Port 4661, 4662...
Aber wie geht denn
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0 ???
ist da noch ein Router vor??
Honk
du kannst NAT Ports öffnen, die dann extern wie intern die gleiche Portnummer besitzen. Sie werden dann nicht umgedreht. Ist zum Beispiel gut für Emule. Extern wie intern die gleichen Portnummern, Port 4661, 4662...
Aber wie geht denn
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0 ???
ist da noch ein Router vor??
Honk
Ja, das ist noch ein Router davor, der sich ins Internet wählt und als "firewall" benutzt wird. Da hängt auch nur der server dran.
Aber wie mach ich das in der Praxis mit den Ports, dass zwar NAT aktiv ist, aber eben nur die gewünschten Ports und Protokolle weitergereicht werden?
onkelfu
Aber wie mach ich das in der Praxis mit den Ports, dass zwar NAT aktiv ist, aber eben nur die gewünschten Ports und Protokolle weitergereicht werden?
onkelfu
Hai,
wenn du bestimmte Ports oder Ip Adressen blockieren willst, kannst du auf der externen Netzwerkkarte den ausgehenden Filter konfigurieren. Dazu auf neu drücken, unten bei Protokoll auf TCP, UDP, oder andere und dann enstprechenden Eintrag hinzufügen.
Zuletzt dann noch die entsprechende Filteraktion oben wählen und gut ist.
z. B. Protokoll TCP, Zielport 25, Filteraktion:alle außer den unten aufgeführten.. >>>> Email nach außen dicht (SMTP).
Aber auf deinem Router läuft doch garantiert schon NAT und ne FW ist auch schon drauf. Warum steuerst du den darüber nicht alles???
Honk
wenn du bestimmte Ports oder Ip Adressen blockieren willst, kannst du auf der externen Netzwerkkarte den ausgehenden Filter konfigurieren. Dazu auf neu drücken, unten bei Protokoll auf TCP, UDP, oder andere und dann enstprechenden Eintrag hinzufügen.
Zuletzt dann noch die entsprechende Filteraktion oben wählen und gut ist.
z. B. Protokoll TCP, Zielport 25, Filteraktion:alle außer den unten aufgeführten.. >>>> Email nach außen dicht (SMTP).
Aber auf deinem Router läuft doch garantiert schon NAT und ne FW ist auch schon drauf. Warum steuerst du den darüber nicht alles???
Honk
Hi,
ja, auf dem Router läuft schon NAT, aber ich MUSS die Zugriffe auf Webseiten protokollieren (Anweisung von ganz oben *g*) und deswegen läuft die ganze Sache über den Jana-Proxy und die Logfiles werden schön jeden Tag weggesichert.
Die ausgehenden Filter auf der externen Netzwerkkarte hab ich schon probiert. Zwei Sachen hab ich da versucht.
erstens: Quelladresse: beliebig, Zieladresse: beliebig, Protokoll: TCP, Quellport: beliebig, Zielport: 80. Wenn ich diese Pakete blockiere, dann kann auch der Proxy keine Seiten mehr beziehen.
Habe dann versucht, mal eine Einstellung mit der Quelladresse zu machen (mit dem Gedanken, dass alle Pakete, die auf der externen Adresse raus wollen, aber vom internen Netz kommen, geblockt werden). Einstellungen: Quelladresse: 192.168.0.0, Quellmaske: 255.255.255.0, Zieladesse: beliebig, Protokoll: TCP, Quellport: beliebig, Zielport: 80.
Diese Variante greift überhaupt nicht. Scheint dran zu liegen, dass die Pakete dann schon durchs NAT durch sind und somit den Quelladresse der des Servers entspricht.
Hoffe, ich konnte das einigermaßen verständlich beschreiben.
Haste noch ne Idee?
onkelfu
btw: Was ist eigentlich der Unterscheid zwischen TCP und TCP[eingerichtet]?
ja, auf dem Router läuft schon NAT, aber ich MUSS die Zugriffe auf Webseiten protokollieren (Anweisung von ganz oben *g*) und deswegen läuft die ganze Sache über den Jana-Proxy und die Logfiles werden schön jeden Tag weggesichert.
Die ausgehenden Filter auf der externen Netzwerkkarte hab ich schon probiert. Zwei Sachen hab ich da versucht.
erstens: Quelladresse: beliebig, Zieladresse: beliebig, Protokoll: TCP, Quellport: beliebig, Zielport: 80. Wenn ich diese Pakete blockiere, dann kann auch der Proxy keine Seiten mehr beziehen.
Habe dann versucht, mal eine Einstellung mit der Quelladresse zu machen (mit dem Gedanken, dass alle Pakete, die auf der externen Adresse raus wollen, aber vom internen Netz kommen, geblockt werden). Einstellungen: Quelladresse: 192.168.0.0, Quellmaske: 255.255.255.0, Zieladesse: beliebig, Protokoll: TCP, Quellport: beliebig, Zielport: 80.
Diese Variante greift überhaupt nicht. Scheint dran zu liegen, dass die Pakete dann schon durchs NAT durch sind und somit den Quelladresse der des Servers entspricht.
Hoffe, ich konnte das einigermaßen verständlich beschreiben.
Haste noch ne Idee?
onkelfu
btw: Was ist eigentlich der Unterscheid zwischen TCP und TCP[eingerichtet]?
Moin,
Was für ein Router hängt denn vor dem Proxy??
Wenn das "nur" ein SOHO Router ist
würde ich diese Sache über eine "Richtige" Firewall lösen.
Die auch für die Internetverbindung zuständig ist. Also nicht einen Router mit Firewall funktionen, sondern eine Firewall mit integrietem Router
Da gibt es ja den viele möglichkeiten. Die einfachste wäre meiner meinung nach Gateprotect. Das ist eine FW die nicht sehr teuer ist. (Gerade bei wenigen usern) und sie hat eine Super log funktion. Da kannst du genau sehen wer wo wann was im Internet gemach hat. Konfiguriert wird sie über einen extra PC. Super easy. Hast denn da ne GUI. Da kann dein Chef sich dann auch anmelden und nachsehen was im internet gemacht wir. Wenn dir dann man was nicht gefällt: rechtsklick seite, dienst blocken fertig. Die FW läuft auf Linux Basis. Brauchst aber keine Linux kenntnise.
Nachteil ist leider das wieder neu kosten anfallen und ZEIT!
gruß
Keek
Was für ein Router hängt denn vor dem Proxy??
Wenn das "nur" ein SOHO Router ist
würde ich diese Sache über eine "Richtige" Firewall lösen.
Die auch für die Internetverbindung zuständig ist. Also nicht einen Router mit Firewall funktionen, sondern eine Firewall mit integrietem Router
Da gibt es ja den viele möglichkeiten. Die einfachste wäre meiner meinung nach Gateprotect. Das ist eine FW die nicht sehr teuer ist. (Gerade bei wenigen usern) und sie hat eine Super log funktion. Da kannst du genau sehen wer wo wann was im Internet gemach hat. Konfiguriert wird sie über einen extra PC. Super easy. Hast denn da ne GUI. Da kann dein Chef sich dann auch anmelden und nachsehen was im internet gemacht wir. Wenn dir dann man was nicht gefällt: rechtsklick seite, dienst blocken fertig. Die FW läuft auf Linux Basis. Brauchst aber keine Linux kenntnise.
Nachteil ist leider das wieder neu kosten anfallen und ZEIT!
gruß
Keek
Hallo,
vorm Server läuft ein stinknormaler Router "Siemens Gigaset SE515 dsl".
Ich hab mir auch schon solche Firewall-Lösungen angeschaut, da gibt es wirklich schöne Sachen. Das Problem ist halt nur, dass es wirklich an den Kosten scheintern wird. Es ist ja noch kein soooooooo großes Unternehmen und deshalb ist auch das Budget für die IT-Infrastruktur recht begrenzt (bin ja schon froh, dass wir seit kurzem ne USV haben *gg* aber das ist ein anderes Thema).
Die jetzige Lösung ist zwar nicht perfekt, erfüllt aber ihren Zweck. Nur wie gesagt...ich will nur einige Ports "nach außen" öffnen, damit nicht jeder sein eMule oder sowas laufen lassen kann.
onkelfu
vorm Server läuft ein stinknormaler Router "Siemens Gigaset SE515 dsl".
Ich hab mir auch schon solche Firewall-Lösungen angeschaut, da gibt es wirklich schöne Sachen. Das Problem ist halt nur, dass es wirklich an den Kosten scheintern wird. Es ist ja noch kein soooooooo großes Unternehmen und deshalb ist auch das Budget für die IT-Infrastruktur recht begrenzt (bin ja schon froh, dass wir seit kurzem ne USV haben *gg* aber das ist ein anderes Thema).
Die jetzige Lösung ist zwar nicht perfekt, erfüllt aber ihren Zweck. Nur wie gesagt...ich will nur einige Ports "nach außen" öffnen, damit nicht jeder sein eMule oder sowas laufen lassen kann.
onkelfu
der jana Server kann keine Porst blocken. oder??
Alle Rechner aus dem Lan gehen über den Proxy ins Netz. Der Jana Server ist ja ein Windows Tool.
Also versuch doch mal auf dem Proxy eine Desktop Firewall zu installieren. Da schliesst du dann die unerwünschten Ports. Denn dürften doch die Clienst die über den Proxy Online gehen keine Verbindung über die geschlossen ports bekommen.. oder??
Alle Rechner aus dem Lan gehen über den Proxy ins Netz. Der Jana Server ist ja ein Windows Tool.
Also versuch doch mal auf dem Proxy eine Desktop Firewall zu installieren. Da schliesst du dann die unerwünschten Ports. Denn dürften doch die Clienst die über den Proxy Online gehen keine Verbindung über die geschlossen ports bekommen.. oder??
Ja, das wär ne Möglichkeit. Problem ist nur, dass Proxy-Server und DomainController EIN Rechner sind (schlagt mich deswegen nicht, es muss so gehen). Wenn ich also alle Ports erstmal blocke, können sich die Clients nicht an der Domäne anmelden. Da müsste ich also erstmal alle Ports und Protokolle für die Domönenanmeldung freigeben und zusätzlich die gewünschten Ports für Mail, Icq, ...
Gibts denn irgendwo ne offizielle Übersicht, welche Ports für die Domänenanmeldung und Windows-Freigaben und so nötig sind?
onkelfu
Gibts denn irgendwo ne offizielle Übersicht, welche Ports für die Domänenanmeldung und Windows-Freigaben und so nötig sind?
onkelfu
Warum konfigurierst du diese Regeln nicht als Accessliste auf dem Router ???
Port 80 und alles was über den Proxy geht erlaubst du nur von der IP Quelladresse des Proxys und alle anderen Ports dann entweder von einzelnen IP Adressen (Clients) oder einer Range.
Die Problematik ist dann das Accounting der nicht Proxy Ports für die Dokumentation, da die ja ohne den Proxy durchlaufen. Mit guten Routern wäre das auch möglich ich fürchte aber nicht mit dem Sinus Teil....
Port 80 und alles was über den Proxy geht erlaubst du nur von der IP Quelladresse des Proxys und alle anderen Ports dann entweder von einzelnen IP Adressen (Clients) oder einer Range.
Die Problematik ist dann das Accounting der nicht Proxy Ports für die Dokumentation, da die ja ohne den Proxy durchlaufen. Mit guten Routern wäre das auch möglich ich fürchte aber nicht mit dem Sinus Teil....
Stimmt, da hast du natürlich recht. Das wäre ne Möglichkeit. Und da wir ja nur HTTP Zugriffe protokollieren wollen und das nur übern Proxy läuft, sollte das auch klappen.
Ich werds mal ausprobieren, auch wenn ich dann das halbe Netz umstöpseln muss, aber immerhin ne Lösung (obwohls mir dennoch lieber wär, wenn ich das direkt am Server machen könnt *g*).
Danke,
onkelfu
Ich werds mal ausprobieren, auch wenn ich dann das halbe Netz umstöpseln muss, aber immerhin ne Lösung (obwohls mir dennoch lieber wär, wenn ich das direkt am Server machen könnt *g*).
Danke,
onkelfu
Das Netz brauchst du doch dafür nicht "umstöpseln". Wenn du die IP Adresse vom Proxy und die der Cleints mit den entsprechenden Ports weisst reicht das doch für eine Accessliste 
Meiner Meinung nach nicht. Das Netz ist folgendermaßen aufgebaut:
DSL > Router > Server > Switch > Clients
Wenn also ein Client auf den Router zugreifen will, müssen die Pakete durch das NAT vom Server. Dadurch haben sie meiner Meinung nach, wenn sie beim Router ankommen, nicht mehr die Quelladresse der Clients, sondern die des Servers. Ich müsste also den Router an den Switch stöpseln, oder? Damit können die Pakete gleichzeitig an den Router und bei Bedarf (HTTP) auch zum Server (Proxy).
DSL > Router > Server > Switch > Clients
Wenn also ein Client auf den Router zugreifen will, müssen die Pakete durch das NAT vom Server. Dadurch haben sie meiner Meinung nach, wenn sie beim Router ankommen, nicht mehr die Quelladresse der Clients, sondern die des Servers. Ich müsste also den Router an den Switch stöpseln, oder? Damit können die Pakete gleichzeitig an den Router und bei Bedarf (HTTP) auch zum Server (Proxy).
Der jana Server macht doch überhaupt kein network address translation.
Das macht dein Router!
Das macht dein Router!
Richtig. Der Jana ist nur der HTTP Proxy. Aber auf dem selben Rechner ist zur Zeit NAT aktiviert, damit die Clients mehr als nur HTTP nutzen können.
Ich müsste also den Clients direkten Zugang zum Router verschaffen.
onkelfu
Ich müsste also den Clients direkten Zugang zum Router verschaffen.
onkelfu
