NAT auf ein paar Ports beschränken? Wie?
Hallo,
da ich seit ein paar Monaten mit dem Aufbau eines Server in einem kleinen Unternehmen betraut bin habe ich eine Frage an euch. Das System ist folgendermaßen aufgebaut: Server läuft als DC und Jana-Server läuft als Proxy, denn wir müssen die Zugriffe der Clients (zur Zeit 6) ins Web protokollieren. Zuerst hatten wir deswegen auch kein RRAS mit NAT aktiviert, da das Surfen im Web wunderbar funktioniert per Proxy. Mittlerweile sind jedoch die Anforderungen gestiegen, auch mal anderen Diensten den Zugriff aufs Web zu gewähren (Bsp: FTP, MAIL, NEWS, ICQ, ...). Deswegen haben wir NAT aktiviert. Jetzt besteht natürlich das Problem, dass somit zur Zeit ALLE Ports und Protokolle ins Web weitergeleitet werden, was aber im Falle von eMule oder sonstigen Proggis nicht sein soll.
Meine Idee war es nun, in den RRAS Optionen mit Hilfe der eingehenden und ausgehenden Filter erstmal alle Pakete zu blocken und dann nur die gewünschten freizugeben. Wenn ich diese Filter bei der internen Netzwerkkarte anwende, dann können sich die Leute aber nicht mehr in die Domäne einwählen oder sontiges im LAN machen (schätze, ich hab da wichtige Ports noch nicht freigegeben). Andererseits könnte ich ja auch den Filter an der externen Netzwerkkarte aktivieren und somit unerwünschte Pakete von innen nicht weiter nach außen leiten. Aber auch das funktioniert nicht, denn wenn ich zum Beispiel Quellport 80 blockiere, dann kann der Proxy auch keine Seiten mehr beziehen.
Wo setzt man den Filter richtigerweise an bzw. gibt es andere Möglichkeiten, um das Vorhaben zu realisieren?
Hier nochmal der Systemaufbau:
Server hat zwei Netzerkkarte:
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0
- interne Karte: verbunden mit LAN, IP: 192.168.0.100, Subnetz: 255.255.255.0
- auf dem Server läuft Jana-Server als HTTP-Proxy und neuerdings auch NAT
Wäre für jede Hilfe dankbar.
onkelfu
da ich seit ein paar Monaten mit dem Aufbau eines Server in einem kleinen Unternehmen betraut bin habe ich eine Frage an euch. Das System ist folgendermaßen aufgebaut: Server läuft als DC und Jana-Server läuft als Proxy, denn wir müssen die Zugriffe der Clients (zur Zeit 6) ins Web protokollieren. Zuerst hatten wir deswegen auch kein RRAS mit NAT aktiviert, da das Surfen im Web wunderbar funktioniert per Proxy. Mittlerweile sind jedoch die Anforderungen gestiegen, auch mal anderen Diensten den Zugriff aufs Web zu gewähren (Bsp: FTP, MAIL, NEWS, ICQ, ...). Deswegen haben wir NAT aktiviert. Jetzt besteht natürlich das Problem, dass somit zur Zeit ALLE Ports und Protokolle ins Web weitergeleitet werden, was aber im Falle von eMule oder sonstigen Proggis nicht sein soll.
Meine Idee war es nun, in den RRAS Optionen mit Hilfe der eingehenden und ausgehenden Filter erstmal alle Pakete zu blocken und dann nur die gewünschten freizugeben. Wenn ich diese Filter bei der internen Netzwerkkarte anwende, dann können sich die Leute aber nicht mehr in die Domäne einwählen oder sontiges im LAN machen (schätze, ich hab da wichtige Ports noch nicht freigegeben). Andererseits könnte ich ja auch den Filter an der externen Netzwerkkarte aktivieren und somit unerwünschte Pakete von innen nicht weiter nach außen leiten. Aber auch das funktioniert nicht, denn wenn ich zum Beispiel Quellport 80 blockiere, dann kann der Proxy auch keine Seiten mehr beziehen.
Wo setzt man den Filter richtigerweise an bzw. gibt es andere Möglichkeiten, um das Vorhaben zu realisieren?
Hier nochmal der Systemaufbau:
Server hat zwei Netzerkkarte:
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0
- interne Karte: verbunden mit LAN, IP: 192.168.0.100, Subnetz: 255.255.255.0
- auf dem Server läuft Jana-Server als HTTP-Proxy und neuerdings auch NAT
Wäre für jede Hilfe dankbar.
onkelfu
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 10833
Url: https://administrator.de/forum/nat-auf-ein-paar-ports-beschraenken-wie-10833.html
Ausgedruckt am: 03.04.2025 um 17:04 Uhr
14 Kommentare
Neuester Kommentar
Hallo,
du kannst NAT Ports öffnen, die dann extern wie intern die gleiche Portnummer besitzen. Sie werden dann nicht umgedreht. Ist zum Beispiel gut für Emule. Extern wie intern die gleichen Portnummern, Port 4661, 4662...
Aber wie geht denn
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0 ???
ist da noch ein Router vor??
Honk
du kannst NAT Ports öffnen, die dann extern wie intern die gleiche Portnummer besitzen. Sie werden dann nicht umgedreht. Ist zum Beispiel gut für Emule. Extern wie intern die gleichen Portnummern, Port 4661, 4662...
Aber wie geht denn
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0 ???
ist da noch ein Router vor??
Honk
Hai,
wenn du bestimmte Ports oder Ip Adressen blockieren willst, kannst du auf der externen Netzwerkkarte den ausgehenden Filter konfigurieren. Dazu auf neu drücken, unten bei Protokoll auf TCP, UDP, oder andere und dann enstprechenden Eintrag hinzufügen.
Zuletzt dann noch die entsprechende Filteraktion oben wählen und gut ist.
z. B. Protokoll TCP, Zielport 25, Filteraktion:alle außer den unten aufgeführten.. >>>> Email nach außen dicht (SMTP).
Aber auf deinem Router läuft doch garantiert schon NAT und ne FW ist auch schon drauf. Warum steuerst du den darüber nicht alles???
Honk
wenn du bestimmte Ports oder Ip Adressen blockieren willst, kannst du auf der externen Netzwerkkarte den ausgehenden Filter konfigurieren. Dazu auf neu drücken, unten bei Protokoll auf TCP, UDP, oder andere und dann enstprechenden Eintrag hinzufügen.
Zuletzt dann noch die entsprechende Filteraktion oben wählen und gut ist.
z. B. Protokoll TCP, Zielport 25, Filteraktion:alle außer den unten aufgeführten.. >>>> Email nach außen dicht (SMTP).
Aber auf deinem Router läuft doch garantiert schon NAT und ne FW ist auch schon drauf. Warum steuerst du den darüber nicht alles???
Honk
Moin,
Was für ein Router hängt denn vor dem Proxy??
Wenn das "nur" ein SOHO Router ist
würde ich diese Sache über eine "Richtige" Firewall lösen.
Die auch für die Internetverbindung zuständig ist. Also nicht einen Router mit Firewall funktionen, sondern eine Firewall mit integrietem Router
Da gibt es ja den viele möglichkeiten. Die einfachste wäre meiner meinung nach Gateprotect. Das ist eine FW die nicht sehr teuer ist. (Gerade bei wenigen usern) und sie hat eine Super log funktion. Da kannst du genau sehen wer wo wann was im Internet gemach hat. Konfiguriert wird sie über einen extra PC. Super easy. Hast denn da ne GUI. Da kann dein Chef sich dann auch anmelden und nachsehen was im internet gemacht wir. Wenn dir dann man was nicht gefällt: rechtsklick seite, dienst blocken fertig. Die FW läuft auf Linux Basis. Brauchst aber keine Linux kenntnise.
Nachteil ist leider das wieder neu kosten anfallen und ZEIT!
gruß
Keek
Was für ein Router hängt denn vor dem Proxy??
Wenn das "nur" ein SOHO Router ist
würde ich diese Sache über eine "Richtige" Firewall lösen.
Die auch für die Internetverbindung zuständig ist. Also nicht einen Router mit Firewall funktionen, sondern eine Firewall mit integrietem Router
Da gibt es ja den viele möglichkeiten. Die einfachste wäre meiner meinung nach Gateprotect. Das ist eine FW die nicht sehr teuer ist. (Gerade bei wenigen usern) und sie hat eine Super log funktion. Da kannst du genau sehen wer wo wann was im Internet gemach hat. Konfiguriert wird sie über einen extra PC. Super easy. Hast denn da ne GUI. Da kann dein Chef sich dann auch anmelden und nachsehen was im internet gemacht wir. Wenn dir dann man was nicht gefällt: rechtsklick seite, dienst blocken fertig. Die FW läuft auf Linux Basis. Brauchst aber keine Linux kenntnise.
Nachteil ist leider das wieder neu kosten anfallen und ZEIT!
gruß
Keek
der jana Server kann keine Porst blocken. oder??
Alle Rechner aus dem Lan gehen über den Proxy ins Netz. Der Jana Server ist ja ein Windows Tool.
Also versuch doch mal auf dem Proxy eine Desktop Firewall zu installieren. Da schliesst du dann die unerwünschten Ports. Denn dürften doch die Clienst die über den Proxy Online gehen keine Verbindung über die geschlossen ports bekommen.. oder??
Alle Rechner aus dem Lan gehen über den Proxy ins Netz. Der Jana Server ist ja ein Windows Tool.
Also versuch doch mal auf dem Proxy eine Desktop Firewall zu installieren. Da schliesst du dann die unerwünschten Ports. Denn dürften doch die Clienst die über den Proxy Online gehen keine Verbindung über die geschlossen ports bekommen.. oder??
Warum konfigurierst du diese Regeln nicht als Accessliste auf dem Router ???
Port 80 und alles was über den Proxy geht erlaubst du nur von der IP Quelladresse des Proxys und alle anderen Ports dann entweder von einzelnen IP Adressen (Clients) oder einer Range.
Die Problematik ist dann das Accounting der nicht Proxy Ports für die Dokumentation, da die ja ohne den Proxy durchlaufen. Mit guten Routern wäre das auch möglich ich fürchte aber nicht mit dem Sinus Teil....
Port 80 und alles was über den Proxy geht erlaubst du nur von der IP Quelladresse des Proxys und alle anderen Ports dann entweder von einzelnen IP Adressen (Clients) oder einer Range.
Die Problematik ist dann das Accounting der nicht Proxy Ports für die Dokumentation, da die ja ohne den Proxy durchlaufen. Mit guten Routern wäre das auch möglich ich fürchte aber nicht mit dem Sinus Teil....