dankoon
Goto Top

OPNsense Port forwarding (5432)

Hallo Leute,

ich habe einen Hetzner-Server (dedicated) auf welchem ich Proxmox installiert habe.
Dort habe ich eine OPNsense VM installiert. Da ich nur eine public IP-Adresse habe, habe ich eingehende und ausgehende Verbindungen über den Hostadapter maskiert. (siehe Config)

Bin Neuling mit OPNsense, deshalb fehlt mir vielleicht zum Teil einfach das Verständnis, wie es mit dieser gehandelt wird.

auto eno1
iface eno1 inet static
        address 123.123.123.123/26
        gateway 123.123.123.122
        up route add -net 123.123.123.123 netmask 255.255.255.192 gw 123.123.123.122 dev eno1

        post-up   echo 1 > /proc/sys/net/ipv4/ip_forward
        post-up iptables -t nat -A PREROUTING -i eno1 -p tcp -m multiport ! --dport 22,8006 -j DNAT --to 10.10.10.2
        post-up iptables -t nat -A PREROUTING -i eno1 -p udp -j DNAT --to 10.10.10.2


iface eth0 inet manual

iface eth1 inet manual

iface eno2 inet manual

iface enxf2e978079c82 inet manual

auto vmbr0
iface vmbr0 inet static
        address 10.10.10.1/30
        bridge-ports none
        bridge-stp off
        bridge-fd 0
        post-up   iptables -t nat -A POSTROUTING -s '10.10.10.0/30' -o eno1 -j MASQUERADE  
        post-down iptables -t nat -D POSTROUTING -s '10.10.10.0/30' -o eno1 -j MASQUERADE  

auto vmbr1
iface vmbr1 inet static
        address 172.16.0.2/24
        bridge-ports none
        bridge-stp off
        bridge-fd 0
#VM-LAN


WAN Port OPNsense: 10.10.10.2/30 GW 10.10.10.1/30
LAN Port: 172.16.0.1/24


Mein Problem ist nun, dass ich gerne eine Postgre DB (testweise) nur von meiner Public IP-Adresse verfügbar machen möchte.

Dafür wollte ich ein NAT Port forwarding einrichten.

Zum Testen habe ich das einmal mit einer Apache Standard Seite über Port 80 durchgespielt, das hat ohne Probleme funktioniert.

Die selbe Regel habe ich dann für Port 5432 und die Verbindung dann mit telnet getestet, welche in einem timeout verläuft.

Nun ist meine Frage an welcher Stelle man eventuell noch etwas einstellen muss, dass es möglich ist, ein Forwarding für Port 5432 zu erstellen.

Die Firewall Rules werden automatisch mit dem NAT Port forwarding erstellt.


Zusätzlich habe ich noch folgendes angepasst:

3760696378539613

3760752606444093

Viele Grüße
dankoon

Content-ID: 668671

Url: https://administrator.de/contentid/668671

Printed on: November 13, 2024 at 13:11 o'clock

Crusher79
Crusher79 Oct 09, 2024 at 20:14:20 (UTC)
Goto Top
Hallo,

sieht für mich nicht schlecht aus.

Die DB liegt doch dann auf einer VM? Wo ist die? IP?

Wo liegt der Apache? Es wirft doch erstmal alles auf den WAN Port der OPNsense ab. Du müsstest dann ja die Anfrage im Live Firewall Log sehen. Oder war der Apache Test ohne OPNsense? Mit Mini-Installation?

Wie kommst du zur Zeit denn an die GUI der OPNsense ran? SSH + Portforwarding? Oder über WAN Port?

Etwas "teilweise" verfügbar machen klingt komisch! Datenbanken, Apache etc. sind alles Services auf irgendwelchen Servern. In deinen Fall dann rein virtuelle VMs auf dem Proxmox.

Wie schauen denn deine anderen VMs aus? Korrektes Netz vmbr1 hinzugefügt? Die Firewall ist doch erstmal dazwischen. Im ersten Schritt prüft man doch ob man von der OPNsense auf die Dienste der anderen VMs zugreifen kann. Im einfachsten Fall noch ggf. Ping, ob der Server überhaupt erreichbar ist.

Einige Distris haben von Haus aus die Firewall aktiv. Die DB wird doch nicht nur auf der OPNsense laufen. Welche VMs sind denn noch dahinter?

Sorry, aber ich finde hier fehlt doch was.

mfg Crusher
NordicMike
Solution NordicMike Oct 10, 2024 at 06:04:48 (UTC)
Goto Top
Ich lese immer nur "Port" face-smile

Das ist in der heutigen Zeit für öffentlich angreifbare System nicht mehr sicher.

Beschäftige dich mit VPN, dann hast du auch keine Port Probleme mehr.
dankoon
Solution dankoon Oct 10, 2024 at 07:01:10 (UTC)
Goto Top
Hallo danke für die antworten bisher.

Ich habe den "Fehler" finden können, oder eher das Layer 8 Problem (mich selbst).
Man sieht den Wald vor lauter Bäumen nicht :D

Bei meiner Firewall habe ich fast alle ausgehenden Verbindungen blockiert, natürlich fällt dann auch Port 5432 darunter.

Ich hätte wohl einfach einen Tag Bedenkzeit gebraucht. 😅


@NordicMike - VPN werde ich für den Use case einrichten. Ich wollte einfach nur verstehen, worin der Unterschied besteht, den konnte ich ja aber jetzt finden... 🙄

Grüße
dankoon
NordicMike
NordicMike Oct 10, 2024 at 07:25:53 (UTC)
Goto Top
Das Problem beim "Verstehen" ist, dass man es dann gerne weiter verwendet. Der einzige Port, der nach innen hin offen sein sollte, wäre der VPN Port.
aqui
aqui Oct 11, 2024 at 10:16:28 (UTC)
Goto Top
VPN werde ich für den Use case einrichten.
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Besser ist das! face-wink