Port-Forwarding (DNAT) und Firewall, WAN zu LAN
Hallo Zusammen
Ich brauche eure Unterstützung...
Ich bin leider kein Profi im Netzwerkbereich.
Ich habe bei mir ein Zyxel Router mit einer integrierten "Firewall Appliance" im Einsatz. Ich möchte, dass gewisse Geräte im LAN über das WAN erreichbar sind. Mit DNAT also Port-Forwarding konnte ich das ganze auch ohne Firewall regeln realisieren.
Ich habe jetzt einige Fragen die ich mir nicht beantworten kann:
1. Warum funktioniert das DNAT obwohl ich in der Firewall keine Regeln von WAN zu LAN erstellt habe?
2. Gibt es eine Möglichkeit das ganze ohne DNAT zu realisieren? Wenn ich nur Firewall regeln erstelle, findet das Gerät vom WAN die Geräte im LAN nicht? Soweit ich das verstehe, kennt das Gerät im WAN das Netz im LAN nicht. Somit müsste doch ein NAT notwendig sein?
3. Bei einem einfachen Heimnetzwerk mit DNAT wo man die Geräte von aussen erreichbar machen möchte, müsste doch eine Firewall überflüssig sein oder liege ich hier falsch?
4. Ist DNAT sicher?
Vielen Dank
LG
Ich brauche eure Unterstützung...
Ich bin leider kein Profi im Netzwerkbereich.
Ich habe bei mir ein Zyxel Router mit einer integrierten "Firewall Appliance" im Einsatz. Ich möchte, dass gewisse Geräte im LAN über das WAN erreichbar sind. Mit DNAT also Port-Forwarding konnte ich das ganze auch ohne Firewall regeln realisieren.
Ich habe jetzt einige Fragen die ich mir nicht beantworten kann:
1. Warum funktioniert das DNAT obwohl ich in der Firewall keine Regeln von WAN zu LAN erstellt habe?
2. Gibt es eine Möglichkeit das ganze ohne DNAT zu realisieren? Wenn ich nur Firewall regeln erstelle, findet das Gerät vom WAN die Geräte im LAN nicht? Soweit ich das verstehe, kennt das Gerät im WAN das Netz im LAN nicht. Somit müsste doch ein NAT notwendig sein?
3. Bei einem einfachen Heimnetzwerk mit DNAT wo man die Geräte von aussen erreichbar machen möchte, müsste doch eine Firewall überflüssig sein oder liege ich hier falsch?
4. Ist DNAT sicher?
Vielen Dank
LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 42928263272
Url: https://administrator.de/contentid/42928263272
Ausgedruckt am: 25.11.2024 um 17:11 Uhr
3 Kommentare
Neuester Kommentar
Ahoi.
Das Paket kommt von extern an der PREROUTING Chain an und DNAT findet ebenfalls schon in der PREROUTING Chain statt. Dort gibt es eine NAT-Tabelle in der deine DNAT Regel steht, trifft diese auf das Paket zu wird die Zieladresse der Pakete auf die interne IP umgeschrieben und das Paket je nach Ziel in die FORWARD- oder INPUT Chain weitergereicht, INPUT nur wenn das Paket an den Router selbst gerichtet sein soll, ansonsten FORWARD.
In der FORWARD-Chain entscheiden dann Filter ob das Paket den Router passieren darf oder nicht. Bei einfachen Routern wie dem Zyxel ist dort meist eine automatische Regel platziert die Pakete die vorher mit DNAT verarbeitet wurden automatisch durchgelassen werden. Das ist auch der Grund dafür das eine einzelne DNAT Regel bei dir bereits ausreicht, weil diese Pakete bereits in der FORWARD-Chain automatisch durchgelassen werden.
Deswegen sollte man Portfreigaben wo es geht immer vermeiden und stattdessen Zugang nur über VPN am Perimeter oder regelmäßig aktuell gehaltene Systeme wie Reverse-Proxys in einer DMZ realisieren.
So long 🤙
Zitat von @tecarlos17:
Ich habe bei mir ein Zyxel Router mit einer integrierten "Firewall Appliance" im Einsatz. Ich möchte, dass gewisse Geräte im LAN über das WAN erreichbar sind. Mit DNAT also Port-Forwarding konnte ich das ganze auch ohne Firewall regeln realisieren.
DNAT ist quasi schon eine Firewall-Regel 😉Ich habe bei mir ein Zyxel Router mit einer integrierten "Firewall Appliance" im Einsatz. Ich möchte, dass gewisse Geräte im LAN über das WAN erreichbar sind. Mit DNAT also Port-Forwarding konnte ich das ganze auch ohne Firewall regeln realisieren.
1. Warum funktioniert das DNAT obwohl ich in der Firewall keine Regeln von WAN zu LAN erstellt habe?
Eine Firewall hat mehrere sogenannte CHAINS, in der Regel sind das übergeordnet die PREROUTING,INPUT,FORWARD,OUTPUT und POSTROUTING Chains.Das Paket kommt von extern an der PREROUTING Chain an und DNAT findet ebenfalls schon in der PREROUTING Chain statt. Dort gibt es eine NAT-Tabelle in der deine DNAT Regel steht, trifft diese auf das Paket zu wird die Zieladresse der Pakete auf die interne IP umgeschrieben und das Paket je nach Ziel in die FORWARD- oder INPUT Chain weitergereicht, INPUT nur wenn das Paket an den Router selbst gerichtet sein soll, ansonsten FORWARD.
In der FORWARD-Chain entscheiden dann Filter ob das Paket den Router passieren darf oder nicht. Bei einfachen Routern wie dem Zyxel ist dort meist eine automatische Regel platziert die Pakete die vorher mit DNAT verarbeitet wurden automatisch durchgelassen werden. Das ist auch der Grund dafür das eine einzelne DNAT Regel bei dir bereits ausreicht, weil diese Pakete bereits in der FORWARD-Chain automatisch durchgelassen werden.
2. Gibt es eine Möglichkeit das ganze ohne DNAT zu realisieren? Wenn ich nur Firewall regeln erstelle, findet das Gerät vom WAN die Geräte im LAN nicht?
Ja, wenn du IPv6 statt IPv4 nutzt, dann nutzt ja jedes Device eine global routbare IPv6 Adresse die du dann in der FORWARD Chain nur freigeben musst.Soweit ich das verstehe, kennt das Gerät im WAN das Netz im LAN nicht.
Somit müsste doch ein NAT notwendig sein?
Sofern du keine öffentliche IP dein eigen nennst ja, ansonsten nicht zwingend , private Netzbereiche nach RFC1918 werden im Internet nicht geroutet, ergo bist du hier auf NAT angewiesen sofern du keine öffentlichen IPs dein eigen nennst.Somit müsste doch ein NAT notwendig sein?
3. Bei einem einfachen Heimnetzwerk mit DNAT wo man die Geräte von aussen erreichbar machen möchte, müsste doch eine Firewall überflüssig sein oder liege ich hier falsch?
NAT an sich ist schon eine Barriere, richtig. Überflüssig ist sie dadurch aber trotzdem nicht denn sie erfüllt weit mehr Aufgaben. Und nochmal, NAT ist bereits Bestandteil deiner Firewall, somit nutzt du mit aktivem NAT quasi schon eine 😉.4. Ist DNAT sicher?
So sicher wie dein Endgerät auf das du weiterleitest. Du öffnest damit Zugang zu deinem internen Netz, ergo auch jegliche DDoS- oder sonstigen Attacken muss dein Endgerät verarbeiten, und wird eine Sicherheitslücke der auf deinem Gerät genutzten Soft- oder Hardware bekannt und ausgenutzt hat der Angreifer meist leichtes Spiel sich anschließend in deinem Netz zu tummeln sofern du Netzintern keine Zero-Trust-Strategie verfolgst.Deswegen sollte man Portfreigaben wo es geht immer vermeiden und stattdessen Zugang nur über VPN am Perimeter oder regelmäßig aktuell gehaltene Systeme wie Reverse-Proxys in einer DMZ realisieren.
So long 🤙
Zitat von @tecarlos17:
Ich habe bei mir ein Zyxel Router mit einer integrierten "Firewall Appliance" im Einsatz.
Ich habe bei mir ein Zyxel Router mit einer integrierten "Firewall Appliance" im Einsatz.
exakte Modellbezeichnung bitte
Gruß
sk