5
Port Forwarding in PfSense zu VM
Guten Tag zusammen,
ich habe einen Dienst welcher auf einem Virtuellen Ubuntu Server installiert ist. Der Dienst ist normal über eine bestimmte Subdomain und einen bestimmten Port in dem Beispiel "5555" (http://dienst.abc.de:5555) aufzurufen. Gleichzeitig habe ich auf dem Ubuntu Server Apache2 installiert so dass ich über eine Proxy Einstellung den Dienst ohne angabe des Portes aufrufen kann: http://dienst.abc.de
Gleichzeitig möchte ich den Dienst auf meinen heimischen Server umziehen.
Auf dem Server läuft als VM PfSense. Zusätzlich würde ich gerne den oben beschriebenen Dienst als VM installieren.
Der Dienst hat die interne IP 192.168.1.123 und ist intern erreichbar über den Port 5555 also per Browser über 192.168.1.123:5555
Ich möchte den Dienst nun von außerhalb erreichbar machen.
Hierfür würde ich nun via DDNS die obere Subdomain http://dienst.abc.de auf die IP richten um weiterhin auf den Dienst Zugriff zu haben.
Gleichzeitig müsste ich Port Forwarding in PfSense einrichten. Hierzu habe ich folgende Werte wie im Screenshot zu sehen eingetragen. Ist dies richtig?
Nur zum Verständnis, muss ich den Port welchen ich unter "2" eingegeben habe unbedingt eingeben oder ist dies durch die Eingabe der IP und der Porteingabe unter "4" überflüssig?
Sollte dies weiter dazu führen, dass ich den Dienst per Subdomain ohne Portangabe weiter aufrufen kann?
Danke und Grüße
ich habe einen Dienst welcher auf einem Virtuellen Ubuntu Server installiert ist. Der Dienst ist normal über eine bestimmte Subdomain und einen bestimmten Port in dem Beispiel "5555" (http://dienst.abc.de:5555) aufzurufen. Gleichzeitig habe ich auf dem Ubuntu Server Apache2 installiert so dass ich über eine Proxy Einstellung den Dienst ohne angabe des Portes aufrufen kann: http://dienst.abc.de
Gleichzeitig möchte ich den Dienst auf meinen heimischen Server umziehen.
Auf dem Server läuft als VM PfSense. Zusätzlich würde ich gerne den oben beschriebenen Dienst als VM installieren.
Der Dienst hat die interne IP 192.168.1.123 und ist intern erreichbar über den Port 5555 also per Browser über 192.168.1.123:5555
Ich möchte den Dienst nun von außerhalb erreichbar machen.
Hierfür würde ich nun via DDNS die obere Subdomain http://dienst.abc.de auf die IP richten um weiterhin auf den Dienst Zugriff zu haben.
Gleichzeitig müsste ich Port Forwarding in PfSense einrichten. Hierzu habe ich folgende Werte wie im Screenshot zu sehen eingetragen. Ist dies richtig?
Nur zum Verständnis, muss ich den Port welchen ich unter "2" eingegeben habe unbedingt eingeben oder ist dies durch die Eingabe der IP und der Porteingabe unter "4" überflüssig?
Sollte dies weiter dazu führen, dass ich den Dienst per Subdomain ohne Portangabe weiter aufrufen kann?
Danke und Grüße
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 72863390246
Url: https://administrator.de/contentid/72863390246
Ausgedruckt am: 19.11.2024 um 07:11 Uhr
5 Kommentare
Neuester Kommentar
Nabend.
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.
Weiterhin wäre der Einsatz von HAProxy zu empfehlen, damit wäre ein weiterer Sicherheitsfaktor implementiert.
Es sollte schon so sein, wie es auf deinem Screenshot zu sehen ist. Somit wird der Zielport ja definiert.
Gruß
Marc
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.
Weiterhin wäre der Einsatz von HAProxy zu empfehlen, damit wäre ein weiterer Sicherheitsfaktor implementiert.
Zitat von @Heinz189:
Nur zum Verständnis, muss ich den Port welchen ich unter "2" eingegeben habe unbedingt eingeben oder ist dies durch die Eingabe der IP und der Porteingabe unter "4" überflüssig?
Nur zum Verständnis, muss ich den Port welchen ich unter "2" eingegeben habe unbedingt eingeben oder ist dies durch die Eingabe der IP und der Porteingabe unter "4" überflüssig?
Es sollte schon so sein, wie es auf deinem Screenshot zu sehen ist. Somit wird der Zielport ja definiert.
Gruß
Marc
1
Hi,
ich schließe mich der Meinung von Radiogugu an. Der Webserver gehört in ein eigenes VLAN und Zugriff gibt es nur wie benötigt.
Grundlegend finde ich in deiner gezeigten Konfiguration keinen Fehler.
Zu Erklärung:
Markierung 1 & 2 definieren die Listener -> Auf diesem Port "lauscht" deine PFSense, um dortigen Traffic an den Host unter 3 an den Port unter 4 weiterzuleiten.
ich schließe mich der Meinung von Radiogugu an. Der Webserver gehört in ein eigenes VLAN und Zugriff gibt es nur wie benötigt.
Grundlegend finde ich in deiner gezeigten Konfiguration keinen Fehler.
Zu Erklärung:
Markierung 1 & 2 definieren die Listener -> Auf diesem Port "lauscht" deine PFSense, um dortigen Traffic an den Host unter 3 an den Port unter 4 weiterzuleiten.
1
Zitat von @radiogugu:
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.
Das ist sicherlich eine gute Idee. Macht Sinn, danke.
Ich muss halt aus dem Netzwerk oft auf den Webserver zugreifen. Muss mir mal angucken, wie ich das in der PfSense zu konfigurieren ist.
Grüße
Zitat von @Heinz189:
Das ist sicherlich eine gute Idee. Macht Sinn, danke.
Ich muss halt aus dem Netzwerk oft auf den Webserver zugreifen. Muss mir mal angucken, wie ich das in der PfSense zu konfigurieren ist.
Grüße
Zitat von @radiogugu:
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.
Das ist sicherlich eine gute Idee. Macht Sinn, danke.
Ich muss halt aus dem Netzwerk oft auf den Webserver zugreifen. Muss mir mal angucken, wie ich das in der PfSense zu konfigurieren ist.
Grüße
Das kannst du ja machen, dann aber aus einem anderen Netz mit einer dafür vorgesehenen Regel.
z.B.
LAN -> 192.168.1.0/24
DMZ -> 192.168.254.0/24
Firewallrule 443 / 80 / 5555 von 192.168.1.5 (z.B. dein Host) nach 192.168.254.5 (Dein Webserver)
Die Regel von "draußen" also inbound wird durch die Anlage der NAT-Rule automatisch angelegt.
Konzeptionell würde ich dir außerdem empfehlen, einen Reverse Proxy wie z.B. Nginx zu nutzen. Dort kannst du zentral alle Webservices anlegen, mit Zertifikaten versehen und an den Backend-Server forwarden.
Wenn Du z.B. alle Services via 443 erreichbar machst, bräuchtest Du auch nur noch eine IP-Adresse, sowie eine NAT-Regel, die sämtlichen 443 / 80 Traffic zum Nginx schiebt.
Ein Nginx ist vergleichweise einfach zu konfigurieren, insofern du diesen als reinen Reverse Proxy nutzt. Mit Websecurity-Funktionen kann das schon schnell kompliziert werden. Es gibt allerdings massenhaft Anleitungen im Internet, die man sich dazu durchlesen kann.
Hallo, danke nochmals für die Infos. Ein parr Grundsatzfrage denke ich hätte ich noch.
Ich habe nun einen Server mit mehreren Virtuellen Maschinen. In der Zeichnung VM1, VM2, VM3
Nun ist der Internetanschluss ja mit dem WAN Port am Server angeschlossen.
Ich habe noch einen LAN Port für das Netzwerk. Hier ist ein Switch angeschlossen. PfSense (selbst als VM) vergibt ja hier IP's im Bereich 192.168.1.x an die im Server laufenden VM's sowie an am Switch angeschlossene Hardware. Die Verbindung zwischen dem physischen LAN Port und dem LAN in PfSense ist über eine Brücke (br1) definiert.
1. Der LAN Port am PC ist ein 1Gbit Port. Wenn ich nun z.B. die VM2 mit Openmediavault (OMV) und das Ubuntu System (VM3) auch über die Brücke (br1) anschließe ist die Übertragungsrate zwischen OMV und Ubuntu auf max 1GBit begrenzt da der Traffic über den LAN Port läuft? Sofern ja sollte ich wahrscheinlich eine weitere Brücke für die VM Systeme erstellen damit diese nicht auf 1Gbit begrenzt sind oder wie wird dies gelöst.
2. Der Webserver VM4 soll ja nun in ein VLAN. Sehe ich es richtig, dass ich auf dem Host im Netplan einen VLAN definieren muss und nun als Verbindung (link) nun wieder das LAN angeben sollte. Oder gebe ich als Link die Brücke br1 an?
3. @Cloudrakete du hattest ja in deinem Beitrag geschrieben, dass ich auf dem Host die Regel einfügen könnte, dass Anfragen von diesem an das VLAN für die Ports 443 / 80 / 5555 zu akzeptieren seinen. Ist es richtig, dass neu erstellte VLAN's in PfSense erstmal grundsätzlich zu sind und keinen Traffic untereinander erlauben?
Danke und viele Grüße
Ich habe nun einen Server mit mehreren Virtuellen Maschinen. In der Zeichnung VM1, VM2, VM3
Nun ist der Internetanschluss ja mit dem WAN Port am Server angeschlossen.
Ich habe noch einen LAN Port für das Netzwerk. Hier ist ein Switch angeschlossen. PfSense (selbst als VM) vergibt ja hier IP's im Bereich 192.168.1.x an die im Server laufenden VM's sowie an am Switch angeschlossene Hardware. Die Verbindung zwischen dem physischen LAN Port und dem LAN in PfSense ist über eine Brücke (br1) definiert.
1. Der LAN Port am PC ist ein 1Gbit Port. Wenn ich nun z.B. die VM2 mit Openmediavault (OMV) und das Ubuntu System (VM3) auch über die Brücke (br1) anschließe ist die Übertragungsrate zwischen OMV und Ubuntu auf max 1GBit begrenzt da der Traffic über den LAN Port läuft? Sofern ja sollte ich wahrscheinlich eine weitere Brücke für die VM Systeme erstellen damit diese nicht auf 1Gbit begrenzt sind oder wie wird dies gelöst.
2. Der Webserver VM4 soll ja nun in ein VLAN. Sehe ich es richtig, dass ich auf dem Host im Netplan einen VLAN definieren muss und nun als Verbindung (link) nun wieder das LAN angeben sollte. Oder gebe ich als Link die Brücke br1 an?
3. @Cloudrakete du hattest ja in deinem Beitrag geschrieben, dass ich auf dem Host die Regel einfügen könnte, dass Anfragen von diesem an das VLAN für die Ports 443 / 80 / 5555 zu akzeptieren seinen. Ist es richtig, dass neu erstellte VLAN's in PfSense erstmal grundsätzlich zu sind und keinen Traffic untereinander erlauben?
Danke und viele Grüße
