heinz189
Goto Top

Port Forwarding in PfSense zu VM

Guten Tag zusammen,

ich habe einen Dienst welcher auf einem Virtuellen Ubuntu Server installiert ist. Der Dienst ist normal über eine bestimmte Subdomain und einen bestimmten Port in dem Beispiel "5555" (http://dienst.abc.de:5555) aufzurufen. Gleichzeitig habe ich auf dem Ubuntu Server Apache2 installiert so dass ich über eine Proxy Einstellung den Dienst ohne angabe des Portes aufrufen kann: http://dienst.abc.de

Gleichzeitig möchte ich den Dienst auf meinen heimischen Server umziehen.

Auf dem Server läuft als VM PfSense. Zusätzlich würde ich gerne den oben beschriebenen Dienst als VM installieren.

unbenanntes diagramm.drawio(1)

Der Dienst hat die interne IP 192.168.1.123 und ist intern erreichbar über den Port 5555 also per Browser über 192.168.1.123:5555

Ich möchte den Dienst nun von außerhalb erreichbar machen.

Hierfür würde ich nun via DDNS die obere Subdomain http://dienst.abc.de auf die IP richten um weiterhin auf den Dienst Zugriff zu haben.

Gleichzeitig müsste ich Port Forwarding in PfSense einrichten. Hierzu habe ich folgende Werte wie im Screenshot zu sehen eingetragen. Ist dies richtig?

2023-10-22 19_30_41-pfsense.home.arpa - firewall_ nat_ port forward_ edit – mozilla firefox


Nur zum Verständnis, muss ich den Port welchen ich unter "2" eingegeben habe unbedingt eingeben oder ist dies durch die Eingabe der IP und der Porteingabe unter "4" überflüssig?

Sollte dies weiter dazu führen, dass ich den Dienst per Subdomain ohne Portangabe weiter aufrufen kann?

Danke und Grüße

Content-Key: 72863390246

Url: https://administrator.de/contentid/72863390246

Printed on: February 25, 2024 at 12:02 o'clock

Member: radiogugu
radiogugu Oct 22, 2023 at 18:34:44 (UTC)
Goto Top
Nabend.

Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.

Weiterhin wäre der Einsatz von HAProxy zu empfehlen, damit wäre ein weiterer Sicherheitsfaktor implementiert.

Zitat von @Heinz189:
Nur zum Verständnis, muss ich den Port welchen ich unter "2" eingegeben habe unbedingt eingeben oder ist dies durch die Eingabe der IP und der Porteingabe unter "4" überflüssig?

Es sollte schon so sein, wie es auf deinem Screenshot zu sehen ist. Somit wird der Zielport ja definiert.

Gruß
Marc
Member: Cloudrakete
Cloudrakete Oct 22, 2023 at 18:49:47 (UTC)
Goto Top
Hi,

ich schließe mich der Meinung von Radiogugu an. Der Webserver gehört in ein eigenes VLAN und Zugriff gibt es nur wie benötigt.

Grundlegend finde ich in deiner gezeigten Konfiguration keinen Fehler.
Zu Erklärung:

Markierung 1 & 2 definieren die Listener -> Auf diesem Port "lauscht" deine PFSense, um dortigen Traffic an den Host unter 3 an den Port unter 4 weiterzuleiten.
Member: Heinz189
Heinz189 Oct 22, 2023 updated at 18:52:27 (UTC)
Goto Top
Zitat von @radiogugu:
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.

Das ist sicherlich eine gute Idee. Macht Sinn, danke.

Ich muss halt aus dem Netzwerk oft auf den Webserver zugreifen. Muss mir mal angucken, wie ich das in der PfSense zu konfigurieren ist.

Grüße
Member: Cloudrakete
Cloudrakete Oct 22, 2023 at 21:07:47 (UTC)
Goto Top
Zitat von @Heinz189:

Zitat von @radiogugu:
Generell solltest du darüber nachdenken deinen Webserver in ein eigenes VLAN zu hängen, um eine bessere Trennung zu haben, denn damit hast du ja ein Loch in deiner Firewall.

Das ist sicherlich eine gute Idee. Macht Sinn, danke.

Ich muss halt aus dem Netzwerk oft auf den Webserver zugreifen. Muss mir mal angucken, wie ich das in der PfSense zu konfigurieren ist.

Grüße


Das kannst du ja machen, dann aber aus einem anderen Netz mit einer dafür vorgesehenen Regel.
z.B.

LAN -> 192.168.1.0/24
DMZ -> 192.168.254.0/24

Firewallrule 443 / 80 / 5555 von 192.168.1.5 (z.B. dein Host) nach 192.168.254.5 (Dein Webserver)
Die Regel von "draußen" also inbound wird durch die Anlage der NAT-Rule automatisch angelegt.

Konzeptionell würde ich dir außerdem empfehlen, einen Reverse Proxy wie z.B. Nginx zu nutzen. Dort kannst du zentral alle Webservices anlegen, mit Zertifikaten versehen und an den Backend-Server forwarden.
Wenn Du z.B. alle Services via 443 erreichbar machst, bräuchtest Du auch nur noch eine IP-Adresse, sowie eine NAT-Regel, die sämtlichen 443 / 80 Traffic zum Nginx schiebt.

Ein Nginx ist vergleichweise einfach zu konfigurieren, insofern du diesen als reinen Reverse Proxy nutzt. Mit Websecurity-Funktionen kann das schon schnell kompliziert werden. Es gibt allerdings massenhaft Anleitungen im Internet, die man sich dazu durchlesen kann.
Member: Heinz189
Heinz189 Oct 26, 2023 updated at 19:32:21 (UTC)
Goto Top
Hallo, danke nochmals für die Infos. Ein parr Grundsatzfrage denke ich hätte ich noch.

Ich habe nun einen Server mit mehreren Virtuellen Maschinen. In der Zeichnung VM1, VM2, VM3

Nun ist der Internetanschluss ja mit dem WAN Port am Server angeschlossen.
Ich habe noch einen LAN Port für das Netzwerk. Hier ist ein Switch angeschlossen. PfSense (selbst als VM) vergibt ja hier IP's im Bereich 192.168.1.x an die im Server laufenden VM's sowie an am Switch angeschlossene Hardware. Die Verbindung zwischen dem physischen LAN Port und dem LAN in PfSense ist über eine Brücke (br1) definiert.

1. Der LAN Port am PC ist ein 1Gbit Port. Wenn ich nun z.B. die VM2 mit Openmediavault (OMV) und das Ubuntu System (VM3) auch über die Brücke (br1) anschließe ist die Übertragungsrate zwischen OMV und Ubuntu auf max 1GBit begrenzt da der Traffic über den LAN Port läuft? Sofern ja sollte ich wahrscheinlich eine weitere Brücke für die VM Systeme erstellen damit diese nicht auf 1Gbit begrenzt sind oder wie wird dies gelöst.

2. Der Webserver VM4 soll ja nun in ein VLAN. Sehe ich es richtig, dass ich auf dem Host im Netplan einen VLAN definieren muss und nun als Verbindung (link) nun wieder das LAN angeben sollte. Oder gebe ich als Link die Brücke br1 an?

3. @Cloudrakete du hattest ja in deinem Beitrag geschrieben, dass ich auf dem Host die Regel einfügen könnte, dass Anfragen von diesem an das VLAN für die Ports 443 / 80 / 5555 zu akzeptieren seinen. Ist es richtig, dass neu erstellte VLAN's in PfSense erstmal grundsätzlich zu sind und keinen Traffic untereinander erlauben?

pf-sense

Danke und viele Grüße