Zyxel Firewall und Portweiterleitung
Hallo liebe Netzwerktechniker,
ich hab bei einem Kunden eine Zyxel Zywall USG20 stehen.
Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Anfangs hab ich die Regel NUR in den Firewalleinstellungen erstellt - hat leider auch nicht funktioniert.
Nach kurzer Recherche bin ich draufgekommen, dass ich auch eine Regel unter dem Menupunkt NAT erstellen muss.
Und siehe da - RDP funktioniert einwandfrei.
Jetzt zu meiner Frage :
Wieso muss ich erst den Eintrag unter NAT und dann noch zusätzlich eine Firewallregel erstellen???
Ich dachte es würde eine einfache Firewallregel genügen.
Wozu wird der NAT eintrag benötigt, bzw. wofür muss der Eintrag 2 mal erstellt werden (NAT und Firewall)
Kann mir dass bitte jemand erklären, dass ich es auch verstehe? BITTE
Wie richte ich korrekt eine Portweiterleitung ein?
Bitte korigiert mich wenn ich falsch liege :
1. Service erstellen (z.B. RDP - Port 3389 - TCP)
2. Adresse erstellen (z.B. Host - Server - 192.168.1.10)
3. NAT eintrag erstellen (Source - any / Dest. - Server / Service - RDP)
4. Firewall Regel erstellen (Source - any / Dest. - Server / Service - RDP)
Funktion OK !?!
Danke für Eure Hilfe
Marko
ich hab bei einem Kunden eine Zyxel Zywall USG20 stehen.
Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Anfangs hab ich die Regel NUR in den Firewalleinstellungen erstellt - hat leider auch nicht funktioniert.
Nach kurzer Recherche bin ich draufgekommen, dass ich auch eine Regel unter dem Menupunkt NAT erstellen muss.
Und siehe da - RDP funktioniert einwandfrei.
Jetzt zu meiner Frage :
Wieso muss ich erst den Eintrag unter NAT und dann noch zusätzlich eine Firewallregel erstellen???
Ich dachte es würde eine einfache Firewallregel genügen.
Wozu wird der NAT eintrag benötigt, bzw. wofür muss der Eintrag 2 mal erstellt werden (NAT und Firewall)
Kann mir dass bitte jemand erklären, dass ich es auch verstehe? BITTE
Wie richte ich korrekt eine Portweiterleitung ein?
Bitte korigiert mich wenn ich falsch liege :
1. Service erstellen (z.B. RDP - Port 3389 - TCP)
2. Adresse erstellen (z.B. Host - Server - 192.168.1.10)
3. NAT eintrag erstellen (Source - any / Dest. - Server / Service - RDP)
4. Firewall Regel erstellen (Source - any / Dest. - Server / Service - RDP)
Funktion OK !?!
Danke für Eure Hilfe
Marko
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 230520
Url: https://administrator.de/forum/zyxel-firewall-und-portweiterleitung-230520.html
Ausgedruckt am: 02.04.2025 um 16:04 Uhr
5 Kommentare
Neuester Kommentar
Nicht denken sondern nachdenken...!
Du arbeitest mit einer Firewall und nicht mit einem billigen Dummrouter für PC Bastler.
a.) Ist bei einer Firewall generell der Zugriff auf die physische IP des WAN Interface geblockt. Diese nutzt die FW aber als Absender IP für ihr NAT und ist auch die Ziel IP bei Port Forwarding Zugriffen von außen.
Hier muss also erstmal eine Regel geschaffen werden die den TCP 3389 Zugriff von außerhalb auf diese IP überhaupt erlaubt...Schritt 1
b.) Hier kommt dann der NAT Prozess dem man ja sagen muss WAS mit einer eingehenden TCP 3389 Session passieren soll, nämlich das Weiterleiten auf eine lokale IP Adresse...Schritt 2
Es sind also immer 2 Schritte...wie du sie ja auch ausgeführt hast.
Intelligente Firewalls erzeugen bei einem Port Forwarding oft selbstständig eine entsprechende Regel für die WAN IP Adresse, was aber immer gefährlich ist wenn man nicht aufpasst. FW Admins unterlassen solchen Automatismus für Dummies meist um hier nicht zuviel unnötige Löcher in die Sicherheit zu bohren.
Nebenbei:
Das simple Port Forwarden von RDP also TCP 3389 wäre normalerweise ein Kündigungsgrund für einen Admin. RDP nutzt nur eine sehr schwache RC4 Verschlüsselung die im Nu ausgehebelt ist und damit liegen dann die Server Inhalte einem Angreifer in Minutenschnelle auf dem Silbertablett vor. Für eine Firma mit relevanten Daten wäre das ein absolutes NoGo.
Verantwortungsvolle Admins lösen sowas mit einem VPN wie es in der heutigen Zeit üblich ist. Sowas mit simplen Port Forwarding zu machen ist grob fahrlässig zumal ja sogar bei dir die FW auch problemlos VPNs supportet !
Aber bei der Art der Frage kann man sich den Rest dann denken....
Du arbeitest mit einer Firewall und nicht mit einem billigen Dummrouter für PC Bastler.
a.) Ist bei einer Firewall generell der Zugriff auf die physische IP des WAN Interface geblockt. Diese nutzt die FW aber als Absender IP für ihr NAT und ist auch die Ziel IP bei Port Forwarding Zugriffen von außen.
Hier muss also erstmal eine Regel geschaffen werden die den TCP 3389 Zugriff von außerhalb auf diese IP überhaupt erlaubt...Schritt 1
b.) Hier kommt dann der NAT Prozess dem man ja sagen muss WAS mit einer eingehenden TCP 3389 Session passieren soll, nämlich das Weiterleiten auf eine lokale IP Adresse...Schritt 2
Es sind also immer 2 Schritte...wie du sie ja auch ausgeführt hast.
Intelligente Firewalls erzeugen bei einem Port Forwarding oft selbstständig eine entsprechende Regel für die WAN IP Adresse, was aber immer gefährlich ist wenn man nicht aufpasst. FW Admins unterlassen solchen Automatismus für Dummies meist um hier nicht zuviel unnötige Löcher in die Sicherheit zu bohren.
Nebenbei:
Das simple Port Forwarden von RDP also TCP 3389 wäre normalerweise ein Kündigungsgrund für einen Admin. RDP nutzt nur eine sehr schwache RC4 Verschlüsselung die im Nu ausgehebelt ist und damit liegen dann die Server Inhalte einem Angreifer in Minutenschnelle auf dem Silbertablett vor. Für eine Firma mit relevanten Daten wäre das ein absolutes NoGo.
Verantwortungsvolle Admins lösen sowas mit einem VPN wie es in der heutigen Zeit üblich ist. Sowas mit simplen Port Forwarding zu machen ist grob fahrlässig zumal ja sogar bei dir die FW auch problemlos VPNs supportet !
Hallo,
OK.
Sorry das ich es so krass Formuliere, wenn dein Kunde mal nachweislich über diesen offenen Port Ärger hat, hast du spätestens dann die Schwarze essensmarke in der Hand. es hängt nur vom wohlwollen deines Kunden ab ob dieser nicht Juritsch gegen deinen Diletantismus vorgeht.
Informiere deinen Kunden das dies ein NOGO jedweder Art darstellt. Ein SSL VPN direkt mit der Kiste ist seine wahl sofern seine Endgeräte dies Unterstützen. oder eben IPSec mit seinen Geräten machen, sofern diese das auch können. Ansonsten bleibt dir noch ein PPTP auf einen Server (was noch keiner geknackt hat, aber trotzdem als unsicher gilt) zu machen sofern er einen Server betreibt, oder du hast tatsächlich das falsche Produkt für die Lösung deines Kunden dort hingestellt bzw. hinstellen lassen (du berätst ihn doch, oder?).
Meine Kunden wollen auch immer das alles und "es darf auch nichts kosten" und "wir haben das Teil aber doch schon gekauft / hier rum stehen" usw. Aber wenn ich den Inhabern / Geschäftsführen die Riskien und die offene Seitentür und deren Folgen eines geöffneten ungesicherten (VPN) RDP Port klar gemacht haben, will keiner mehr dieses (RDP offen ins Netz) so haben und heulen dann das alles so Kompliziert geworden ist (hintergedanke das ich ja eine Rechnung stelle)
Und da du einen Kunden hast, diese ihm eine Rechnung stellst, bist auch du Juristisch von deinen Kunden im Falle von seinem Missfallen an etwas was du ihm Verkauft hast (und sei es nur eine Dienstleistung) schneller mit Schadenersatzforderungen konfrontiert als dir lieb sein kann.....
Gruß,
Peter
OK.
eine Zyxel Zywall USG20 stehen.
OK.Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Das ist einer deiner schlechtesten Idee die du jemals gehabt haben kannst. Sorry. Bete das dein Kunde niemals dahinter kommt das er eine USG 20 hat die sogar VPN kann und du öffnest dem Internet tür und Tor in seine Firma ohne sein Wissen. Das ist als wenn du Vorne an der Tür mit Sicherheitsschloß, Blockschloß, Video und Alarmüberwachung ein Schild hin hängst wo drauf steht "Der Offene Eingang befindet sich hinten".Und siehe da - RDP funktioniert einwandfrei.
Wie schon erwähnt. Eine Frittenkiste macht es mit einen Klick. Eine Firmensicherheitslösung braucht da etwas mehr Wissen von denen der soetwas für Kunden einrichten tun will. Eine USG20 kann doch erheblich mehr als eine Horstbox oder FritzBox oder so. Von einen Dienstleister der Kunden in Sicherheitsfrage betreut sollte das doch erwartet werden können.Sorry das ich es so krass Formuliere, wenn dein Kunde mal nachweislich über diesen offenen Port Ärger hat, hast du spätestens dann die Schwarze essensmarke in der Hand. es hängt nur vom wohlwollen deines Kunden ab ob dieser nicht Juritsch gegen deinen Diletantismus vorgeht.
Informiere deinen Kunden das dies ein NOGO jedweder Art darstellt. Ein SSL VPN direkt mit der Kiste ist seine wahl sofern seine Endgeräte dies Unterstützen. oder eben IPSec mit seinen Geräten machen, sofern diese das auch können. Ansonsten bleibt dir noch ein PPTP auf einen Server (was noch keiner geknackt hat, aber trotzdem als unsicher gilt) zu machen sofern er einen Server betreibt, oder du hast tatsächlich das falsche Produkt für die Lösung deines Kunden dort hingestellt bzw. hinstellen lassen (du berätst ihn doch, oder?).
Meine Kunden wollen auch immer das alles und "es darf auch nichts kosten" und "wir haben das Teil aber doch schon gekauft / hier rum stehen" usw. Aber wenn ich den Inhabern / Geschäftsführen die Riskien und die offene Seitentür und deren Folgen eines geöffneten ungesicherten (VPN) RDP Port klar gemacht haben, will keiner mehr dieses (RDP offen ins Netz) so haben und heulen dann das alles so Kompliziert geworden ist (hintergedanke das ich ja eine Rechnung stelle)
Gruß,
Peter