7
Sophos UTM 9 Portweiterleitung
Hallo!
Ich verwende jetzt seit einiger Zeit die Sophos UTM 9 als Firewall und bin damit ganz zufrieden.
Jetzt habe ich nur ein Problem. Ich bringe es nicht zusammen, dass ich eine Portweiterleitung einrichte.
Ich würde gerne vom Internet auf den Webserver, der sich hinter der Firewall befindet zugreifen.
Der Aufbau sieht folgendermaßen aus:
WAN => UTM 9 => Switch => Webserver (Port 9000)
Im Internet habe ich schon einige Anleitungen gefunden um eine Portweiterleitung einzurichten, jedoch hat keine davon funktioniert.
zb: http://www.astaro.org/local-language-forums/german-forum/31994-port-for ...
Hat vielleicht jemand von Euch eine "Funktionierende" Lösung für mich?
Wäre Euch sehr dankbar.
Liebe Grüße,
Manuel
Ich verwende jetzt seit einiger Zeit die Sophos UTM 9 als Firewall und bin damit ganz zufrieden.
Jetzt habe ich nur ein Problem. Ich bringe es nicht zusammen, dass ich eine Portweiterleitung einrichte.
Ich würde gerne vom Internet auf den Webserver, der sich hinter der Firewall befindet zugreifen.
Der Aufbau sieht folgendermaßen aus:
WAN => UTM 9 => Switch => Webserver (Port 9000)
Im Internet habe ich schon einige Anleitungen gefunden um eine Portweiterleitung einzurichten, jedoch hat keine davon funktioniert.
zb: http://www.astaro.org/local-language-forums/german-forum/31994-port-for ...
Hat vielleicht jemand von Euch eine "Funktionierende" Lösung für mich?
Wäre Euch sehr dankbar.
Liebe Grüße,
Manuel
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 190913
Url: https://administrator.de/contentid/190913
Printed on: April 23, 2024 at 08:04 o'clock
7 Comments
Latest comment
Hi,
unter Network Security\NAT gehst du zum reiter DNAT/SNAT.
Danach sagst du "New Nat rule" und definierst bei "Traffic Service" deinen Service mit dem Port 9000 neu. Source und Destination lässt du auf Any...es sei denn du willst nur bestimmte Quel-IPs erlauben.
Danach bei NAT mode auf "DNAT"
Unten bei Destination den Namen/IP des Servers eintragen und danach noch einmal den Destination Service mit dem gleichen Element füllen wie oben den "Traffic Service"
WICHTIG -> nicht vergessen den hacken bei "Automatic Firewall rule" setzten
So sollte es funktioneren
unter Network Security\NAT gehst du zum reiter DNAT/SNAT.
Danach sagst du "New Nat rule" und definierst bei "Traffic Service" deinen Service mit dem Port 9000 neu. Source und Destination lässt du auf Any...es sei denn du willst nur bestimmte Quel-IPs erlauben.
Danach bei NAT mode auf "DNAT"
Unten bei Destination den Namen/IP des Servers eintragen und danach noch einmal den Destination Service mit dem gleichen Element füllen wie oben den "Traffic Service"
WICHTIG -> nicht vergessen den hacken bei "Automatic Firewall rule" setzten
So sollte es funktioneren
Grade bei den Sophos UTM (Ehemals Astaro ASG) ist die Konfiguration dank sehr übersichtlicher Gui selbsterklärend.
Man muss sich halt nur exakt vergegenwertigen, mit welcher IP die Pakete an der Sophos ankommen und an welchen Port (z. B. TCP9000), und an welche IP sie weitergeleitet werden sollen und ggfs. ob auch der TCP Port umgebogen werden soll wenn z. B. der interne Server auf den weitergeleitet wird nicht auf tcp9000 lauscht sondern auf z. B. tcp80.
Das malt man sich wenn man es selbst nicht so ganz versteht am besten mal auf ein Blatt Papier (welche IP/Port soll in was übersetzt werden) und kann das dann ganz einfach mit paar Klicks in der Sophos entsprechend einstellen.
In Deinem Beispiel muss das so aussehen: (bei Destination Service noch tcp9000 eintragen wenn der interne webserver auf tcp9000 lauscht.
http://i48.tinypic.com/axo0f7.png
Wie Philipp711 sagt, in dem Fall Destination NAT konfigurieren.
Die Sophos bietet
1. Masquerading
Auch Hide NAT genannt, weil es hauptsächlich dazu verwendet wird, interne private IPs vor dem Internet zu verstecken. Das ist eigentlich kein NAT sondern "PAT" '(Port Address translation), da viele (meist interne, private) IPs auf EINE öffentliche (in der Regel WAN IP vom Provider) übersetzt werden, so dass viele interne Rechner ins Internet kommen, obwohl man nur 1 öffentliche IP am WAN hat. Die Sophos verwaltet eine Port-Liste. Wenn z. B. von intern ein Client mit Quell-Port 2451 auf einen WEbserver im Internet auf Port 80 (http) zugreift, wird diese Verbindung in der Port-Table vermerkt sodass die Sophos weiss, an welchen Client sie aufgrund des Quell-Ports 2451 die Pakete vom Zielserver zurückrouten soll.
2. Source NAT
Wenn ein Rechner mit IP 10.20.30.40 z. B. auf einen Rechner 80.90.100.200 zugreifen soll, wird die QUELL IP (Source) 10.20.30.40 in eine andere IP übersetzt, z. B. 50.60.70.80. Aus Sicht des Zielrechners 80.90... kommen die Pakete dann von der 50.60.70.80. WEnn der Zielrechner Pakete zurückschickt schickt er sie damit an die 50.60.70.80, und die Sophos routet die Pakete dann an den eigentlichen Quellrechner 10.20.30.40 zurück. Ist quasi wie Masquerading, nur dass man hier pro Host konfigurieren kann.
3. Destination NAT
Auch "port forwarding". Wird dazu benutzt wenn z. B. ein interner Webserver mit privater IP wie 192.168.1.2 vom Internet aus erreichbar sein soll.
Vom Internet greift dann einer z. B. auf die Sophos WAN IP zu wie 80.90.100.200. Die Pakete kommen an der Sophos an und werden "weitergeleitet" an den internen Webserver mit der privaten IP 192.168.1.2.
4. Full NAT
Hier kann man extrem flexibel (und verwirrend) IP Adressen (OSI Layer3) und Ports (OSI Layer 4) beliebig übersetzen und die Verbindungen verbiegen, z. B. greift einer vom Interne aus mit Quell-IP 90.100.200.210 auf Ziel-Port 9000 auf (WAN-)Ziel-IP 85.86.87.89 zu, und die ankommenden Pakete werden weitergeleitet an 10.20.30.40 und der Port umgebogen auf 443.
Man muss sich halt nur exakt vergegenwertigen, mit welcher IP die Pakete an der Sophos ankommen und an welchen Port (z. B. TCP9000), und an welche IP sie weitergeleitet werden sollen und ggfs. ob auch der TCP Port umgebogen werden soll wenn z. B. der interne Server auf den weitergeleitet wird nicht auf tcp9000 lauscht sondern auf z. B. tcp80.
Das malt man sich wenn man es selbst nicht so ganz versteht am besten mal auf ein Blatt Papier (welche IP/Port soll in was übersetzt werden) und kann das dann ganz einfach mit paar Klicks in der Sophos entsprechend einstellen.
In Deinem Beispiel muss das so aussehen: (bei Destination Service noch tcp9000 eintragen wenn der interne webserver auf tcp9000 lauscht.
http://i48.tinypic.com/axo0f7.png
Wie Philipp711 sagt, in dem Fall Destination NAT konfigurieren.
Die Sophos bietet
1. Masquerading
Auch Hide NAT genannt, weil es hauptsächlich dazu verwendet wird, interne private IPs vor dem Internet zu verstecken. Das ist eigentlich kein NAT sondern "PAT" '(Port Address translation), da viele (meist interne, private) IPs auf EINE öffentliche (in der Regel WAN IP vom Provider) übersetzt werden, so dass viele interne Rechner ins Internet kommen, obwohl man nur 1 öffentliche IP am WAN hat. Die Sophos verwaltet eine Port-Liste. Wenn z. B. von intern ein Client mit Quell-Port 2451 auf einen WEbserver im Internet auf Port 80 (http) zugreift, wird diese Verbindung in der Port-Table vermerkt sodass die Sophos weiss, an welchen Client sie aufgrund des Quell-Ports 2451 die Pakete vom Zielserver zurückrouten soll.
2. Source NAT
Wenn ein Rechner mit IP 10.20.30.40 z. B. auf einen Rechner 80.90.100.200 zugreifen soll, wird die QUELL IP (Source) 10.20.30.40 in eine andere IP übersetzt, z. B. 50.60.70.80. Aus Sicht des Zielrechners 80.90... kommen die Pakete dann von der 50.60.70.80. WEnn der Zielrechner Pakete zurückschickt schickt er sie damit an die 50.60.70.80, und die Sophos routet die Pakete dann an den eigentlichen Quellrechner 10.20.30.40 zurück. Ist quasi wie Masquerading, nur dass man hier pro Host konfigurieren kann.
3. Destination NAT
Auch "port forwarding". Wird dazu benutzt wenn z. B. ein interner Webserver mit privater IP wie 192.168.1.2 vom Internet aus erreichbar sein soll.
Vom Internet greift dann einer z. B. auf die Sophos WAN IP zu wie 80.90.100.200. Die Pakete kommen an der Sophos an und werden "weitergeleitet" an den internen Webserver mit der privaten IP 192.168.1.2.
4. Full NAT
Hier kann man extrem flexibel (und verwirrend) IP Adressen (OSI Layer3) und Ports (OSI Layer 4) beliebig übersetzen und die Verbindungen verbiegen, z. B. greift einer vom Interne aus mit Quell-IP 90.100.200.210 auf Ziel-Port 9000 auf (WAN-)Ziel-IP 85.86.87.89 zu, und die ankommenden Pakete werden weitergeleitet an 10.20.30.40 und der Port umgebogen auf 443.
Moin,
mal eine leicht OT-Frage, da ich auch mit der UTM liebäugle....
Wie sind Eure Erfahrungen damit? Wie ist der Support? Ihr habt doch sicher Support mit eingekauft? Support ist deutschsprachig?
Danke für die Infos!
mal eine leicht OT-Frage, da ich auch mit der UTM liebäugle....
Wie sind Eure Erfahrungen damit? Wie ist der Support? Ihr habt doch sicher Support mit eingekauft? Support ist deutschsprachig?
Danke für die Infos!
Hi,
haben die UTM seit gut 4 Wochen im Einsatz. Sogar die Aktiv/Passiv-Cluster-konfiguration hat innerhalb von gut 30 Minuten einwandfrei funktioniert. <- war meine erste Astaro/Sophos UTM - habe mich vorher nur mit Infos aus dem Internet und von befreundeten Admins informiert...
Du benötigst eigentlich nur ein wenig Erfahrung in der Konfiguration von FW-System/Routern/Proxies...der rest ist ziemlich selbsterklärend.
Hatte erst einmal für 5 Min Kontakt mit dem Support wegen einem "kaputten" Lizenzfile....habe aufgelegt und wieder 5 Min später war eine neue Lizenzdatei in meinem Postfach.
haben die UTM seit gut 4 Wochen im Einsatz. Sogar die Aktiv/Passiv-Cluster-konfiguration hat innerhalb von gut 30 Minuten einwandfrei funktioniert. <- war meine erste Astaro/Sophos UTM - habe mich vorher nur mit Infos aus dem Internet und von befreundeten Admins informiert...
Du benötigst eigentlich nur ein wenig Erfahrung in der Konfiguration von FW-System/Routern/Proxies...der rest ist ziemlich selbsterklärend.
Hatte erst einmal für 5 Min Kontakt mit dem Support wegen einem "kaputten" Lizenzfile....habe aufgelegt und wieder 5 Min später war eine neue Lizenzdatei in meinem Postfach.
KLEINERE BIS MITTLERE FIREWALLZ
Ja habe sehr viele Astaros am laufen seit Jahren, sind super Kisten für kleinere bis mittlere Standorte.
Die können quasi alles was man sich vorstellen kann, und sind kinderleicht zu bedienen wenn man Netzwerkgrundlagen kapiert hat.
Kenne keine Firewall die intuitiver bedienbar wäre und so umfassende Funktionen bietet, die auch noch brauchbar laufen.
Schön ist auch dass man via ssh drauf kann und da zb via tcpdump sniffen kann ohne grosse Umstände.
Auch OSPF Routing läuft rund und ist schnell eingerichtet.
Mit HA Cluster hatte ich noch nie Probleme und sie sind idiotensicher einzurichten - einfach 1 Kiste konfigurieren, via Port 3 die andere Kiste dranhängen und DAS WARS. Bei Checkpoint ist das ne halbe Wissenschaft, und die Teilung von Betriebssystem und CheckPoint Software führt zu ungeheuren Komplexitäten und krankhaftem Supportbedarf.
Das RED VPN Konzept zur unkomplizierten Anbindung von kleinen Aussenstandorten klappt auch ganz easy, da ist nur ungewöhnlich dass auch Broadcasts übers WAN gehen.
IPSEC VPN kann man damit jedoch auch machen und es ist mit paar Klicks eingerichtet und versteht sich mit so ziemlich jedem anderen IPSEC-Standard VPN Gateway, wie ASA, Checkpoint usw. Da gabs selten Probleme, und wenn, dann sind das eher Konfig-Fehler.
Die NAT Möglichkeiten sind umfassend und dennoch idiotensicher verstehbar.
Auch als Webproxy macht die Sophos ne gute bis sehr gute Figur, auch als SMTP Gateway vielerorts seit Jahren gut einsetzbar, incl. Spam Filter etc.
Für kleinere Standorte bis ca 200 User hab ich mit Astaro/Sophos nie grössere Probleme gehabt.
Kaputt geht prinzipbedingt am ehesten mal die Festplatte, bei Supportvertrag gibts jedoch RMA Austausch.
Astaro / Sophos Support ist ok und deutsch. So ziemlich das Gegenteil vom Checkpoint Support. Und Checkpoint kostet ein Vermögen.
ENTERPRISE FIREWALLZ
Im Enterprise Umfeld eher bedingt einsetzbar - bei vielen Firewall Regeln ist das nicht so übersichtlich dargestellt wie bei Checkpoint.
Das Logging via Live Log ist bei AStaro recht brauchbar und easy, aber kein Vergleich zum CheckPoint Tracker, wohl der einzige Vorteil einer CheckPoint, sowie die Session-Synchronisation. Bei Checkpoint schnurrt der (IPSO Cluster) und lässt sich kaum aus der Ruhe bringen, man kann jederzeit ohne Session Abbruch schwenken, das schafft wohl nur Checkpoint.
Für mehrere tausend User als reine Firewall (ohne Proxy u. VPN Funktionen) würde ich eher zu Checkpoint (bestes Logging) oder Cisco ASA tendieren wegen Durchsatz und Stabilität unter Last, obwohl der CheckPoint Support grottenmies ist.
Echt ne Schande wie arrogant und oftmals inkompetent CheckPoint seine Kunden behandelt.
Firewall reagiert komisch - ähh probieren Sie mal dies, versuchen Sie mal das.
Hatte die letzten Jahre zu oft "seltsame" Phänomene, die bis heute zum Teil nicht gelöst sind mit Checkpoint.
OSPF auf SPLAT ist ein einziger Witz - und das bei einem 60.000€ Cluster. Das kriegt sogar Astaro/Sophos stabil hin!
Werde wohl auf ASA umsteigen wenn die Checkpoints auslaufen, Schnauze voll.
Für kleinere Geschichten bleibt Astaro/Sophos meine erste Wahl.
Ja habe sehr viele Astaros am laufen seit Jahren, sind super Kisten für kleinere bis mittlere Standorte.
Die können quasi alles was man sich vorstellen kann, und sind kinderleicht zu bedienen wenn man Netzwerkgrundlagen kapiert hat.
Kenne keine Firewall die intuitiver bedienbar wäre und so umfassende Funktionen bietet, die auch noch brauchbar laufen.
Schön ist auch dass man via ssh drauf kann und da zb via tcpdump sniffen kann ohne grosse Umstände.
Auch OSPF Routing läuft rund und ist schnell eingerichtet.
Mit HA Cluster hatte ich noch nie Probleme und sie sind idiotensicher einzurichten - einfach 1 Kiste konfigurieren, via Port 3 die andere Kiste dranhängen und DAS WARS. Bei Checkpoint ist das ne halbe Wissenschaft, und die Teilung von Betriebssystem und CheckPoint Software führt zu ungeheuren Komplexitäten und krankhaftem Supportbedarf.
Das RED VPN Konzept zur unkomplizierten Anbindung von kleinen Aussenstandorten klappt auch ganz easy, da ist nur ungewöhnlich dass auch Broadcasts übers WAN gehen.
IPSEC VPN kann man damit jedoch auch machen und es ist mit paar Klicks eingerichtet und versteht sich mit so ziemlich jedem anderen IPSEC-Standard VPN Gateway, wie ASA, Checkpoint usw. Da gabs selten Probleme, und wenn, dann sind das eher Konfig-Fehler.
Die NAT Möglichkeiten sind umfassend und dennoch idiotensicher verstehbar.
Auch als Webproxy macht die Sophos ne gute bis sehr gute Figur, auch als SMTP Gateway vielerorts seit Jahren gut einsetzbar, incl. Spam Filter etc.
Für kleinere Standorte bis ca 200 User hab ich mit Astaro/Sophos nie grössere Probleme gehabt.
Kaputt geht prinzipbedingt am ehesten mal die Festplatte, bei Supportvertrag gibts jedoch RMA Austausch.
Astaro / Sophos Support ist ok und deutsch. So ziemlich das Gegenteil vom Checkpoint Support. Und Checkpoint kostet ein Vermögen.
ENTERPRISE FIREWALLZ
Im Enterprise Umfeld eher bedingt einsetzbar - bei vielen Firewall Regeln ist das nicht so übersichtlich dargestellt wie bei Checkpoint.
Das Logging via Live Log ist bei AStaro recht brauchbar und easy, aber kein Vergleich zum CheckPoint Tracker, wohl der einzige Vorteil einer CheckPoint, sowie die Session-Synchronisation. Bei Checkpoint schnurrt der (IPSO Cluster) und lässt sich kaum aus der Ruhe bringen, man kann jederzeit ohne Session Abbruch schwenken, das schafft wohl nur Checkpoint.
Für mehrere tausend User als reine Firewall (ohne Proxy u. VPN Funktionen) würde ich eher zu Checkpoint (bestes Logging) oder Cisco ASA tendieren wegen Durchsatz und Stabilität unter Last, obwohl der CheckPoint Support grottenmies ist.
Echt ne Schande wie arrogant und oftmals inkompetent CheckPoint seine Kunden behandelt.
Firewall reagiert komisch - ähh probieren Sie mal dies, versuchen Sie mal das.
Hatte die letzten Jahre zu oft "seltsame" Phänomene, die bis heute zum Teil nicht gelöst sind mit Checkpoint.
OSPF auf SPLAT ist ein einziger Witz - und das bei einem 60.000€ Cluster. Das kriegt sogar Astaro/Sophos stabil hin!
Werde wohl auf ASA umsteigen wenn die Checkpoints auslaufen, Schnauze voll.
Für kleinere Geschichten bleibt Astaro/Sophos meine erste Wahl.
Moin,
danke für die Sophos-Erleuchtung
danke für die Sophos-Erleuchtung
Danke für Eure Hilfreichen Antworten.
Nun klappt's auch bei mir ;)
Mir ist sonst nur noch eines aufgefallen, bei der neuen UTM 9 ist ja eine Endpoint Protection dabei. Diese lässt sich aber nur aktivieren, wenn ich eine "Any - Any - Any" Firewallregel erstelle. Weiß da vielleicht jemand, warum das so ist und wie ich dies vielleicht anders lösen könnte?
L.G.
Manuel
Nun klappt's auch bei mir ;)
Mir ist sonst nur noch eines aufgefallen, bei der neuen UTM 9 ist ja eine Endpoint Protection dabei. Diese lässt sich aber nur aktivieren, wenn ich eine "Any - Any - Any" Firewallregel erstelle. Weiß da vielleicht jemand, warum das so ist und wie ich dies vielleicht anders lösen könnte?
L.G.
Manuel
