7
Server hinter NAT, Port-Forwarding nicht möglich, wie Server ins Netz bringen?
Ich habe einen Server (vielleicht später sogar mehrere), den ich ins Netz bringen will. Der Server soll zunächst nur einen WEbserver beherbergen, weitere Anwendungen sollen später dazu kommen. Problem: Der NAT-Router, hinter dem ich hänge, ist nicht unter meiner Kontrolle, sondern wird von einem anderen Administrator verwaltet. Der hat zwar nichts gegen meinen Server, er hat mir sogar per Peg-DHCP (damit werden in unserem Netz die IPs verwaltet) eine IP für den Server gegeben (dies hat aber etwa 2 Wochen gedauert, ab der schriftlichen Antragstellung gemessen). Aber er weigert sich, mir Port-Forwardings für meinen Server zu geben, sodass dieser nicht von außen erreichbar ist.
Begründung für sein Querstellen ist, dass Portforwardings angeblich nicht mit dem Sicherheitskonzept des Netzwerks vereinbar wären. Unser Netz besteht aus einer FRitzbox (das auch als NAS dient), mehreren Windows-Rechnern (2000, XP und 7), einem Netzwerkdrucker, mehreren Debian-PCs und einem Server. Die Debian-Rechner (zu denen auch der Server gehört) werden von mir betreut, für den Rest ist der besagte Netzwerkadmin zuständig. Der besagte Netzwerkadmin hat ein Sicherheitskonzept, das folgendermaßen aussieht: Die Rechner kriegen lokal keinerlei Absicherung (abgesehen von den auf manchen REchnern vorhandenen Virenscannern). Zugriffe zwischen den verschiedenen Geräten (auf DAteifreigaben und den Drucker) erfolgen ohne jeden Zugriffsschutz, man braucht hierfür noch nicht einmal Passwörter. Für Sicherheit soll die Fritzbox sorgen, indem sie von außen keine Zugriffe reinlässt. Das Einrichten eines Portforwardings, so der Admin würde die Sicherheit des gesamten Netzes gefährden, sodass er mir kein Portforwarding genehmigen könne, da durch das Portforwarding ja Leute von außen auf das interne Netz zugreifen könnten, was nach Meinung des Netzwerk- und Windows-Admins ein erhebliches Sicherheitsrisiko wäre.
Jetzt frage ich mich, wie ich meinen Server von außen erreichbar machen soll. Der Netzwerkadmin ist übrigens ein studierter Diplom-Informatiker, der studiert hat, als es die Vorlesung "Rechner-Kommunikation" noch nicht gegeben hat. Aber dass er keine Ahnung von Netzen hat, will er nicht einsehen.
Ich würde mich deshalb freuen, wenn mir jemand Vorschläge geben könnte, wie ich den Server von außen erreichbar machen kann, denn ich bin langsam am verzweifeln. Bitte kommt mir nicht mit Vorschlägen wie "Stell den Server ganz woanders auf", denn diese Option habe ich nicht.
Gruß 20cmdiskette
Jetzt frage ich mich, wie ich meinen Server von außen erreichbar machen soll. Der Netzwerkadmin ist übrigens ein studierter Diplom-Informatiker, der studiert hat, als es die Vorlesung "Rechner-Kommunikation" noch nicht gegeben hat. Aber dass er keine Ahnung von Netzen hat, will er nicht einsehen.
Ich würde mich deshalb freuen, wenn mir jemand Vorschläge geben könnte, wie ich den Server von außen erreichbar machen kann, denn ich bin langsam am verzweifeln. Bitte kommt mir nicht mit Vorschlägen wie "Stell den Server ganz woanders auf", denn diese Option habe ich nicht.
Gruß 20cmdiskette
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 177843
Url: https://administrator.de/contentid/177843
Printed on: April 26, 2024 at 22:04 o'clock
7 Comments
Latest comment
Aber dass er keine Ahnung von Netzen hat, will er nicht einsehen.
Vielleicht solltest Du Dir mal an die eigene Nase fassen...
Gruß, Arch Stanton
Alles, was über den offenen Port läuft, kommt auch nur an Deinem PC an
http://de.wikipedia.org/wiki/Portweiterleitung
etwas aufwendiger: http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
http://de.wikipedia.org/wiki/Portweiterleitung
etwas aufwendiger: http://de.wikipedia.org/wiki/Proxy_%28Rechnernetz%29
Hi !
Unsere Kommentare werden Dir eh nicht gefallen und daher kann ich mich Stanton gleich anschliessen, falls es sich tatsächlich um ein Firmennetzwerk handelt, dann würde ich vorschlagen, dass Du besser auf deinen Kollegen hörst oder bitte besser gleich die Finger davon lässt, denn in einem Firmennetzwerk geht es oftmals um Daten der Firmenkunden und nicht nur um eine popelige private MP3 Sammlung oder um Urlaubsbilder, was je nach Inhalt auch schon gefährlich sein kann... :-P
Ich will dir ja nicht zu nahe treten aber wie kommst Du auf die Schnapsidee, dass dein Admin Kollege keine Ahnung von Netzwerken hätte? In dem von dir beschriebenen Szenario, also nur mit der Fritzbox, ist seine Aussage sicherlich nicht ganz falsch, wenn es auch sonst am ganzen "Konzept" mangelt. Ich lese aus deiner Frage jedenfalls, dass Du dir jedenfalls über die Tragweite deines Handelns schon gleich gar nicht bewusst bist, denn ein erfahrener und qualifizierter Admin stellt auf jeden Fall keinen Webserver (oder was auch immer für einen Server) über einfache Portforwards ins Netz. Sowas kannst Du daheim im stillen Kämmerlein machen (wo gerade mal deine besagten Urlaubsbilder gespeichert sind) oder mal zu Testzwecken aber in einem echten Firmennetzwerk macht man das jedenfalls nicht...
mrtux
PS: Eine "DMZ für Arme" habe ich mir besser verkniffen, sonst grillt mich aqui...
Unsere Kommentare werden Dir eh nicht gefallen und daher kann ich mich Stanton gleich anschliessen, falls es sich tatsächlich um ein Firmennetzwerk handelt, dann würde ich vorschlagen, dass Du besser auf deinen Kollegen hörst oder bitte besser gleich die Finger davon lässt, denn in einem Firmennetzwerk geht es oftmals um Daten der Firmenkunden und nicht nur um eine popelige private MP3 Sammlung oder um Urlaubsbilder, was je nach Inhalt auch schon gefährlich sein kann... :-P
Ich will dir ja nicht zu nahe treten aber wie kommst Du auf die Schnapsidee, dass dein Admin Kollege keine Ahnung von Netzwerken hätte? In dem von dir beschriebenen Szenario, also nur mit der Fritzbox, ist seine Aussage sicherlich nicht ganz falsch, wenn es auch sonst am ganzen "Konzept" mangelt. Ich lese aus deiner Frage jedenfalls, dass Du dir jedenfalls über die Tragweite deines Handelns schon gleich gar nicht bewusst bist, denn ein erfahrener und qualifizierter Admin stellt auf jeden Fall keinen Webserver (oder was auch immer für einen Server) über einfache Portforwards ins Netz. Sowas kannst Du daheim im stillen Kämmerlein machen (wo gerade mal deine besagten Urlaubsbilder gespeichert sind) oder mal zu Testzwecken aber in einem echten Firmennetzwerk macht man das jedenfalls nicht...
mrtux
PS: Eine "DMZ für Arme" habe ich mir besser verkniffen, sonst grillt mich aqui...
Ganz Unrecht hat der Informatiker nicht. PFW ist immer eine Krücke in puncto Sicherheit gerade wenn dort billige Consumer Router wie FB & Co. im Einsatz sind.
Um dein Problem zu lösen solltest du ihm ein Konzept mit einer richtigen DMZ vorstellen. Genau so würde man das wasserdicht lösen und es würde auch in sein Sicherheitskonzept passen.
Dafür nimmst du einen kleine, preiswerte Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Diese hat 3 physische Interfaces. An eins schliesst du den vorhandenen Router an (am besten als Modem mit PPPoE Passthrough oder ein dediziertes DSL Modem. An einem Segment ist die DMZ mit deinem Server und am anderen das lokale Netzwerk.
Über Access Regeln in der Firewall stellst du das nun so ein das von außen nur ein Zugriff auf deinen Server möglich ist NICHT aber ins lokale LAN. Das kann nur auf den Server und nur auf den bestimmten Dienst zugreifen.
Eben das klassische Konzept einer richtigen DMZ wie es auch unten die Kollegen gemini und Lochkarte... zu Recht ansprichen.
Das dürfte den Informatiker beeindrucken, denn so ist es klassisch und sicher und keine solche Bastel- und Frickellösung wie du es vorhast mit der FB allein !
Um dein Problem zu lösen solltest du ihm ein Konzept mit einer richtigen DMZ vorstellen. Genau so würde man das wasserdicht lösen und es würde auch in sein Sicherheitskonzept passen.
Dafür nimmst du einen kleine, preiswerte Firewall wie z.B. diese hier:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Diese hat 3 physische Interfaces. An eins schliesst du den vorhandenen Router an (am besten als Modem mit PPPoE Passthrough oder ein dediziertes DSL Modem. An einem Segment ist die DMZ mit deinem Server und am anderen das lokale Netzwerk.
Über Access Regeln in der Firewall stellst du das nun so ein das von außen nur ein Zugriff auf deinen Server möglich ist NICHT aber ins lokale LAN. Das kann nur auf den Server und nur auf den bestimmten Dienst zugreifen.
Eben das klassische Konzept einer richtigen DMZ wie es auch unten die Kollegen gemini und Lochkarte... zu Recht ansprichen.
Das dürfte den Informatiker beeindrucken, denn so ist es klassisch und sicher und keine solche Bastel- und Frickellösung wie du es vorhast mit der FB allein !
Hallo 20cmdiskette,
was das Portforwarding ins LAN betrifft haben meine Vorrredner sicher recht.
Noch vielmehr falls das "Sicherheitskonzept" wirklich so ist wie von dir beschrieben.
Das auch vor dem Hintgergrund, dass das Monitoring der FritzBox wahrscheinlich nicht dem von Appliances von Cisco, Juniper etc. entspricht, er also mglw. gar nicht soviele Informationen zur Verfügung hat um Einbrüche feststellen und verfolgen zu können.
Er wäre daher auf die Logs deiner Debian-Rechner (also auf deinen goodwill) angewiesen. Würdest du dich in eine solche Situation begeben?
Ich würde das lösen, indem ich den Webserver in ein Perimeter stelle. Ich meine hier eine richtige DMZ, keinen 'Exposed host'.
Falls die Fritzbox dies nicht unterstützt (und da du ja schreibst dass es mglw. noch mehr Server werden), würde ich die Anschaffung einer richtigen Firewall mit DMZ-Unterstützung empfehlen.
Ggfs. kann es auch mit zwei Fritzboxen o.ä. realisiert werden.
In jedem Fall wirst du auf die Zusammenarbeit mit dem Netzwerkadmin angewiesen sein und da ist es nicht hilfreich ihm im Vorfeld schon jegliche Kompetenz abzusprechen.
Gruß,
gemini
was das Portforwarding ins LAN betrifft haben meine Vorrredner sicher recht.
Noch vielmehr falls das "Sicherheitskonzept" wirklich so ist wie von dir beschrieben.
Die Rechner kriegen lokal keinerlei Absicherung (abgesehen von den auf manchen REchnern vorhandenen Virenscannern).
Zugriffe zwischen den verschiedenen Geräten (auf DAteifreigaben und den Drucker) erfolgen ohne jeden Zugriffsschutz, man braucht hierfür noch nicht einmal Passwörter.
Für Sicherheit soll die Fritzbox sorgen, indem sie von außen keine Zugriffe reinlässt.
Wenn er in den genannten Szenario Ports öffnet kann er sich ein echtes Problem schaffen.Zugriffe zwischen den verschiedenen Geräten (auf DAteifreigaben und den Drucker) erfolgen ohne jeden Zugriffsschutz, man braucht hierfür noch nicht einmal Passwörter.
Für Sicherheit soll die Fritzbox sorgen, indem sie von außen keine Zugriffe reinlässt.
Das auch vor dem Hintgergrund, dass das Monitoring der FritzBox wahrscheinlich nicht dem von Appliances von Cisco, Juniper etc. entspricht, er also mglw. gar nicht soviele Informationen zur Verfügung hat um Einbrüche feststellen und verfolgen zu können.
Er wäre daher auf die Logs deiner Debian-Rechner (also auf deinen goodwill) angewiesen. Würdest du dich in eine solche Situation begeben?
Ich würde das lösen, indem ich den Webserver in ein Perimeter stelle. Ich meine hier eine richtige DMZ, keinen 'Exposed host'.
Falls die Fritzbox dies nicht unterstützt (und da du ja schreibst dass es mglw. noch mehr Server werden), würde ich die Anschaffung einer richtigen Firewall mit DMZ-Unterstützung empfehlen.
Ggfs. kann es auch mit zwei Fritzboxen o.ä. realisiert werden.
In jedem Fall wirst du auf die Zusammenarbeit mit dem Netzwerkadmin angewiesen sein und da ist es nicht hilfreich ihm im Vorfeld schon jegliche Kompetenz abzusprechen.
Gruß,
gemini
Hallo 8" (Disketten werden nicht in cm gemessen!).
mag sein, daß dein Netzwerkadmin keine Ahnung hat, aber wie die anderen Kollegen sagten: Erstmal an die eigene Nase fassen!
Mein Vorschlag wäre, dasß Du dich mit Deinem Netzwerkadmin zusammensetzt und mit Ihm konstruktiv an die Lösung des Problems gehst.
Und solange innerhalb des Firmennetzes "jeder alles darf" (so interpretiere ich jedenfalls Deine Beschreibung oben), ist es ein "Russisch-roulette"-Spiel, irgendetwas über die fritzbox reinzulassen.
lks
mag sein, daß dein Netzwerkadmin keine Ahnung hat, aber wie die anderen Kollegen sagten: Erstmal an die eigene Nase fassen!
Mein Vorschlag wäre, dasß Du dich mit Deinem Netzwerkadmin zusammensetzt und mit Ihm konstruktiv an die Lösung des Problems gehst.
- Fritzbox als reines Modem
- Anschaffung eines ordentlichen Routers oder gleich einer Firewall.
- Migration der von außen erreichbaren Systeme in eine DMZ.
Und solange innerhalb des Firmennetzes "jeder alles darf" (so interpretiere ich jedenfalls Deine Beschreibung oben), ist es ein "Russisch-roulette"-Spiel, irgendetwas über die fritzbox reinzulassen.
lks
@20cmdiskette
Wenns das denn nun war oder du kein Interesse an einem Feedback mehr hast bitte dann auch
How can I mark a post as solved?
nicht vergessen !!
Wenns das denn nun war oder du kein Interesse an einem Feedback mehr hast bitte dann auch
How can I mark a post as solved?
nicht vergessen !!