Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Sophos UTM 9 Portweiterleitung

Mitglied: manuelw

manuelw (Level 2) - Jetzt verbinden

08.09.2012 um 14:57 Uhr, 43118 Aufrufe, 7 Kommentare

Hallo!

Ich verwende jetzt seit einiger Zeit die Sophos UTM 9 als Firewall und bin damit ganz zufrieden.
Jetzt habe ich nur ein Problem. Ich bringe es nicht zusammen, dass ich eine Portweiterleitung einrichte.

Ich würde gerne vom Internet auf den Webserver, der sich hinter der Firewall befindet zugreifen.

Der Aufbau sieht folgendermaßen aus:

WAN => UTM 9 => Switch => Webserver (Port 9000)

Im Internet habe ich schon einige Anleitungen gefunden um eine Portweiterleitung einzurichten, jedoch hat keine davon funktioniert.

zb: http://www.astaro.org/local-language-forums/german-forum/31994-port-for ...

Hat vielleicht jemand von Euch eine "Funktionierende" Lösung für mich?

Wäre Euch sehr dankbar.

Liebe Grüße,
Manuel
Mitglied: Philipp711
08.09.2012, aktualisiert um 21:09 Uhr
Hi,

unter Network Security\NAT gehst du zum reiter DNAT/SNAT.

Danach sagst du "New Nat rule" und definierst bei "Traffic Service" deinen Service mit dem Port 9000 neu. Source und Destination lässt du auf Any...es sei denn du willst nur bestimmte Quel-IPs erlauben.

Danach bei NAT mode auf "DNAT"

Unten bei Destination den Namen/IP des Servers eintragen und danach noch einmal den Destination Service mit dem gleichen Element füllen wie oben den "Traffic Service"

WICHTIG -> nicht vergessen den hacken bei "Automatic Firewall rule" setzten

So sollte es funktioneren
Bitte warten ..
Mitglied: spacyfreak
09.09.2012, aktualisiert um 11:48 Uhr
Grade bei den Sophos UTM (Ehemals Astaro ASG) ist die Konfiguration dank sehr übersichtlicher Gui selbsterklärend.
Man muss sich halt nur exakt vergegenwertigen, mit welcher IP die Pakete an der Sophos ankommen und an welchen Port (z. B. TCP9000), und an welche IP sie weitergeleitet werden sollen und ggfs. ob auch der TCP Port umgebogen werden soll wenn z. B. der interne Server auf den weitergeleitet wird nicht auf tcp9000 lauscht sondern auf z. B. tcp80.
Das malt man sich wenn man es selbst nicht so ganz versteht am besten mal auf ein Blatt Papier (welche IP/Port soll in was übersetzt werden) und kann das dann ganz einfach mit paar Klicks in der Sophos entsprechend einstellen.

In Deinem Beispiel muss das so aussehen: (bei Destination Service noch tcp9000 eintragen wenn der interne webserver auf tcp9000 lauscht.
http://i48.tinypic.com/axo0f7.png



Wie Philipp711 sagt, in dem Fall Destination NAT konfigurieren.

Die Sophos bietet

1. Masquerading
Auch Hide NAT genannt, weil es hauptsächlich dazu verwendet wird, interne private IPs vor dem Internet zu verstecken. Das ist eigentlich kein NAT sondern "PAT" '(Port Address translation), da viele (meist interne, private) IPs auf EINE öffentliche (in der Regel WAN IP vom Provider) übersetzt werden, so dass viele interne Rechner ins Internet kommen, obwohl man nur 1 öffentliche IP am WAN hat. Die Sophos verwaltet eine Port-Liste. Wenn z. B. von intern ein Client mit Quell-Port 2451 auf einen WEbserver im Internet auf Port 80 (http) zugreift, wird diese Verbindung in der Port-Table vermerkt sodass die Sophos weiss, an welchen Client sie aufgrund des Quell-Ports 2451 die Pakete vom Zielserver zurückrouten soll.

2. Source NAT
Wenn ein Rechner mit IP 10.20.30.40 z. B. auf einen Rechner 80.90.100.200 zugreifen soll, wird die QUELL IP (Source) 10.20.30.40 in eine andere IP übersetzt, z. B. 50.60.70.80. Aus Sicht des Zielrechners 80.90... kommen die Pakete dann von der 50.60.70.80. WEnn der Zielrechner Pakete zurückschickt schickt er sie damit an die 50.60.70.80, und die Sophos routet die Pakete dann an den eigentlichen Quellrechner 10.20.30.40 zurück. Ist quasi wie Masquerading, nur dass man hier pro Host konfigurieren kann.

3. Destination NAT
Auch "port forwarding". Wird dazu benutzt wenn z. B. ein interner Webserver mit privater IP wie 192.168.1.2 vom Internet aus erreichbar sein soll.
Vom Internet greift dann einer z. B. auf die Sophos WAN IP zu wie 80.90.100.200. Die Pakete kommen an der Sophos an und werden "weitergeleitet" an den internen Webserver mit der privaten IP 192.168.1.2.

4. Full NAT
Hier kann man extrem flexibel (und verwirrend) IP Adressen (OSI Layer3) und Ports (OSI Layer 4) beliebig übersetzen und die Verbindungen verbiegen, z. B. greift einer vom Interne aus mit Quell-IP 90.100.200.210 auf Ziel-Port 9000 auf (WAN-)Ziel-IP 85.86.87.89 zu, und die ankommenden Pakete werden weitergeleitet an 10.20.30.40 und der Port umgebogen auf 443.
Bitte warten ..
Mitglied: Coreknabe
10.09.2012 um 09:29 Uhr
Moin,

mal eine leicht OT-Frage, da ich auch mit der UTM liebäugle....
Wie sind Eure Erfahrungen damit? Wie ist der Support? Ihr habt doch sicher Support mit eingekauft? Support ist deutschsprachig?

Danke für die Infos!
Bitte warten ..
Mitglied: Philipp711
10.09.2012, aktualisiert um 20:00 Uhr
Hi,

haben die UTM seit gut 4 Wochen im Einsatz. Sogar die Aktiv/Passiv-Cluster-konfiguration hat innerhalb von gut 30 Minuten einwandfrei funktioniert. <- war meine erste Astaro/Sophos UTM - habe mich vorher nur mit Infos aus dem Internet und von befreundeten Admins informiert...

Du benötigst eigentlich nur ein wenig Erfahrung in der Konfiguration von FW-System/Routern/Proxies...der rest ist ziemlich selbsterklärend.

Hatte erst einmal für 5 Min Kontakt mit dem Support wegen einem "kaputten" Lizenzfile....habe aufgelegt und wieder 5 Min später war eine neue Lizenzdatei in meinem Postfach.
Bitte warten ..
Mitglied: spacyfreak
10.09.2012, aktualisiert um 21:52 Uhr
KLEINERE BIS MITTLERE FIREWALLZ

Ja habe sehr viele Astaros am laufen seit Jahren, sind super Kisten für kleinere bis mittlere Standorte.
Die können quasi alles was man sich vorstellen kann, und sind kinderleicht zu bedienen wenn man Netzwerkgrundlagen kapiert hat.
Kenne keine Firewall die intuitiver bedienbar wäre und so umfassende Funktionen bietet, die auch noch brauchbar laufen.

Schön ist auch dass man via ssh drauf kann und da zb via tcpdump sniffen kann ohne grosse Umstände.
Auch OSPF Routing läuft rund und ist schnell eingerichtet.
Mit HA Cluster hatte ich noch nie Probleme und sie sind idiotensicher einzurichten - einfach 1 Kiste konfigurieren, via Port 3 die andere Kiste dranhängen und DAS WARS. Bei Checkpoint ist das ne halbe Wissenschaft, und die Teilung von Betriebssystem und CheckPoint Software führt zu ungeheuren Komplexitäten und krankhaftem Supportbedarf.
Das RED VPN Konzept zur unkomplizierten Anbindung von kleinen Aussenstandorten klappt auch ganz easy, da ist nur ungewöhnlich dass auch Broadcasts übers WAN gehen.
IPSEC VPN kann man damit jedoch auch machen und es ist mit paar Klicks eingerichtet und versteht sich mit so ziemlich jedem anderen IPSEC-Standard VPN Gateway, wie ASA, Checkpoint usw. Da gabs selten Probleme, und wenn, dann sind das eher Konfig-Fehler.
Die NAT Möglichkeiten sind umfassend und dennoch idiotensicher verstehbar.
Auch als Webproxy macht die Sophos ne gute bis sehr gute Figur, auch als SMTP Gateway vielerorts seit Jahren gut einsetzbar, incl. Spam Filter etc.

Für kleinere Standorte bis ca 200 User hab ich mit Astaro/Sophos nie grössere Probleme gehabt.
Kaputt geht prinzipbedingt am ehesten mal die Festplatte, bei Supportvertrag gibts jedoch RMA Austausch.

Astaro / Sophos Support ist ok und deutsch. So ziemlich das Gegenteil vom Checkpoint Support. Und Checkpoint kostet ein Vermögen.


ENTERPRISE FIREWALLZ
Im Enterprise Umfeld eher bedingt einsetzbar - bei vielen Firewall Regeln ist das nicht so übersichtlich dargestellt wie bei Checkpoint.
Das Logging via Live Log ist bei AStaro recht brauchbar und easy, aber kein Vergleich zum CheckPoint Tracker, wohl der einzige Vorteil einer CheckPoint, sowie die Session-Synchronisation. Bei Checkpoint schnurrt der (IPSO Cluster) und lässt sich kaum aus der Ruhe bringen, man kann jederzeit ohne Session Abbruch schwenken, das schafft wohl nur Checkpoint.


Für mehrere tausend User als reine Firewall (ohne Proxy u. VPN Funktionen) würde ich eher zu Checkpoint (bestes Logging) oder Cisco ASA tendieren wegen Durchsatz und Stabilität unter Last, obwohl der CheckPoint Support grottenmies ist.
Echt ne Schande wie arrogant und oftmals inkompetent CheckPoint seine Kunden behandelt.
Firewall reagiert komisch - ähh probieren Sie mal dies, versuchen Sie mal das.

Hatte die letzten Jahre zu oft "seltsame" Phänomene, die bis heute zum Teil nicht gelöst sind mit Checkpoint.
OSPF auf SPLAT ist ein einziger Witz - und das bei einem 60.000€ Cluster. Das kriegt sogar Astaro/Sophos stabil hin!
Werde wohl auf ASA umsteigen wenn die Checkpoints auslaufen, Schnauze voll.
Für kleinere Geschichten bleibt Astaro/Sophos meine erste Wahl.
Bitte warten ..
Mitglied: Coreknabe
11.09.2012 um 08:26 Uhr
Moin,

danke für die Sophos-Erleuchtung
Bitte warten ..
Mitglied: manuelw
11.09.2012 um 19:22 Uhr
Danke für Eure Hilfreichen Antworten.

Nun klappt's auch bei mir ;)

Mir ist sonst nur noch eines aufgefallen, bei der neuen UTM 9 ist ja eine Endpoint Protection dabei. Diese lässt sich aber nur aktivieren, wenn ich eine "Any - Any - Any" Firewallregel erstelle. Weiß da vielleicht jemand, warum das so ist und wie ich dies vielleicht anders lösen könnte?

L.G.
Manuel
Bitte warten ..
Ähnliche Inhalte
Firewall

DNAT- Einstellungen - Sophos UTM 9 Portweiterleitung

Frage von SachellenFirewall11 Kommentare

Guten Morgen liebe Mitglieder, ich hoffe, ihr hattet alle schöne Weihnachten :)) Ich benötige bitte nur noch ganz kurze ...

Firewall

Sophos UTM 9 Netze trennen

gelöst Frage von Florian86Firewall19 Kommentare

Hallo, wir haben eine Sophos UTM9 und wollen dort unsere vorhandenen Netze trennen. Netze: 192.168.0.0/24 Netz 1 255.255.255.0 192.168.0.1 ...

Netzwerke

Sophos UTM 9 Probleme mit Ports

Frage von 106561Netzwerke1 Kommentar

Guten Abend. Seit dem verwenden der UTM 9 ist bei mir mit Telekom ENtertain kein Time-Shift mehr verfügbar. Die ...

Firewall

Sophos UTM 9 SG-115

gelöst Frage von OSelbeckFirewall3 Kommentare

Finde irgenwie nüscht bei Dr. Google Also, neuer Kunde, Sophos UTM9, Lizenz abgelaufen Gibt es diese Lizenz nur bei ...

Neue Wissensbeiträge
Humor (lol)
IoT-Gefahr: Smartes Aquarium leckt!
Information von Lochkartenstanzer vor 13 StundenHumor (lol)3 Kommentare

Moin, Die IoT-Manie hat weitere Opfer gefunden. Ein Casino-Leck durch ein smartes Aquarium: Allerdings haben sie kein Wasser, sondern ...

Router & Routing

Alte Fritzbox 7270 mit VPN und SIP-Telefonie hinter O2 Homebox 6641 als "Modem"

Erfahrungsbericht von the-buccaneer vor 22 StundenRouter & Routing3 Kommentare

Nun war es soweit: Auch O2 hat mich mit VOIP zwangsbeglückt. Heute am Privatanschluss, in 2 Wochen ist das ...

Sicherheit

Ungepatchte Remote Code Execution-Lücke in LG NAS

Information von kgborn vor 1 TagSicherheit

Nutzt wer LG NAS-Einheiten? In den NAS-Einheiten der LG Network Storage-Einheiten gibt es eine sehr unschöne Schwachstelle, die einen ...

Windows Update

Neue Version KB4099950 NIC Einstellungen gehen verloren

Information von sabines vor 1 TagWindows Update2 Kommentare

Es ist eine neue Version des KB4099950 verfügbar, die das Problem mit den verlorenen Netzwerkeinstellungen lösen soll. Das Datum ...

Heiß diskutierte Inhalte
Sicherheit
Verbindliche Zustellung per E-Mail?
Frage von ahussainSicherheit18 Kommentare

Hallo allerseits, ein Kunde von mir nutzt intensiv Fax. Hauptgrund: zusammen mit einer Empfangsbestätigung ist eine verbindliche Zustellung gewährleistet. ...

Sonstige Systeme
Wie Normenkataloge im Unternehmen bereit stellen?
Frage von MuzzepuckelSonstige Systeme14 Kommentare

Hallo Kollegen, ich lese schon lange hier mit, nun mein ersrer Beitrag, bzw. Frage. :-) Wir benötigen für unsere ...

SAN, NAS, DAS
Entscheidung SAN Dell oder HP
Frage von VincorSAN, NAS, DAS13 Kommentare

Hallo, wir wollen uns für unsere Hyper V Umgebung eine neue SAN Anschaffen. Es laufen 30 VM's darunter, DC; ...

Linux Netzwerk
Raspberry Pi 3: WLAN Power save deaktivieren
Frage von nordie92Linux Netzwerk12 Kommentare

Moin moin, mein Raspberry Pi 3 Model B benötigt eine dauerhaft aktive WLAN-Verbindung. Leider bricht die WLAN-Verbindung nach einigen ...