8
Sophos UTM9 Portforwarding auf Apache-Server
hi!
Ich habe heute eine Sophos UTM9 in Betrieb genommen, habe aber beim Port-Forwarding etwas Mühe.
Grundsätzlich funktioniert das PortForwarding ja, wenn ich nämlich als DNAT Ziel einen Switch oder eine NAS einstelle dann kriege ich beim Aufruf der externen IP das dazugehörige WebInterface.
D.h. wenn ich bei der NAT-Regel für die externe IP 22.23.24.25 das Port Forwarding auf die NAS (intern 192.168.100.10) einstelle dann meldet sich die Admin-Oberfläche der NAS. Ändere ich die IP auf das Interface von einem Switch (intern 192.168.100.100) dann meldet sich schön brav das Web-Interface vom Switch.
Sobald ich den Apache-Server als Ziel fürs DNAT angebe kommt nix.
Der Apache-Server hing vorher direkt im Netz, ohne Firewall und hat tadellos funktioniert (war über eine Subdomain erreichbar).
Ich hätte ihn nun gern wieder über die gleiche Subdomain, jedoch hinter der Firewall gehabt.
Kann es an der Apache-Konfiguration liegen? (Ich habe eigentlich keine virtuellen Hosts am Webserver liegen.)
Muss ich den Webserver im DNS (Windows Srv 2008 R2) eintragen?
Was könnte sonst noch die Ursache sein???
lg & danke
flesh
Ich habe heute eine Sophos UTM9 in Betrieb genommen, habe aber beim Port-Forwarding etwas Mühe.
Grundsätzlich funktioniert das PortForwarding ja, wenn ich nämlich als DNAT Ziel einen Switch oder eine NAS einstelle dann kriege ich beim Aufruf der externen IP das dazugehörige WebInterface.
D.h. wenn ich bei der NAT-Regel für die externe IP 22.23.24.25 das Port Forwarding auf die NAS (intern 192.168.100.10) einstelle dann meldet sich die Admin-Oberfläche der NAS. Ändere ich die IP auf das Interface von einem Switch (intern 192.168.100.100) dann meldet sich schön brav das Web-Interface vom Switch.
Sobald ich den Apache-Server als Ziel fürs DNAT angebe kommt nix.
Der Apache-Server hing vorher direkt im Netz, ohne Firewall und hat tadellos funktioniert (war über eine Subdomain erreichbar).
Ich hätte ihn nun gern wieder über die gleiche Subdomain, jedoch hinter der Firewall gehabt.
Kann es an der Apache-Konfiguration liegen? (Ich habe eigentlich keine virtuellen Hosts am Webserver liegen.)
Muss ich den Webserver im DNS (Windows Srv 2008 R2) eintragen?
Was könnte sonst noch die Ursache sein???
lg & danke
flesh
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 209001
Url: https://administrator.de/contentid/209001
Printed on: April 18, 2024 at 11:04 o'clock
8 Comments
Latest comment
Vermulich liegt der Apachen Häuptling auf einem Server mit aktiver lokaler Firewall. (Win Firewall oder iptables wenn Linux)
Wie bei allen Rechneren mit lokaler Firewall verhindert diese den Zugriff auf das System von Absender IP Adressen die nicht aus dem lokalen Netzwerk kommen.
Genau das ist ja bei dir der Fall, da deine Absender IP mit Port Forwarding immer eine externe öffentliche ist aus dem Internet.
Folglich blockt die lokale Firewall diesen Zugriff wenn du diese nicht anpasst !!
Switch und NAS haben keine solche lokale Firewall, deshalb klappt es dort !
Generell ist von Port Forwarding abzuraten da du so Löcher in die Firewall bohren musst und das System angreifbar machst. Im Grunde konterkarierst du damit die Verwendung einer Firewall. Da hätte es ein einfacher NAT Router dann auch getan. Besser weil sicherer ist immer eine VPN Lösung.
Wie bei allen Rechneren mit lokaler Firewall verhindert diese den Zugriff auf das System von Absender IP Adressen die nicht aus dem lokalen Netzwerk kommen.
Genau das ist ja bei dir der Fall, da deine Absender IP mit Port Forwarding immer eine externe öffentliche ist aus dem Internet.
Folglich blockt die lokale Firewall diesen Zugriff wenn du diese nicht anpasst !!
Switch und NAS haben keine solche lokale Firewall, deshalb klappt es dort !
Generell ist von Port Forwarding abzuraten da du so Löcher in die Firewall bohren musst und das System angreifbar machst. Im Grunde konterkarierst du damit die Verwendung einer Firewall. Da hätte es ein einfacher NAT Router dann auch getan. Besser weil sicherer ist immer eine VPN Lösung.
wenn ich denWebserver direkt mit einer öffentlichen IP ans Internet hänge dann gehts ja, das irritiert mich halt.
Webserver über VPN ?? wie ist das zu verstehen?
PortForwarding rein auf Port80 sollte jetzt aber nicht so eine kritische Sache sein, oder?
Webserver über VPN ?? wie ist das zu verstehen?
PortForwarding rein auf Port80 sollte jetzt aber nicht so eine kritische Sache sein, oder?
Hallo,
IPs passen?
Firewall auf dein WebServer passt auch (hatte @aqui dir schon haarklein erklärt)
WebServer (Apache) Einstellungen passen auch mit geänderte IPs?
Kommen die Anfragen beim Webserver überhaupt an?
Gateway und Subnet passen auch?
Gruß,
Peter
Zitat von @fleshy:
wenn ich denWebserver direkt mit einer öffentlichen IP ans Internet hänge dann gehts ja
OK.wenn ich denWebserver direkt mit einer öffentlichen IP ans Internet hänge dann gehts ja
das irritiert mich halt.
Was? Das dein Webserver mit Öffentlicher IP Webserven tut?PortForwarding rein auf Port80 sollte jetzt aber nicht so eine kritische Sache sein, oder?
Nö.IPs passen?
Firewall auf dein WebServer passt auch (hatte @aqui dir schon haarklein erklärt)
WebServer (Apache) Einstellungen passen auch mit geänderte IPs?
Kommen die Anfragen beim Webserver überhaupt an?
Gateway und Subnet passen auch?
Gruß,
Peter
> das irritiert mich halt.
Was? Das dein Webserver mit Öffentlicher IP Webserven tut?
Nein, natürlich nicht, dass es da geht ist eh klar (bzw. bin ich froh drüber)Was? Das dein Webserver mit Öffentlicher IP Webserven tut?
schau ich mir an, danke für den Tipp wegen iptables...
WebServer (Apache) Einstellungen passen auch mit geänderte IPs?
Was außer der Netzwerkkonfig sollte man noch beachten? Bin betreffend Apache noch eher am Anfang...Kommen die Anfragen beim Webserver überhaupt an?
Sollte ich das im Access-log finden oder wo kann ich das überprüfen?Nachdem ja Switch und NAS funktioniert haben gehe ich davon aus, dass das Forwarding bis zum Apache durch kommt...
Gateway und Subnet passen auch?
intern komme ich problemlos drauf, aber nur übers PortForwarding nicht.Sollte ich - wenn ich in rein ins interne Netz hänge - auch die Nameserver auf die internen Adressen ändern? Braucht er die da für das PortForwarding? Ich glaube die sind nicht geändert...
danke für den Input
fleshy
ich nähere mich dem Ziel!
Dank dieses Postings sehe ich Licht am Ende des Tunnels!
in der apache2.conf hat was gefehlt (siehe Posting-Ende), das dürfte mich der Lösung näher bringen.
Jetzt muss ich nur noch die Konfiguration der virtuellen Hosts sauber hinkriegen, dann sollte es laufen! Mal sehen...
Edit: zwischendurch mal ufw disable eingetippt - das war auch sehr hilfreich....!!!!!!
lg
fleshy
Dank dieses Postings sehe ich Licht am Ende des Tunnels!
in der apache2.conf hat was gefehlt (siehe Posting-Ende), das dürfte mich der Lösung näher bringen.
Jetzt muss ich nur noch die Konfiguration der virtuellen Hosts sauber hinkriegen, dann sollte es laufen! Mal sehen...
Edit: zwischendurch mal ufw disable eingetippt - das war auch sehr hilfreich....!!!!!!
lg
fleshy
Hallo,
Gruß,
Peter
Zitat von @fleshy:
Was außer der Netzwerkkonfig sollte man noch beachten? Bin betreffend Apache noch eher am Anfang...
Na, das solltest du als betreiber des Apache doch wissen was du wo Eingestellt (verstellt) hast. Das ist doch deine Maschine und du bist herr über dessen Konfiguration. Was außer der Netzwerkkonfig sollte man noch beachten? Bin betreffend Apache noch eher am Anfang...
Sollte ich das im Access-log finden
wenn die Anfragen dort ankommen.oder wo kann ich das überprüfen?
Auf dem Kabel direkt? Nennt sich Netzwerkmonitor (gibts so von MS) oder auch Kabelhai (Wireshark) und noch viele andere die ein Blick ins Kabel werfen können.Nachdem ja Switch und NAS funktioniert haben gehe ich davon aus, dass das Forwarding bis zum Apache durch kommt...
Wenn du es so sagst dann wird deine Annahme ja 100% richtig sein. Nur hat der Apache ja noch ein OS vor sich, oder?intern komme ich problemlos drauf, aber nur übers PortForwarding nicht.
Was hat dir @aqui über Firewalls gesagt?Sollte ich - wenn ich in rein ins interne Netz hänge - auch die Nameserver auf die internen Adressen ändern?
Wenn du es möchtest.Braucht er die da für das PortForwarding?
Wenn dein Portforwarding über Namen läuft, ja.Ich glaube die sind nicht geändert...
Werde dir klar was ein DNS, ein Name und ein FQDN ist.Gruß,
Peter
wie ich eingangs gesagt habe: ich bin noch nicht so firm mit all dem. habe das ganze neu übernommen und bin dabei mich einzuarbeiten. da gehört also trial &error auch dazu und dazu gibt es ja solche super Foren wie dieses hier wo man Gott sei Dank auch sehr brauchbare Hilfe bekommt und nicht nur blöd verarscht wird.
Die UFW im Ubuntu wars. Den Rest werde ich mir jetzt
noch genauer anschauen.
danke für euren Input!
LG
Die UFW im Ubuntu wars. Den Rest werde ich mir jetzt
noch genauer anschauen.
danke für euren Input!
LG
Mal wieder die Firewall...wie immer also same Procedure as every day here 
