Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zyxel Firewall und Portweiterleitung

Mitglied: Markowitsch

Markowitsch (Level 2) - Jetzt verbinden

20.02.2014 um 15:15 Uhr, 13313 Aufrufe, 5 Kommentare

Hallo liebe Netzwerktechniker,

ich hab bei einem Kunden eine Zyxel Zywall USG20 stehen.
Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Anfangs hab ich die Regel NUR in den Firewalleinstellungen erstellt - hat leider auch nicht funktioniert.
Nach kurzer Recherche bin ich draufgekommen, dass ich auch eine Regel unter dem Menupunkt NAT erstellen muss.
Und siehe da - RDP funktioniert einwandfrei.

Jetzt zu meiner Frage :

Wieso muss ich erst den Eintrag unter NAT und dann noch zusätzlich eine Firewallregel erstellen???
Ich dachte es würde eine einfache Firewallregel genügen.
Wozu wird der NAT eintrag benötigt, bzw. wofür muss der Eintrag 2 mal erstellt werden (NAT und Firewall)

Kann mir dass bitte jemand erklären, dass ich es auch verstehe? BITTE

Wie richte ich korrekt eine Portweiterleitung ein?

Bitte korigiert mich wenn ich falsch liege :

1. Service erstellen (z.B. RDP - Port 3389 - TCP)
2. Adresse erstellen (z.B. Host - Server - 192.168.1.10)
3. NAT eintrag erstellen (Source - any / Dest. - Server / Service - RDP)
4. Firewall Regel erstellen (Source - any / Dest. - Server / Service - RDP)

Funktion OK !?!

Danke für Eure Hilfe

Marko
Mitglied: aqui
20.02.2014, aktualisiert um 16:43 Uhr
Nicht denken sondern nachdenken...!
Du arbeitest mit einer Firewall und nicht mit einem billigen Dummrouter für PC Bastler.
a.) Ist bei einer Firewall generell der Zugriff auf die physische IP des WAN Interface geblockt. Diese nutzt die FW aber als Absender IP für ihr NAT und ist auch die Ziel IP bei Port Forwarding Zugriffen von außen.
Hier muss also erstmal eine Regel geschaffen werden die den TCP 3389 Zugriff von außerhalb auf diese IP überhaupt erlaubt...Schritt 1
b.) Hier kommt dann der NAT Prozess dem man ja sagen muss WAS mit einer eingehenden TCP 3389 Session passieren soll, nämlich das Weiterleiten auf eine lokale IP Adresse...Schritt 2
Es sind also immer 2 Schritte...wie du sie ja auch ausgeführt hast.
Intelligente Firewalls erzeugen bei einem Port Forwarding oft selbstständig eine entsprechende Regel für die WAN IP Adresse, was aber immer gefährlich ist wenn man nicht aufpasst. FW Admins unterlassen solchen Automatismus für Dummies meist um hier nicht zuviel unnötige Löcher in die Sicherheit zu bohren.
Nebenbei:
Das simple Port Forwarden von RDP also TCP 3389 wäre normalerweise ein Kündigungsgrund für einen Admin. RDP nutzt nur eine sehr schwache RC4 Verschlüsselung die im Nu ausgehebelt ist und damit liegen dann die Server Inhalte einem Angreifer in Minutenschnelle auf dem Silbertablett vor. Für eine Firma mit relevanten Daten wäre das ein absolutes NoGo.
Verantwortungsvolle Admins lösen sowas mit einem VPN wie es in der heutigen Zeit üblich ist. Sowas mit simplen Port Forwarding zu machen ist grob fahrlässig zumal ja sogar bei dir die FW auch problemlos VPNs supportet !
Aber bei der Art der Frage kann man sich den Rest dann denken....
Bitte warten ..
Mitglied: Markowitsch
20.02.2014 um 15:51 Uhr
Danke Aqui für Deine Hilfe - ich verstehe jetzt warum dies in 2 Schritten geschehen muss.
Hast sehr gut erklärt
Auch dass RDP nicht umbedingt sicher ist, ist mir klar, aber für so beleidigende Kommentare wie :

"Aber bei der Art der Frage kann man sich den Rest dann denken...."

bin ich nicht dankbar.

Das Thema kann dann als geläst betrachtet werden.
Bitte warten ..
Mitglied: aqui
20.02.2014, aktualisiert um 16:47 Uhr
OK recht hast du ! Damit du wieder dankbar sein kannst ist der Kommentar gestrichen...
Trotzdem, wenn ich dein Kunde wäre hättest du in meiner Firma ab sofort Hausverbot wenn du sowas eingerichtet hättest !
In der heutigen allumfassenden Schnüffelwelt ist das ein NoGo...zumindest im Firmenumfeld !
Bitte warten ..
Mitglied: Pjordorf
20.02.2014 um 17:48 Uhr
Hallo,

Zitat von Markowitsch:
ich hab bei einem Kunden
OK.

eine Zyxel Zywall USG20 stehen.
OK.

Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Das ist einer deiner schlechtesten Idee die du jemals gehabt haben kannst. Sorry. Bete das dein Kunde niemals dahinter kommt das er eine USG 20 hat die sogar VPN kann und du öffnest dem Internet tür und Tor in seine Firma ohne sein Wissen. Das ist als wenn du Vorne an der Tür mit Sicherheitsschloß, Blockschloß, Video und Alarmüberwachung ein Schild hin hängst wo drauf steht "Der Offene Eingang befindet sich hinten".

Und siehe da - RDP funktioniert einwandfrei.
Wie schon erwähnt. Eine Frittenkiste macht es mit einen Klick. Eine Firmensicherheitslösung braucht da etwas mehr Wissen von denen der soetwas für Kunden einrichten tun will. Eine USG20 kann doch erheblich mehr als eine Horstbox oder FritzBox oder so. Von einen Dienstleister der Kunden in Sicherheitsfrage betreut sollte das doch erwartet werden können.

Sorry das ich es so krass Formuliere, wenn dein Kunde mal nachweislich über diesen offenen Port Ärger hat, hast du spätestens dann die Schwarze essensmarke in der Hand. es hängt nur vom wohlwollen deines Kunden ab ob dieser nicht Juritsch gegen deinen Diletantismus vorgeht.

Informiere deinen Kunden das dies ein NOGO jedweder Art darstellt. Ein SSL VPN direkt mit der Kiste ist seine wahl sofern seine Endgeräte dies Unterstützen. oder eben IPSec mit seinen Geräten machen, sofern diese das auch können. Ansonsten bleibt dir noch ein PPTP auf einen Server (was noch keiner geknackt hat, aber trotzdem als unsicher gilt) zu machen sofern er einen Server betreibt, oder du hast tatsächlich das falsche Produkt für die Lösung deines Kunden dort hingestellt bzw. hinstellen lassen (du berätst ihn doch, oder?).

Meine Kunden wollen auch immer das alles und "es darf auch nichts kosten" und "wir haben das Teil aber doch schon gekauft / hier rum stehen" usw. Aber wenn ich den Inhabern / Geschäftsführen die Riskien und die offene Seitentür und deren Folgen eines geöffneten ungesicherten (VPN) RDP Port klar gemacht haben, will keiner mehr dieses (RDP offen ins Netz) so haben und heulen dann das alles so Kompliziert geworden ist (hintergedanke das ich ja eine Rechnung stelle) Und da du einen Kunden hast, diese ihm eine Rechnung stellst, bist auch du Juristisch von deinen Kunden im Falle von seinem Missfallen an etwas was du ihm Verkauft hast (und sei es nur eine Dienstleistung) schneller mit Schadenersatzforderungen konfrontiert als dir lieb sein kann.....

Gruß,
Peter
Bitte warten ..
Mitglied: Markowitsch
21.02.2014 um 07:57 Uhr
Danke, ich glaube ich habs kapiert.

Wer sagt denn dass ich RDP benutze.
Vielleicht hab ich das eingerichtet um zu testen ob die Portweiterleitung funktioniert.
Manche Leute meinen immer alles besser zu wissen und lassen dass raushängen.
In diesem Forum stört mich, wenn man etwas technisches fragt, kommen 90% Kommentare zurück die nicht zur Lösung beitragen.

1. Der RDP Dienst ist ein Standarddienst auf der Zywall. (ist halt so)
2. Jede Portweiterleitung ist gefährtlich.(und die gibt es fast in jeder Firma)
3. Computer haben sowieso Sicherheitslücken die nie geschlossen werden.
4. Jeder Gebrauch eines PCs oder Smartphone ist gefährlich.
5. Ein Hacker kommt sowieso rein, wenn er will.

Wacht endlich auf und macht nicht aus jeder Mücke einen Elefante.

Danke dafür
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zyxel USG 60 Firewall Regeln
Frage von samet22Router & Routing6 Kommentare

Hallo Leute, Habe hier eine sehr komische Sache - vielleicht habt ihr eine Erklärung dafür Unter Policy Control stehen ...

Router & Routing

Portweiterleitung für PS4 durch ZyXEL USG60 (Router) und 2x FritzBOX 7390 (Modem)

Frage von cristodudeRouter & Routing5 Kommentare

Einen wunderschönen zusammen, da mir in meiner entlegenden Ortschaft kein kundlicher Techniker weiter zu helfen vermag und in meinem ...

Router & Routing

Zyxel USG 60 Firewall interface hinzufügen

Frage von samet22Router & Routing2 Kommentare

Hallo Leute, Wie ihr merkt poste ich in letzter zeit öfters hier fragen:) Ich habe ein komplettes Netzwerk übernommen ...

Netzwerkmanagement

ZyXEL USG Firewall Device HA probleme

Frage von simsnakeNetzwerkmanagement2 Kommentare

Hallo zusammen, zunächst mal schöne Ostern euch allen. Ich bin neu hier und habe direkt mal eine Frage an ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...