Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

LANCOM 1721 Firewall - Zugriffe nur von bestimmten IPs auf Webserver

Frage Netzwerke Router & Routing

Mitglied: ChrisMoltisanti

ChrisMoltisanti (Level 1) - Jetzt verbinden

30.01.2013 um 19:00 Uhr, 4101 Aufrufe, 4 Kommentare

Hallo zusammen,

ich bin glaube ich entweder ein wenig zu blöd oder mache mir zu viele Knoten in mein Gehirn

Auf einem Testserver habe ich unter Debian 6 einen Webserver am laufen, der hinter einem LANCOM 1721 steht. Ich habe eine feste IP und in meinem Home-Office ebenfalls eine feste IP. Nun möchte ich es so einrichten, dass ich nur von meiner Home-Office-IP auf den Webserver und evtl. andere Dienste wie SSH zugreifen kann.

Am LANCOM habe ich Port-Forwarding auf Port 80,443 und 22 für SSH aktiv und entsprechende Firewall-Einträge. Wenn ich in der Firewall als Quell-Netz nur meine Home-Office-IP eintrage komme ich dennoch per UMTS am Handy auf den Webserver. Als ersten Eintrag habe ich einen DENY-ALL (nach LANCOM KB http://www2.lancom.de/kb.nsf/1275/BB6FD1480986547FC1257433004F0C6B?Open ...) gemacht, und dann meinen Webserver entsprechend eingetragen.

Ich bin gerade etwas verwirrt und finde gerade meinen Haken nicht Auch nach längerer Suche bei Google und hier im Forum.

Bitte um Hilfe

Danke
Chris
Mitglied: Dobby
30.01.2013 um 20:21 Uhr
Hallo ChrisMoltisanti,

falls es sich um die Kosten für den VPN Klienten und/oder die Lizenz handelt, versuche
doch einfach einmal den VPN Klienten von ShrewSoft!

Damit dann einfach eine VPN von zu Hause auf den Lancom auf der Arbeit und gut ist es,
dann kannst Du auf alles im LAN zugreifen und hast die Ports vorne nicht geöffnet.

Oder von Deinem Router zu Hause zum Lancom ein Site-to-Site VPN aufbauen und IPSec benutzen!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
30.01.2013 um 22:57 Uhr
Dein oben zitiertes Beispiel bezieht auf Traffic der vom lokalen LAN Port raus ins Internet geht aber nicht andersrum. Hier liegt also dein fataler Denkfehler.
Wenn du dort eine Allow Regel der öffentlichen Home Office IP angibst interessiert das den DSL Port und incoming Traffic dort herzlich wenig bis gar nicht logischerweise.
Folglich ist es klar das du vom UMTS dann fröhlich weiter auf den Webserver kommst. Funktioniert also alles wie es soll.
Kollege Dobby hat aber Recht. Du bohrst fröhlich Löcher in die Firewall und öffnest der Welt draussen dein lokales LAN. PFW ist nie wirklich sicher und birgt final erhebliche Risiken. Nimmst du die bewusst in Kauf ist das OK nur dann wäre deine Filter Paranoia eigentlich Unsinn.
Dobbys Vorschlag kommt also nicht von ungefähr besser eine Client VPN Kopplung oder noch besser eine Site to Site VPN Kopplung zu machen.
Wenn du schon so gute und leistungsfähige Routerhardware hast wäre es ja Perlen vor die Säuse das nicht zu machen...
Die PFW Fricklei und Löcher in der FW kannst du dann komplett vergessen.
Technisch die erheblich bessere Lösung.
Bitte warten ..
Mitglied: ChrisMoltisanti
31.01.2013 um 08:48 Uhr
Hi,

danke! Habe gerade nochmal das Beispiel gelesen und da ist mir das auch aufgefallen. Schande über mein Haupt Macht natürlich Sinn, was Ihr geschrieben habt. Man könnte ja auch IP Spoofing betreiben...

Konkret habe ich aber leider kein site-to-site-VPN Router. Ich teste die Umsetzung für verschiedene Außenstandorte von uns, die mit Telekom-Standard-Routern (sind je nur 2-3 Mann vor Ort) an das Internet angebunden sind. Da werde ich im Endeffekt nicht drum herum kommen, meinen Chef davon zu überzeugen, dass noch paar LANCOMs fällig werden

Viele Grüße
Bitte warten ..
Mitglied: Dobby
31.01.2013 um 12:30 Uhr
Hallo ChrisMoltisanti,

...meinen Chef davon zu überzeugen, dass noch paar LANCOMs fällig werden
Die sind nicht billig, aber wenn Du das schaffst Ihn davon zu überzeugen, hast
Du es wesentlich besser und einfacher, denn da hast Du vor allen Dingen auch richtig lange etwas
davon!!!!

Draytek hat auch wohl etwas preisgünstiger Router im Angebot ich kann Dir nicht viel dazu sagen,
aber der @aqui empfiehlt die des öfteren hier im Forum und der weiß in der Regel welcher Router
was vermag!

Alle beiden haben jeweils auch einen Router im Sortiment mit einem SFP Port für FTTx Lösungen,
also wenn Ihr irgend wann auf so etwas umsteigen wollt vielleicht nicht schlecht zu wissen.

Gruß
Dobby
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
Lancom N:N-NAT - öffentliche IP und Firewall

Frage von devil77 zum Thema Router & Routing ...

Firewall
Vom LAN auf Router über Firewall zugreiffen (5)

Frage von miichiii9 zum Thema Firewall ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (21)

Frage von Xaero1982 zum Thema Microsoft ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Windows Update
Treiberinstallation durch Windows Update läßt sich nicht verhindern (17)

Frage von liquidbase zum Thema Windows Update ...