Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst LANCOM 1721 Firewall - Zugriffe nur von bestimmten IPs auf Webserver

Mitglied: ChrisMoltisanti

ChrisMoltisanti (Level 1) - Jetzt verbinden

30.01.2013 um 19:00 Uhr, 4752 Aufrufe, 4 Kommentare

Hallo zusammen,

ich bin glaube ich entweder ein wenig zu blöd oder mache mir zu viele Knoten in mein Gehirn

Auf einem Testserver habe ich unter Debian 6 einen Webserver am laufen, der hinter einem LANCOM 1721 steht. Ich habe eine feste IP und in meinem Home-Office ebenfalls eine feste IP. Nun möchte ich es so einrichten, dass ich nur von meiner Home-Office-IP auf den Webserver und evtl. andere Dienste wie SSH zugreifen kann.

Am LANCOM habe ich Port-Forwarding auf Port 80,443 und 22 für SSH aktiv und entsprechende Firewall-Einträge. Wenn ich in der Firewall als Quell-Netz nur meine Home-Office-IP eintrage komme ich dennoch per UMTS am Handy auf den Webserver. Als ersten Eintrag habe ich einen DENY-ALL (nach LANCOM KB http://www2.lancom.de/kb.nsf/1275/BB6FD1480986547FC1257433004F0C6B?Open ...) gemacht, und dann meinen Webserver entsprechend eingetragen.

Ich bin gerade etwas verwirrt und finde gerade meinen Haken nicht Auch nach längerer Suche bei Google und hier im Forum.

Bitte um Hilfe

Danke
Chris
Mitglied: 108012
30.01.2013 um 20:21 Uhr
Hallo ChrisMoltisanti,

falls es sich um die Kosten für den VPN Klienten und/oder die Lizenz handelt, versuche
doch einfach einmal den VPN Klienten von ShrewSoft!

Damit dann einfach eine VPN von zu Hause auf den Lancom auf der Arbeit und gut ist es,
dann kannst Du auf alles im LAN zugreifen und hast die Ports vorne nicht geöffnet.

Oder von Deinem Router zu Hause zum Lancom ein Site-to-Site VPN aufbauen und IPSec benutzen!

Gruß
Dobby
Bitte warten ..
Mitglied: aqui
30.01.2013 um 22:57 Uhr
Dein oben zitiertes Beispiel bezieht auf Traffic der vom lokalen LAN Port raus ins Internet geht aber nicht andersrum. Hier liegt also dein fataler Denkfehler.
Wenn du dort eine Allow Regel der öffentlichen Home Office IP angibst interessiert das den DSL Port und incoming Traffic dort herzlich wenig bis gar nicht logischerweise.
Folglich ist es klar das du vom UMTS dann fröhlich weiter auf den Webserver kommst. Funktioniert also alles wie es soll.
Kollege Dobby hat aber Recht. Du bohrst fröhlich Löcher in die Firewall und öffnest der Welt draussen dein lokales LAN. PFW ist nie wirklich sicher und birgt final erhebliche Risiken. Nimmst du die bewusst in Kauf ist das OK nur dann wäre deine Filter Paranoia eigentlich Unsinn.
Dobbys Vorschlag kommt also nicht von ungefähr besser eine Client VPN Kopplung oder noch besser eine Site to Site VPN Kopplung zu machen.
Wenn du schon so gute und leistungsfähige Routerhardware hast wäre es ja Perlen vor die Säuse das nicht zu machen...
Die PFW Fricklei und Löcher in der FW kannst du dann komplett vergessen.
Technisch die erheblich bessere Lösung.
Bitte warten ..
Mitglied: ChrisMoltisanti
31.01.2013 um 08:48 Uhr
Hi,

danke! Habe gerade nochmal das Beispiel gelesen und da ist mir das auch aufgefallen. Schande über mein Haupt Macht natürlich Sinn, was Ihr geschrieben habt. Man könnte ja auch IP Spoofing betreiben...

Konkret habe ich aber leider kein site-to-site-VPN Router. Ich teste die Umsetzung für verschiedene Außenstandorte von uns, die mit Telekom-Standard-Routern (sind je nur 2-3 Mann vor Ort) an das Internet angebunden sind. Da werde ich im Endeffekt nicht drum herum kommen, meinen Chef davon zu überzeugen, dass noch paar LANCOMs fällig werden

Viele Grüße
Bitte warten ..
Mitglied: 108012
31.01.2013 um 12:30 Uhr
Hallo ChrisMoltisanti,

...meinen Chef davon zu überzeugen, dass noch paar LANCOMs fällig werden
Die sind nicht billig, aber wenn Du das schaffst Ihn davon zu überzeugen, hast
Du es wesentlich besser und einfacher, denn da hast Du vor allen Dingen auch richtig lange etwas
davon!!!!

Draytek hat auch wohl etwas preisgünstiger Router im Angebot ich kann Dir nicht viel dazu sagen,
aber der @aqui empfiehlt die des öfteren hier im Forum und der weiß in der Regel welcher Router
was vermag!

Alle beiden haben jeweils auch einen Router im Sortiment mit einem SFP Port für FTTx Lösungen,
also wenn Ihr irgend wann auf so etwas umsteigen wollt vielleicht nicht schlecht zu wissen.

Gruß
Dobby
Bitte warten ..
Ähnliche Inhalte
Router & Routing
LANCOM 1721
gelöst Frage von brammerRouter & Routing6 Kommentare

Hallo, nur mal eine kurze Frage an die LANCOM Jungs und Mädels hier Wenn auf der Unterseite des Routers, ...

Router & Routing
Lancom DMZ und öffentliche IPs!
Frage von GL-LionRouter & Routing5 Kommentare

Hallo zusammen, folgendes Problem habe ich hier und benötige mal Eure Kompetenzen. Folgendes Szenario: - Neuer Kabelanschluss mit 5 ...

DSL, VDSL

Lancom Router 1721 ohne EasyBox mit Vodafone ins Internet

gelöst Frage von Swenni2kDSL, VDSL4 Kommentare

Hallo zusammen, versuche gerade mit dem Lancome ins Internet zu kommen, allerdings gelingt es mir nicht. Lancome bietet nur ...

RedHat, CentOS, Fedora

SSH auf bestimmte IPs für bestimmte User

gelöst Frage von NavigatoRedHat, CentOS, Fedora7 Kommentare

Hallo zusammen, ich möchte auf einem CentOS7 für bestimmte OS-Benutzer den Zugriff per SSH nur auf bestimmte IP's erlauben. ...

Neue Wissensbeiträge
Vmware
VMware Update für den ESXi 5.5 verfügbar
Information von sabines vor 50 MinutenVmware

Nach dem ganzen Hickhack um Update mit Microcode Anpassungen und Rückzug, gibt es nun für den ESXi 5.5 ein ...

CPU, RAM, Mainboards

Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

Information von keine-ahnung vor 4 StundenCPU, RAM, Mainboards3 Kommentare

Moin, extrem lutztig. Nur gut, dass ich noch nicht beim Probanden-Bingo mitgemacht habe :-) LG, Thomas

Router & Routing
PfSense als Addon auf QNAP
Information von magicteddy vor 18 StundenRouter & Routing3 Kommentare

Moin, für Spielereien eine ganz nette Idee aber ich fürchte das soetwas auch als echte Firewall genutzt wird: In ...

Datenschutz

Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

Information von magicteddy vor 1 TagDatenschutz1 Kommentar

Moin, jetzt werden IoT Geräte endgültig zur Wanze? Anscheinend kann man auf einem Dashboard seine Geräte visualisieren Ich stelle ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Preis für Wartungsvertrag ok?
gelöst Frage von a-za-zNetzwerkmanagement26 Kommentare

Hallo! Mal ne Frage, weil ich mich mit dem akzeptablen Preis für einen Reaktionszeitvertrag nicht auskenne. Meine Firma hat ...

Windows Server
TEMP-Profile
gelöst Frage von Forseti2003Windows Server21 Kommentare

Guten Morgen, wer kennt sie nicht, die lieben Temporären Benutzerprofile, vorallem immer dann, wenn man sie am wenigsten braucht. ...

Multimedia & Zubehör
Welches Tablet für die Verkäufer?
Frage von Hendrik2586Multimedia & Zubehör15 Kommentare

Guten Morgen meine Lieben, vielleicht könnt ihr mir ja helfen. Es geht um unsere Außendienstmitarbeiter /Verkäufer. Sie sollen demnächst ...

Windows Netzwerk
Ist ein Portforwarding auf einen PC ohne lauschendes Programm ein (großes) Sicherheitsproblem?
Frage von PluwimWindows Netzwerk13 Kommentare

Hallo zusammen, zur Fernwartung eines Rechners an einem anderen Ort nutze ich VNC. Da dieser Rechner einfach nur eine ...