Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NAT auf ein paar Ports beschränken? Wie?

Frage Netzwerke

Mitglied: onkelfu

onkelfu (Level 1) - Jetzt verbinden

08.05.2006, aktualisiert 09.05.2006, 5004 Aufrufe, 14 Kommentare

Hallo,

da ich seit ein paar Monaten mit dem Aufbau eines Server in einem kleinen Unternehmen betraut bin habe ich eine Frage an euch. Das System ist folgendermaßen aufgebaut: Server läuft als DC und Jana-Server läuft als Proxy, denn wir müssen die Zugriffe der Clients (zur Zeit 6) ins Web protokollieren. Zuerst hatten wir deswegen auch kein RRAS mit NAT aktiviert, da das Surfen im Web wunderbar funktioniert per Proxy. Mittlerweile sind jedoch die Anforderungen gestiegen, auch mal anderen Diensten den Zugriff aufs Web zu gewähren (Bsp: FTP, MAIL, NEWS, ICQ, ...). Deswegen haben wir NAT aktiviert. Jetzt besteht natürlich das Problem, dass somit zur Zeit ALLE Ports und Protokolle ins Web weitergeleitet werden, was aber im Falle von eMule oder sonstigen Proggis nicht sein soll.
Meine Idee war es nun, in den RRAS Optionen mit Hilfe der eingehenden und ausgehenden Filter erstmal alle Pakete zu blocken und dann nur die gewünschten freizugeben. Wenn ich diese Filter bei der internen Netzwerkkarte anwende, dann können sich die Leute aber nicht mehr in die Domäne einwählen oder sontiges im LAN machen (schätze, ich hab da wichtige Ports noch nicht freigegeben). Andererseits könnte ich ja auch den Filter an der externen Netzwerkkarte aktivieren und somit unerwünschte Pakete von innen nicht weiter nach außen leiten. Aber auch das funktioniert nicht, denn wenn ich zum Beispiel Quellport 80 blockiere, dann kann der Proxy auch keine Seiten mehr beziehen.
Wo setzt man den Filter richtigerweise an bzw. gibt es andere Möglichkeiten, um das Vorhaben zu realisieren?

Hier nochmal der Systemaufbau:
Server hat zwei Netzerkkarte:
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0
- interne Karte: verbunden mit LAN, IP: 192.168.0.100, Subnetz: 255.255.255.0
- auf dem Server läuft Jana-Server als HTTP-Proxy und neuerdings auch NAT

Wäre für jede Hilfe dankbar.



onkelfu
Mitglied: Honksen
08.05.2006 um 13:52 Uhr
Hallo,

du kannst NAT Ports öffnen, die dann extern wie intern die gleiche Portnummer besitzen. Sie werden dann nicht umgedreht. Ist zum Beispiel gut für Emule. Extern wie intern die gleichen Portnummern, Port 4661, 4662...

Aber wie geht denn
- externe Karte: verbunden mit Internet, IP:192.168.1.1, Subnetz: 255.255.255.0 ???

ist da noch ein Router vor??

Honk
Bitte warten ..
Mitglied: onkelfu
08.05.2006 um 13:56 Uhr
Ja, das ist noch ein Router davor, der sich ins Internet wählt und als "firewall" benutzt wird. Da hängt auch nur der server dran.
Aber wie mach ich das in der Praxis mit den Ports, dass zwar NAT aktiv ist, aber eben nur die gewünschten Ports und Protokolle weitergereicht werden?



onkelfu
Bitte warten ..
Mitglied: Honksen
08.05.2006 um 22:09 Uhr
Hai,

wenn du bestimmte Ports oder Ip Adressen blockieren willst, kannst du auf der externen Netzwerkkarte den ausgehenden Filter konfigurieren. Dazu auf neu drücken, unten bei Protokoll auf TCP, UDP, oder andere und dann enstprechenden Eintrag hinzufügen.
Zuletzt dann noch die entsprechende Filteraktion oben wählen und gut ist.
z. B. Protokoll TCP, Zielport 25, Filteraktion:alle außer den unten aufgeführten.. >>>> Email nach außen dicht (SMTP).

Aber auf deinem Router läuft doch garantiert schon NAT und ne FW ist auch schon drauf. Warum steuerst du den darüber nicht alles???

Honk
Bitte warten ..
Mitglied: onkelfu
09.05.2006 um 09:45 Uhr
Hi,

ja, auf dem Router läuft schon NAT, aber ich MUSS die Zugriffe auf Webseiten protokollieren (Anweisung von ganz oben *g*) und deswegen läuft die ganze Sache über den Jana-Proxy und die Logfiles werden schön jeden Tag weggesichert.
Die ausgehenden Filter auf der externen Netzwerkkarte hab ich schon probiert. Zwei Sachen hab ich da versucht.
erstens: Quelladresse: beliebig, Zieladresse: beliebig, Protokoll: TCP, Quellport: beliebig, Zielport: 80. Wenn ich diese Pakete blockiere, dann kann auch der Proxy keine Seiten mehr beziehen.
Habe dann versucht, mal eine Einstellung mit der Quelladresse zu machen (mit dem Gedanken, dass alle Pakete, die auf der externen Adresse raus wollen, aber vom internen Netz kommen, geblockt werden). Einstellungen: Quelladresse: 192.168.0.0, Quellmaske: 255.255.255.0, Zieladesse: beliebig, Protokoll: TCP, Quellport: beliebig, Zielport: 80.
Diese Variante greift überhaupt nicht. Scheint dran zu liegen, dass die Pakete dann schon durchs NAT durch sind und somit den Quelladresse der des Servers entspricht.

Hoffe, ich konnte das einigermaßen verständlich beschreiben.
Haste noch ne Idee?



onkelfu
btw: Was ist eigentlich der Unterscheid zwischen TCP und TCP[eingerichtet]?
Bitte warten ..
Mitglied: Keek
09.05.2006 um 10:06 Uhr
Moin,

Was für ein Router hängt denn vor dem Proxy??

Wenn das "nur" ein SOHO Router ist
würde ich diese Sache über eine "Richtige" Firewall lösen.
Die auch für die Internetverbindung zuständig ist. Also nicht einen Router mit Firewall funktionen, sondern eine Firewall mit integrietem Router
Da gibt es ja den viele möglichkeiten. Die einfachste wäre meiner meinung nach Gateprotect. Das ist eine FW die nicht sehr teuer ist. (Gerade bei wenigen usern) und sie hat eine Super log funktion. Da kannst du genau sehen wer wo wann was im Internet gemach hat. Konfiguriert wird sie über einen extra PC. Super easy. Hast denn da ne GUI. Da kann dein Chef sich dann auch anmelden und nachsehen was im internet gemacht wir. Wenn dir dann man was nicht gefällt: rechtsklick seite, dienst blocken fertig. Die FW läuft auf Linux Basis. Brauchst aber keine Linux kenntnise.

Nachteil ist leider das wieder neu kosten anfallen und ZEIT!

gruß

Keek
Bitte warten ..
Mitglied: onkelfu
09.05.2006 um 10:27 Uhr
Hallo,

vorm Server läuft ein stinknormaler Router "Siemens Gigaset SE515 dsl".
Ich hab mir auch schon solche Firewall-Lösungen angeschaut, da gibt es wirklich schöne Sachen. Das Problem ist halt nur, dass es wirklich an den Kosten scheintern wird. Es ist ja noch kein soooooooo großes Unternehmen und deshalb ist auch das Budget für die IT-Infrastruktur recht begrenzt (bin ja schon froh, dass wir seit kurzem ne USV haben *gg* aber das ist ein anderes Thema).
Die jetzige Lösung ist zwar nicht perfekt, erfüllt aber ihren Zweck. Nur wie gesagt...ich will nur einige Ports "nach außen" öffnen, damit nicht jeder sein eMule oder sowas laufen lassen kann.


onkelfu
Bitte warten ..
Mitglied: Keek
09.05.2006 um 13:08 Uhr
der jana Server kann keine Porst blocken. oder??

Alle Rechner aus dem Lan gehen über den Proxy ins Netz. Der Jana Server ist ja ein Windows Tool.
Also versuch doch mal auf dem Proxy eine Desktop Firewall zu installieren. Da schliesst du dann die unerwünschten Ports. Denn dürften doch die Clienst die über den Proxy Online gehen keine Verbindung über die geschlossen ports bekommen.. oder??
Bitte warten ..
Mitglied: onkelfu
09.05.2006 um 14:02 Uhr
Ja, das wär ne Möglichkeit. Problem ist nur, dass Proxy-Server und DomainController EIN Rechner sind (schlagt mich deswegen nicht, es muss so gehen). Wenn ich also alle Ports erstmal blocke, können sich die Clients nicht an der Domäne anmelden. Da müsste ich also erstmal alle Ports und Protokolle für die Domönenanmeldung freigeben und zusätzlich die gewünschten Ports für Mail, Icq, ...
Gibts denn irgendwo ne offizielle Übersicht, welche Ports für die Domänenanmeldung und Windows-Freigaben und so nötig sind?


onkelfu
Bitte warten ..
Mitglied: aqui
09.05.2006 um 15:07 Uhr
Warum konfigurierst du diese Regeln nicht als Accessliste auf dem Router ???
Port 80 und alles was über den Proxy geht erlaubst du nur von der IP Quelladresse des Proxys und alle anderen Ports dann entweder von einzelnen IP Adressen (Clients) oder einer Range.
Die Problematik ist dann das Accounting der nicht Proxy Ports für die Dokumentation, da die ja ohne den Proxy durchlaufen. Mit guten Routern wäre das auch möglich ich fürchte aber nicht mit dem Sinus Teil....
Bitte warten ..
Mitglied: onkelfu
09.05.2006 um 15:17 Uhr
Stimmt, da hast du natürlich recht. Das wäre ne Möglichkeit. Und da wir ja nur HTTP Zugriffe protokollieren wollen und das nur übern Proxy läuft, sollte das auch klappen.
Ich werds mal ausprobieren, auch wenn ich dann das halbe Netz umstöpseln muss, aber immerhin ne Lösung (obwohls mir dennoch lieber wär, wenn ich das direkt am Server machen könnt *g*).

Danke,


onkelfu
Bitte warten ..
Mitglied: aqui
09.05.2006 um 16:54 Uhr
Das Netz brauchst du doch dafür nicht "umstöpseln". Wenn du die IP Adresse vom Proxy und die der Cleints mit den entsprechenden Ports weisst reicht das doch für eine Accessliste
Bitte warten ..
Mitglied: onkelfu
09.05.2006 um 18:09 Uhr
Meiner Meinung nach nicht. Das Netz ist folgendermaßen aufgebaut:
DSL > Router > Server > Switch > Clients

Wenn also ein Client auf den Router zugreifen will, müssen die Pakete durch das NAT vom Server. Dadurch haben sie meiner Meinung nach, wenn sie beim Router ankommen, nicht mehr die Quelladresse der Clients, sondern die des Servers. Ich müsste also den Router an den Switch stöpseln, oder? Damit können die Pakete gleichzeitig an den Router und bei Bedarf (HTTP) auch zum Server (Proxy).
Bitte warten ..
Mitglied: Keek
09.05.2006 um 18:39 Uhr
Der jana Server macht doch überhaupt kein network address translation.
Das macht dein Router!
Bitte warten ..
Mitglied: onkelfu
09.05.2006 um 19:01 Uhr
Richtig. Der Jana ist nur der HTTP Proxy. Aber auf dem selben Rechner ist zur Zeit NAT aktiviert, damit die Clients mehr als nur HTTP nutzen können.
Ich müsste also den Clients direkten Zugang zum Router verschaffen.


onkelfu
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Datenschutz
USB-Ports sperren über Kaspersky (1)

Frage von Tak-47 zum Thema Datenschutz ...

Voice over IP
Voip hinter NAT (10)

Frage von Windows10Gegner zum Thema Voice over IP ...

Netzwerkprotokolle
Nachsehen ob Ports generell gesperrt sind (2)

Frage von staybb zum Thema Netzwerkprotokolle ...

Heiß diskutierte Inhalte
Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...

Microsoft Office
Keine Updates für Office 2016 (13)

Frage von Motte990 zum Thema Microsoft Office ...