Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Sophos UTM9 Portforwarding auf Apache-Server

Frage Sicherheit Firewall

Mitglied: fleshy

fleshy (Level 1) - Jetzt verbinden

02.07.2013 um 21:21 Uhr, 2309 Aufrufe, 8 Kommentare

hi!

Ich habe heute eine Sophos UTM9 in Betrieb genommen, habe aber beim Port-Forwarding etwas Mühe.

Grundsätzlich funktioniert das PortForwarding ja, wenn ich nämlich als DNAT Ziel einen Switch oder eine NAS einstelle dann kriege ich beim Aufruf der externen IP das dazugehörige WebInterface.
D.h. wenn ich bei der NAT-Regel für die externe IP 22.23.24.25 das Port Forwarding auf die NAS (intern 192.168.100.10) einstelle dann meldet sich die Admin-Oberfläche der NAS. Ändere ich die IP auf das Interface von einem Switch (intern 192.168.100.100) dann meldet sich schön brav das Web-Interface vom Switch.
Sobald ich den Apache-Server als Ziel fürs DNAT angebe kommt nix.

Der Apache-Server hing vorher direkt im Netz, ohne Firewall und hat tadellos funktioniert (war über eine Subdomain erreichbar).
Ich hätte ihn nun gern wieder über die gleiche Subdomain, jedoch hinter der Firewall gehabt.

Kann es an der Apache-Konfiguration liegen? (Ich habe eigentlich keine virtuellen Hosts am Webserver liegen.)
Muss ich den Webserver im DNS (Windows Srv 2008 R2) eintragen?

Was könnte sonst noch die Ursache sein???

lg & danke
flesh
Mitglied: aqui
02.07.2013, aktualisiert um 21:52 Uhr
Vermulich liegt der Apachen Häuptling auf einem Server mit aktiver lokaler Firewall. (Win Firewall oder iptables wenn Linux)
Wie bei allen Rechneren mit lokaler Firewall verhindert diese den Zugriff auf das System von Absender IP Adressen die nicht aus dem lokalen Netzwerk kommen.
Genau das ist ja bei dir der Fall, da deine Absender IP mit Port Forwarding immer eine externe öffentliche ist aus dem Internet.
Folglich blockt die lokale Firewall diesen Zugriff wenn du diese nicht anpasst !!
Switch und NAS haben keine solche lokale Firewall, deshalb klappt es dort !
Generell ist von Port Forwarding abzuraten da du so Löcher in die Firewall bohren musst und das System angreifbar machst. Im Grunde konterkarierst du damit die Verwendung einer Firewall. Da hätte es ein einfacher NAT Router dann auch getan. Besser weil sicherer ist immer eine VPN Lösung.
Bitte warten ..
Mitglied: fleshy
02.07.2013 um 22:13 Uhr
wenn ich denWebserver direkt mit einer öffentlichen IP ans Internet hänge dann gehts ja, das irritiert mich halt.
Webserver über VPN ?? wie ist das zu verstehen?
PortForwarding rein auf Port80 sollte jetzt aber nicht so eine kritische Sache sein, oder?
Bitte warten ..
Mitglied: Pjordorf
02.07.2013 um 22:38 Uhr
Hallo,

Zitat von fleshy:
wenn ich denWebserver direkt mit einer öffentlichen IP ans Internet hänge dann gehts ja
OK.

das irritiert mich halt.
Was? Das dein Webserver mit Öffentlicher IP Webserven tut?

PortForwarding rein auf Port80 sollte jetzt aber nicht so eine kritische Sache sein, oder?
Nö.

IPs passen?
Firewall auf dein WebServer passt auch (hatte @aqui dir schon haarklein erklärt)
WebServer (Apache) Einstellungen passen auch mit geänderte IPs?
Kommen die Anfragen beim Webserver überhaupt an?
Gateway und Subnet passen auch?

Gruß,
Peter
Bitte warten ..
Mitglied: fleshy
02.07.2013 um 23:40 Uhr
> das irritiert mich halt.
Was? Das dein Webserver mit Öffentlicher IP Webserven tut?
Nein, natürlich nicht, dass es da geht ist eh klar (bzw. bin ich froh drüber)



IPs passen?
Firewall auf dein WebServer passt auch (hatte @aqui dir schon haarklein erklärt)
schau ich mir an, danke für den Tipp wegen iptables...

WebServer (Apache) Einstellungen passen auch mit geänderte IPs?
Was außer der Netzwerkkonfig sollte man noch beachten? Bin betreffend Apache noch eher am Anfang...

Kommen die Anfragen beim Webserver überhaupt an?
Sollte ich das im Access-log finden oder wo kann ich das überprüfen?
Nachdem ja Switch und NAS funktioniert haben gehe ich davon aus, dass das Forwarding bis zum Apache durch kommt...

Gateway und Subnet passen auch?
intern komme ich problemlos drauf, aber nur übers PortForwarding nicht.

Sollte ich - wenn ich in rein ins interne Netz hänge - auch die Nameserver auf die internen Adressen ändern? Braucht er die da für das PortForwarding? Ich glaube die sind nicht geändert...

danke für den Input
fleshy
Bitte warten ..
Mitglied: fleshy
03.07.2013, aktualisiert um 01:32 Uhr
ich nähere mich dem Ziel!
Dank dieses Postings sehe ich Licht am Ende des Tunnels!

in der apache2.conf hat was gefehlt (siehe Posting-Ende), das dürfte mich der Lösung näher bringen.
Jetzt muss ich nur noch die Konfiguration der virtuellen Hosts sauber hinkriegen, dann sollte es laufen! Mal sehen...

Edit: zwischendurch mal ufw disable eingetippt - das war auch sehr hilfreich....!!!!!!

lg
fleshy
Bitte warten ..
Mitglied: Pjordorf
03.07.2013 um 11:19 Uhr
Hallo,

Zitat von fleshy:
Was außer der Netzwerkkonfig sollte man noch beachten? Bin betreffend Apache noch eher am Anfang...
Na, das solltest du als betreiber des Apache doch wissen was du wo Eingestellt (verstellt) hast. Das ist doch deine Maschine und du bist herr über dessen Konfiguration.

Sollte ich das im Access-log finden
wenn die Anfragen dort ankommen.

oder wo kann ich das überprüfen?
Auf dem Kabel direkt? Nennt sich Netzwerkmonitor (gibts so von MS) oder auch Kabelhai (Wireshark) und noch viele andere die ein Blick ins Kabel werfen können.

Nachdem ja Switch und NAS funktioniert haben gehe ich davon aus, dass das Forwarding bis zum Apache durch kommt...
Wenn du es so sagst dann wird deine Annahme ja 100% richtig sein. Nur hat der Apache ja noch ein OS vor sich, oder?

intern komme ich problemlos drauf, aber nur übers PortForwarding nicht.
Was hat dir @aqui über Firewalls gesagt?

Sollte ich - wenn ich in rein ins interne Netz hänge - auch die Nameserver auf die internen Adressen ändern?
Wenn du es möchtest.

Braucht er die da für das PortForwarding?
Wenn dein Portforwarding über Namen läuft, ja.

Ich glaube die sind nicht geändert...
Werde dir klar was ein DNS, ein Name und ein FQDN ist.

Gruß,
Peter
Bitte warten ..
Mitglied: fleshy
04.07.2013 um 07:51 Uhr
wie ich eingangs gesagt habe: ich bin noch nicht so firm mit all dem. habe das ganze neu übernommen und bin dabei mich einzuarbeiten. da gehört also trial &error auch dazu und dazu gibt es ja solche super Foren wie dieses hier wo man Gott sei Dank auch sehr brauchbare Hilfe bekommt und nicht nur blöd verarscht wird.
Die UFW im Ubuntu wars. Den Rest werde ich mir jetzt
noch genauer anschauen.
danke für euren Input!
LG
Bitte warten ..
Mitglied: aqui
04.07.2013 um 08:31 Uhr
Mal wieder die Firewall...wie immer also same Procedure as every day here
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
DNS
gelöst Sophos UTM9 - FTP nur über IP erreichbar (4)

Frage von PronMaster zum Thema DNS ...

TK-Netze & Geräte
gelöst Hardware für Sophos UTM9 Home? (4)

Frage von istike2 zum Thema TK-Netze & Geräte ...

Firewall
gelöst Sophos UTM als DNS Server? (2)

Frage von 129511 zum Thema Firewall ...

Microsoft Office
Passwortabfrage Office bei Dokumenten von Apache Server

Frage von Cougar77 zum Thema Microsoft Office ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...