Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel Firewall und Portweiterleitung

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Markowitsch

Markowitsch (Level 2) - Jetzt verbinden

20.02.2014 um 15:15 Uhr, 12386 Aufrufe, 5 Kommentare

Hallo liebe Netzwerktechniker,

ich hab bei einem Kunden eine Zyxel Zywall USG20 stehen.
Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Anfangs hab ich die Regel NUR in den Firewalleinstellungen erstellt - hat leider auch nicht funktioniert.
Nach kurzer Recherche bin ich draufgekommen, dass ich auch eine Regel unter dem Menupunkt NAT erstellen muss.
Und siehe da - RDP funktioniert einwandfrei.

Jetzt zu meiner Frage :

Wieso muss ich erst den Eintrag unter NAT und dann noch zusätzlich eine Firewallregel erstellen???
Ich dachte es würde eine einfache Firewallregel genügen.
Wozu wird der NAT eintrag benötigt, bzw. wofür muss der Eintrag 2 mal erstellt werden (NAT und Firewall)

Kann mir dass bitte jemand erklären, dass ich es auch verstehe? BITTE

Wie richte ich korrekt eine Portweiterleitung ein?

Bitte korigiert mich wenn ich falsch liege :

1. Service erstellen (z.B. RDP - Port 3389 - TCP)
2. Adresse erstellen (z.B. Host - Server - 192.168.1.10)
3. NAT eintrag erstellen (Source - any / Dest. - Server / Service - RDP)
4. Firewall Regel erstellen (Source - any / Dest. - Server / Service - RDP)

Funktion OK !?!

Danke für Eure Hilfe

Marko
Mitglied: aqui
20.02.2014, aktualisiert um 16:43 Uhr
Nicht denken sondern nachdenken...!
Du arbeitest mit einer Firewall und nicht mit einem billigen Dummrouter für PC Bastler.
a.) Ist bei einer Firewall generell der Zugriff auf die physische IP des WAN Interface geblockt. Diese nutzt die FW aber als Absender IP für ihr NAT und ist auch die Ziel IP bei Port Forwarding Zugriffen von außen.
Hier muss also erstmal eine Regel geschaffen werden die den TCP 3389 Zugriff von außerhalb auf diese IP überhaupt erlaubt...Schritt 1
b.) Hier kommt dann der NAT Prozess dem man ja sagen muss WAS mit einer eingehenden TCP 3389 Session passieren soll, nämlich das Weiterleiten auf eine lokale IP Adresse...Schritt 2
Es sind also immer 2 Schritte...wie du sie ja auch ausgeführt hast.
Intelligente Firewalls erzeugen bei einem Port Forwarding oft selbstständig eine entsprechende Regel für die WAN IP Adresse, was aber immer gefährlich ist wenn man nicht aufpasst. FW Admins unterlassen solchen Automatismus für Dummies meist um hier nicht zuviel unnötige Löcher in die Sicherheit zu bohren.
Nebenbei:
Das simple Port Forwarden von RDP also TCP 3389 wäre normalerweise ein Kündigungsgrund für einen Admin. RDP nutzt nur eine sehr schwache RC4 Verschlüsselung die im Nu ausgehebelt ist und damit liegen dann die Server Inhalte einem Angreifer in Minutenschnelle auf dem Silbertablett vor. Für eine Firma mit relevanten Daten wäre das ein absolutes NoGo.
Verantwortungsvolle Admins lösen sowas mit einem VPN wie es in der heutigen Zeit üblich ist. Sowas mit simplen Port Forwarding zu machen ist grob fahrlässig zumal ja sogar bei dir die FW auch problemlos VPNs supportet !
Aber bei der Art der Frage kann man sich den Rest dann denken....
Bitte warten ..
Mitglied: Markowitsch
20.02.2014 um 15:51 Uhr
Danke Aqui für Deine Hilfe - ich verstehe jetzt warum dies in 2 Schritten geschehen muss.
Hast sehr gut erklärt
Auch dass RDP nicht umbedingt sicher ist, ist mir klar, aber für so beleidigende Kommentare wie :

"Aber bei der Art der Frage kann man sich den Rest dann denken...."

bin ich nicht dankbar.

Das Thema kann dann als geläst betrachtet werden.
Bitte warten ..
Mitglied: aqui
20.02.2014, aktualisiert um 16:47 Uhr
OK recht hast du ! Damit du wieder dankbar sein kannst ist der Kommentar gestrichen...
Trotzdem, wenn ich dein Kunde wäre hättest du in meiner Firma ab sofort Hausverbot wenn du sowas eingerichtet hättest !
In der heutigen allumfassenden Schnüffelwelt ist das ein NoGo...zumindest im Firmenumfeld !
Bitte warten ..
Mitglied: Pjordorf
20.02.2014 um 17:48 Uhr
Hallo,

Zitat von Markowitsch:
ich hab bei einem Kunden
OK.

eine Zyxel Zywall USG20 stehen.
OK.

Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Das ist einer deiner schlechtesten Idee die du jemals gehabt haben kannst. Sorry. Bete das dein Kunde niemals dahinter kommt das er eine USG 20 hat die sogar VPN kann und du öffnest dem Internet tür und Tor in seine Firma ohne sein Wissen. Das ist als wenn du Vorne an der Tür mit Sicherheitsschloß, Blockschloß, Video und Alarmüberwachung ein Schild hin hängst wo drauf steht "Der Offene Eingang befindet sich hinten".

Und siehe da - RDP funktioniert einwandfrei.
Wie schon erwähnt. Eine Frittenkiste macht es mit einen Klick. Eine Firmensicherheitslösung braucht da etwas mehr Wissen von denen der soetwas für Kunden einrichten tun will. Eine USG20 kann doch erheblich mehr als eine Horstbox oder FritzBox oder so. Von einen Dienstleister der Kunden in Sicherheitsfrage betreut sollte das doch erwartet werden können.

Sorry das ich es so krass Formuliere, wenn dein Kunde mal nachweislich über diesen offenen Port Ärger hat, hast du spätestens dann die Schwarze essensmarke in der Hand. es hängt nur vom wohlwollen deines Kunden ab ob dieser nicht Juritsch gegen deinen Diletantismus vorgeht.

Informiere deinen Kunden das dies ein NOGO jedweder Art darstellt. Ein SSL VPN direkt mit der Kiste ist seine wahl sofern seine Endgeräte dies Unterstützen. oder eben IPSec mit seinen Geräten machen, sofern diese das auch können. Ansonsten bleibt dir noch ein PPTP auf einen Server (was noch keiner geknackt hat, aber trotzdem als unsicher gilt) zu machen sofern er einen Server betreibt, oder du hast tatsächlich das falsche Produkt für die Lösung deines Kunden dort hingestellt bzw. hinstellen lassen (du berätst ihn doch, oder?).

Meine Kunden wollen auch immer das alles und "es darf auch nichts kosten" und "wir haben das Teil aber doch schon gekauft / hier rum stehen" usw. Aber wenn ich den Inhabern / Geschäftsführen die Riskien und die offene Seitentür und deren Folgen eines geöffneten ungesicherten (VPN) RDP Port klar gemacht haben, will keiner mehr dieses (RDP offen ins Netz) so haben und heulen dann das alles so Kompliziert geworden ist (hintergedanke das ich ja eine Rechnung stelle) Und da du einen Kunden hast, diese ihm eine Rechnung stellst, bist auch du Juristisch von deinen Kunden im Falle von seinem Missfallen an etwas was du ihm Verkauft hast (und sei es nur eine Dienstleistung) schneller mit Schadenersatzforderungen konfrontiert als dir lieb sein kann.....

Gruß,
Peter
Bitte warten ..
Mitglied: Markowitsch
21.02.2014 um 07:57 Uhr
Danke, ich glaube ich habs kapiert.

Wer sagt denn dass ich RDP benutze.
Vielleicht hab ich das eingerichtet um zu testen ob die Portweiterleitung funktioniert.
Manche Leute meinen immer alles besser zu wissen und lassen dass raushängen.
In diesem Forum stört mich, wenn man etwas technisches fragt, kommen 90% Kommentare zurück die nicht zur Lösung beitragen.

1. Der RDP Dienst ist ein Standarddienst auf der Zywall. (ist halt so)
2. Jede Portweiterleitung ist gefährtlich.(und die gibt es fast in jeder Firma)
3. Computer haben sowieso Sicherheitslücken die nie geschlossen werden.
4. Jeder Gebrauch eines PCs oder Smartphone ist gefährlich.
5. Ein Hacker kommt sowieso rein, wenn er will.

Wacht endlich auf und macht nicht aus jeder Mücke einen Elefante.

Danke dafür
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zyxel USG 60 Firewall Regeln
Frage von samet22Router & Routing6 Kommentare

Hallo Leute, Habe hier eine sehr komische Sache - vielleicht habt ihr eine Erklärung dafür Unter Policy Control stehen ...

Router & Routing
Portweiterleitung für PS4 durch ZyXEL USG60 (Router) und 2x FritzBOX 7390 (Modem)
Frage von cristodudeRouter & Routing5 Kommentare

Einen wunderschönen zusammen, da mir in meiner entlegenden Ortschaft kein kundlicher Techniker weiter zu helfen vermag und in meinem ...

Router & Routing
Zyxel USG 60 Firewall interface hinzufügen
Frage von samet22Router & Routing2 Kommentare

Hallo Leute, Wie ihr merkt poste ich in letzter zeit öfters hier fragen:) Ich habe ein komplettes Netzwerk übernommen ...

Netzwerkmanagement
ZyXEL USG Firewall Device HA probleme
Frage von simsnakeNetzwerkmanagement2 Kommentare

Hallo zusammen, zunächst mal schöne Ostern euch allen. Ich bin neu hier und habe direkt mal eine Frage an ...

Neue Wissensbeiträge
Linux

Limux-Ende in München: Wie ein Linux Projekt unter Ausschluss der Öffentlichkeit zerstört wurde

Information von Frank vor 1 StundeLinux6 Kommentare

Mein persönlicher Kommentar zum Thema "Limux-Ende". Die SPD-Politikerin Anne Hübner hat die Richtung von München ganz klar definiert: "Wir ...

Batch & Shell

Open Object Rexx: Eine mittlerweile fast vergessene Skriptsprache aus dem Mainframebereich

Information von Penny.Cilin vor 1 TagBatch & Shell9 Kommentare

Ich kann mich noch sehr gut an diese Skriptsprache erinnern und nutze diese auch heute ab und an noch. ...

Humor (lol)

"gimme gimme gimme": Automatischer Test stolpert über Easter Egg im man-Tool

Information von Penny.Cilin vor 1 TagHumor (lol)6 Kommentare

Interessant, was man so alles als Easter Egg implementiert. Ist schon wieder Ostern? "gimme gimme gimme": Automatischer Test stolpert ...

MikroTik RouterOS

Mikrotik - Lets Encrypt Zertifikate mit MetaROUTER Instanz auf dem Router erzeugen

Anleitung von colinardo vor 1 TagMikroTik RouterOS8 Kommentare

Einleitung Folgende Anleitung ist aus der Lage heraus entstanden das ein Kunde auf seinem Mikrotik sein Hotspot Captive Portal ...

Heiß diskutierte Inhalte
Router & Routing
Zwei Netzwerke erstellen
Frage von bunteblumeRouter & Routing13 Kommentare

Hallo Zusammen, Ich möchte gerne ein backup von einem bestimmten Folder welcher auf dem Server regelmässig synchronisiert wird auf ...

Off Topic
Fachkräftemangel in Deutschland? - Talentschmiede schreibt alle 2 Tage die gleichen Stellen aus
Frage von Penny.CilinOff Topic12 Kommentare

Hallo, haben wir in Deutschland Fachkräftemangel? Die Talentschmiede schreibt gefühlt alle zwei Tage dieselben Stellen aus. Und das schon ...

Microsoft Office
Outlook Cache Mode Frage
Frage von GwaihirMicrosoft Office11 Kommentare

Hallo zusammen, bin gerade neu in der Firma und lerne hier einige neue Dinge kennen. Zum Beispiel, dass die ...

Windows Server
Windows Store Apps
gelöst Frage von PeterleBWindows Server11 Kommentare

Gibt es einen Weg, auf Windows Server 2016 Windows Store Apps wie zum Beispiel die HP Smart App zu ...