Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel Firewall und Portweiterleitung

Frage Netzwerke LAN, WAN, Wireless

Mitglied: Markowitsch

Markowitsch (Level 1) - Jetzt verbinden

20.02.2014 um 15:15 Uhr, 9400 Aufrufe, 5 Kommentare

Hallo liebe Netzwerktechniker,

ich hab bei einem Kunden eine Zyxel Zywall USG20 stehen.
Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Anfangs hab ich die Regel NUR in den Firewalleinstellungen erstellt - hat leider auch nicht funktioniert.
Nach kurzer Recherche bin ich draufgekommen, dass ich auch eine Regel unter dem Menupunkt NAT erstellen muss.
Und siehe da - RDP funktioniert einwandfrei.

Jetzt zu meiner Frage :

Wieso muss ich erst den Eintrag unter NAT und dann noch zusätzlich eine Firewallregel erstellen???
Ich dachte es würde eine einfache Firewallregel genügen.
Wozu wird der NAT eintrag benötigt, bzw. wofür muss der Eintrag 2 mal erstellt werden (NAT und Firewall)

Kann mir dass bitte jemand erklären, dass ich es auch verstehe? BITTE

Wie richte ich korrekt eine Portweiterleitung ein?

Bitte korigiert mich wenn ich falsch liege :

1. Service erstellen (z.B. RDP - Port 3389 - TCP)
2. Adresse erstellen (z.B. Host - Server - 192.168.1.10)
3. NAT eintrag erstellen (Source - any / Dest. - Server / Service - RDP)
4. Firewall Regel erstellen (Source - any / Dest. - Server / Service - RDP)

Funktion OK !?!

Danke für Eure Hilfe

Marko
Mitglied: aqui
20.02.2014, aktualisiert um 16:43 Uhr
Nicht denken sondern nachdenken...!
Du arbeitest mit einer Firewall und nicht mit einem billigen Dummrouter für PC Bastler.
a.) Ist bei einer Firewall generell der Zugriff auf die physische IP des WAN Interface geblockt. Diese nutzt die FW aber als Absender IP für ihr NAT und ist auch die Ziel IP bei Port Forwarding Zugriffen von außen.
Hier muss also erstmal eine Regel geschaffen werden die den TCP 3389 Zugriff von außerhalb auf diese IP überhaupt erlaubt...Schritt 1
b.) Hier kommt dann der NAT Prozess dem man ja sagen muss WAS mit einer eingehenden TCP 3389 Session passieren soll, nämlich das Weiterleiten auf eine lokale IP Adresse...Schritt 2
Es sind also immer 2 Schritte...wie du sie ja auch ausgeführt hast.
Intelligente Firewalls erzeugen bei einem Port Forwarding oft selbstständig eine entsprechende Regel für die WAN IP Adresse, was aber immer gefährlich ist wenn man nicht aufpasst. FW Admins unterlassen solchen Automatismus für Dummies meist um hier nicht zuviel unnötige Löcher in die Sicherheit zu bohren.
Nebenbei:
Das simple Port Forwarden von RDP also TCP 3389 wäre normalerweise ein Kündigungsgrund für einen Admin. RDP nutzt nur eine sehr schwache RC4 Verschlüsselung die im Nu ausgehebelt ist und damit liegen dann die Server Inhalte einem Angreifer in Minutenschnelle auf dem Silbertablett vor. Für eine Firma mit relevanten Daten wäre das ein absolutes NoGo.
Verantwortungsvolle Admins lösen sowas mit einem VPN wie es in der heutigen Zeit üblich ist. Sowas mit simplen Port Forwarding zu machen ist grob fahrlässig zumal ja sogar bei dir die FW auch problemlos VPNs supportet !
Aber bei der Art der Frage kann man sich den Rest dann denken....
Bitte warten ..
Mitglied: Markowitsch
20.02.2014 um 15:51 Uhr
Danke Aqui für Deine Hilfe - ich verstehe jetzt warum dies in 2 Schritten geschehen muss.
Hast sehr gut erklärt
Auch dass RDP nicht umbedingt sicher ist, ist mir klar, aber für so beleidigende Kommentare wie :

"Aber bei der Art der Frage kann man sich den Rest dann denken...."

bin ich nicht dankbar.

Das Thema kann dann als geläst betrachtet werden.
Bitte warten ..
Mitglied: aqui
20.02.2014, aktualisiert um 16:47 Uhr
OK recht hast du ! Damit du wieder dankbar sein kannst ist der Kommentar gestrichen...
Trotzdem, wenn ich dein Kunde wäre hättest du in meiner Firma ab sofort Hausverbot wenn du sowas eingerichtet hättest !
In der heutigen allumfassenden Schnüffelwelt ist das ein NoGo...zumindest im Firmenumfeld !
Bitte warten ..
Mitglied: Pjordorf
20.02.2014 um 17:48 Uhr
Hallo,

Zitat von Markowitsch:
ich hab bei einem Kunden
OK.

eine Zyxel Zywall USG20 stehen.
OK.

Nun benötige ich eine Portweiterleitung für RDP und andere Ports.
Das ist einer deiner schlechtesten Idee die du jemals gehabt haben kannst. Sorry. Bete das dein Kunde niemals dahinter kommt das er eine USG 20 hat die sogar VPN kann und du öffnest dem Internet tür und Tor in seine Firma ohne sein Wissen. Das ist als wenn du Vorne an der Tür mit Sicherheitsschloß, Blockschloß, Video und Alarmüberwachung ein Schild hin hängst wo drauf steht "Der Offene Eingang befindet sich hinten".

Und siehe da - RDP funktioniert einwandfrei.
Wie schon erwähnt. Eine Frittenkiste macht es mit einen Klick. Eine Firmensicherheitslösung braucht da etwas mehr Wissen von denen der soetwas für Kunden einrichten tun will. Eine USG20 kann doch erheblich mehr als eine Horstbox oder FritzBox oder so. Von einen Dienstleister der Kunden in Sicherheitsfrage betreut sollte das doch erwartet werden können.

Sorry das ich es so krass Formuliere, wenn dein Kunde mal nachweislich über diesen offenen Port Ärger hat, hast du spätestens dann die Schwarze essensmarke in der Hand. es hängt nur vom wohlwollen deines Kunden ab ob dieser nicht Juritsch gegen deinen Diletantismus vorgeht.

Informiere deinen Kunden das dies ein NOGO jedweder Art darstellt. Ein SSL VPN direkt mit der Kiste ist seine wahl sofern seine Endgeräte dies Unterstützen. oder eben IPSec mit seinen Geräten machen, sofern diese das auch können. Ansonsten bleibt dir noch ein PPTP auf einen Server (was noch keiner geknackt hat, aber trotzdem als unsicher gilt) zu machen sofern er einen Server betreibt, oder du hast tatsächlich das falsche Produkt für die Lösung deines Kunden dort hingestellt bzw. hinstellen lassen (du berätst ihn doch, oder?).

Meine Kunden wollen auch immer das alles und "es darf auch nichts kosten" und "wir haben das Teil aber doch schon gekauft / hier rum stehen" usw. Aber wenn ich den Inhabern / Geschäftsführen die Riskien und die offene Seitentür und deren Folgen eines geöffneten ungesicherten (VPN) RDP Port klar gemacht haben, will keiner mehr dieses (RDP offen ins Netz) so haben und heulen dann das alles so Kompliziert geworden ist (hintergedanke das ich ja eine Rechnung stelle) Und da du einen Kunden hast, diese ihm eine Rechnung stellst, bist auch du Juristisch von deinen Kunden im Falle von seinem Missfallen an etwas was du ihm Verkauft hast (und sei es nur eine Dienstleistung) schneller mit Schadenersatzforderungen konfrontiert als dir lieb sein kann.....

Gruß,
Peter
Bitte warten ..
Mitglied: Markowitsch
21.02.2014 um 07:57 Uhr
Danke, ich glaube ich habs kapiert.

Wer sagt denn dass ich RDP benutze.
Vielleicht hab ich das eingerichtet um zu testen ob die Portweiterleitung funktioniert.
Manche Leute meinen immer alles besser zu wissen und lassen dass raushängen.
In diesem Forum stört mich, wenn man etwas technisches fragt, kommen 90% Kommentare zurück die nicht zur Lösung beitragen.

1. Der RDP Dienst ist ein Standarddienst auf der Zywall. (ist halt so)
2. Jede Portweiterleitung ist gefährtlich.(und die gibt es fast in jeder Firma)
3. Computer haben sowieso Sicherheitslücken die nie geschlossen werden.
4. Jeder Gebrauch eines PCs oder Smartphone ist gefährlich.
5. Ein Hacker kommt sowieso rein, wenn er will.

Wacht endlich auf und macht nicht aus jeder Mücke einen Elefante.

Danke dafür
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(1)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Windows Server
Windows Firewall Einstellungen für OpenVPN Tunnel (3)

Frage von Aubanan zum Thema Windows Server ...

Router & Routing
gelöst Fritzbox am FTTx-Anschluss ganz ohne Firewall ? (3)

Frage von Dilbert-MD zum Thema Router & Routing ...

Firewall
Firewall für DMZ und Intranet richtig konfigurieren (3)

Frage von vGaven zum Thema Firewall ...

Router & Routing
Bridging Modus des Zyxel Speedlink 5501 (4)

Frage von Stefan3110 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...