NAT, Port Forwarding & Firewall ?

leo-magic

Aktives Mitglied
Thread Starter
Mitglied seit
24.12.2004
Beiträge
1.155
Hallo,

Konkret möchte ich vom Internet aus über den Router (fixe IP) auf einen Server im internen Netzwerk zugreifen können.

Nun habe ich am Router "Port Forwarding" so konfiguriert, dass zB. Port 80 auf 192.168.1.2 (Server) weitergeleitet wird.
Funktioniert nicht. (nichts lädt)

1) Muss NAT auf dem Router auch aktiviert sein damit PortForwarding funktioniert?
2) Muss ich auf dem Router zusätzlich zu PortForwarding alle Ports bei der Firewall öffnen?
Wenn ja: Ich muss bei der Firewall einen "Zielserver" auswählen.
Muss ich da die interne IP des Servers (192.168.1.2) eingeben?

Habe das gefühl durch die Einstellungen in Firewall UND PortForwarding ist alles etwas doppelt gemoppelt... nicht?

Danke,
Léo
 

Mai_Ke

unregistriert
Mitglied seit
29.09.2006
Beiträge
5.591
Kommt sicherlich auf die Firewall an...

Wenn ich bei meiner Box Port Forwarding aktiviere, dann muss ich auch die entsprechenden Ports in der Firewall für den entsprechenden Nutzer, Zeiten, Interfaces, ... freigeben.
 

leo-magic

Aktives Mitglied
Thread Starter
Mitglied seit
24.12.2004
Beiträge
1.155
Hallo!

Also muss NAT nicht aktiviert sein, um PortForwarding funktionstüchtig zu machen?

und: Was ist bei der Firewall meine "Zieladresse"? Der IP des Servers?

Gruss,
Léo
 

asterixxER

Aktives Mitglied
Mitglied seit
26.10.2009
Beiträge
1.385
Habe das gefühl durch die Einstellungen in Firewall UND PortForwarding ist alles etwas doppelt gemoppelt... nicht?

Danke,
Léo
Nein. Portforwarding leitet Anfragen auf einem bestimmten Port an eine ZielIP und einem Port dort weiter. Um die Anfragen aber ueberhaupt durchkommen zu lassen muss man in die Firewall ein Loch "bohren" sprich diesen Port in der Firewall auch oeffnen.
 

roedert

Aktives Mitglied
Mitglied seit
05.01.2011
Beiträge
11.751
Vielleicht wäre es hilfreich uns zu sagen um welchen Router es sich handelt - oder mal einen Screenshot einzustellen.

NAT hat mit Portforwarding erstmal nichts zu tun - NAT ist in der anderen Richtung aktiv - von deinem Netz aus ins Internet. Deine internen Adressen (meist 192.168.x.x) werden über deine vom Provider erhaltene offizielle Adresse "geNATet" wenn sie ins Internet zugreifen.
Für den anderen Weg (Zugriff von außen) reicht das Portforwarding, dazu muss natürlich dieser Port in der Firewall auch geöffnet sein. Sinnvollerweise richtet das der Router gleich selbst mit ein wenn du ein Portforwarding anlegst. Aber die "Zieladresse" der Firewall von der du sprachst klingt erstmal nicht plausibel - wie gesagt, ein Screenshot kann hier vielleicht weiterhelfen.

gruß Tilo
 
Zuletzt bearbeitet:

Panerai

Mitglied
Mitglied seit
08.01.2011
Beiträge
127
Einfach den Port 80 auf eine IP umzuleiten wird dir nichts bringen. NAT ist vom Router standardmäßig aktiviert, da Du sonst nicht ins Internet kommen würdest.
Um Dir helfen zu können, brauchen wir schon mehr Input.
 

Tazmania

unregistriert
Mitglied seit
15.03.2007
Beiträge
925
Du willst von extern auf den Server zugreifen via http Port 80 oder wie? Dann muss auf dem erver auch ein Webserver installiert sein.
 

leo-magic

Aktives Mitglied
Thread Starter
Mitglied seit
24.12.2004
Beiträge
1.155
Hallo!
Erstmals danke für Eure Inputs!

Die Firewall-Einstellungen am Router sind (finde ich) recht verwirrend...
Hier mal ein Auszug aus der Beidenungsanleitung. (Modell Zyxel 2606HW)

Allgemeine Firewall Einstellungen


Firewall Regeln


Bei den Regeln müsste ich wohl "Destination Adress" ausfüllen, nur mit welcher IP? Die vom Server?

Und: Muss ich bei den Allgemeinen Einstellungen WAN TO LAN akzeptieren, damit überhaupt die Firewall Regeln in Aktion treten?

Danke und Gruss,
Léo
 

Anhänge

roedert

Aktives Mitglied
Mitglied seit
05.01.2011
Beiträge
11.751
In den allgemeinen Einstellungen sind die "Default Aktionen" - also das was gemacht wird wenn keine andere Regel zutrifft. Bei WAN to LAN sollte "Drop" da schon ok sein.
Dann erstellst du eine detaillierte Regel (Kann man festlegen wo diese greifen sollen - LAN oder WAN?) und öffnest Port 80 tcp - Source Adress "any", Destination Adress ist dein Router selbst, denn er empfängt ja das Paket und setzt es dann um. Wenn die FW-Regel auf dem WAN-Interface liegt ist dies deine offizielle IP vom Provider - da der Router aber ja nur diese Adresse hat und keine weiteren aus dem Internet ansprechbaren Adressen solltest du als Destination Adress auch "any" eintragen können.

Da überall das Logging aktiviert ist solltest du ja dort auch sehen ob evtl. Pakete noch geblockt werden.

Gruß Tilo
 

leo-magic

Aktives Mitglied
Thread Starter
Mitglied seit
24.12.2004
Beiträge
1.155
Auf diesem Beispiel aus der Bedienungsanleitung steht bei der Zieladresse ein Range interner IP's... das verwirrt mich etwas...
 

Anhänge

leo-magic

Aktives Mitglied
Thread Starter
Mitglied seit
24.12.2004
Beiträge
1.155
Von dieser seite habe ich das manuel gedownloaded. Aber leider keine Antworten auf meine Fragen in der Knowledgebase...

Léo
 

BoeserDrache

Aktives Mitglied
Mitglied seit
13.11.2010
Beiträge
5.094
Viel interessanter wäre zu wissen ob auf 192.168.1.2 überhaupt etwas auf Port 80 lauscht? Ist das ein Webserver? Hast du da vielleicht noch eine lokale Softwarefirewall installiert?

Zu #10. Da stehen mehrere IPs weil diese Regel wohl einfach für mehrere Geräte gelten sollte.
 

leo-magic

Aktives Mitglied
Thread Starter
Mitglied seit
24.12.2004
Beiträge
1.155
ok. In dem Fall lasse ich es auf "Any".

Und ja, auf 192.168.1.2 läuft ein Webserver unter OS X Server. Die OS X Server Firewall ist aus.

Gewinnt man an Sicherheit, wenn man die auch noch an schaltet?

Gruss,
Léo
 

BoeserDrache

Aktives Mitglied
Mitglied seit
13.11.2010
Beiträge
5.094
Nicht wirklich. Lass sie ruhig erstmal aus bis du eine funktionierende Verbindung hast. Danach kannst du sie immer noch aufdrehen.
 

ginar

Neues Mitglied
Mitglied seit
02.05.2011
Beiträge
18
Hallo zusammen,

ich habe den Eindruck, hier herrscht ein kleines bisschen Verwirrung. Ich selbst habe das Zyxel P335 - es scheint ein wenig einfacher in der Bedienung zu sein, hat mich aber dennoch einige Mühe gekostet bei der Konfiguration des NATting und der Firewall (besser Service-Blocker, nichts anderes ist es nämlich).

Wenn in einem Administrationfenster nicht ausdrücklich von "LAN" oder "LAN to LAN" die Rede ist (meistens in PopUps) hat mein Router mit dem LAN nicht wirklich was zu tun. Er überwacht lediglich den Verkehr vom WAN in mein LAN (from WAN inbound). Die sensiblen Einstellungen sind tatsächlich die NATting Tables und die Firewall-Roules.

Ich hab's erst mal so gemacht: zuerst kümmerte ich mich um die NATting-Einstellungen, damit erst einmal der Zugang von meinem LAN ins Internet ermöglicht ist. Beim P335 wird einem der folgende Bildschirm angezeigt:

Bildschirmfoto 2011-05-03 um 23.15.15.png

Für meine Installation waren lediglich die hier sichtbaren Einträge auf der "General" Seite notwendig: ich lasse vom Router sämtliche Packages (FTP, HTTP etc) auf meinen Webserver 192.168.0.5 schicken. Auf dem Webserver jedoch läuft ausschliesslich Apache, also werden Web-Anfragen ausser auf Port 80 sowieso zurückgewiesen. Der Check "Enable NAT" muss aktiviert sein, sonst ist vom LAN aus kein Durchgriff ins WAN möglich.

Auf der zweiten Seite (Applications) kann man die eingehenden Anfragen vom WAN je nach Portnummer auf verschiedene Zielserver (im LAN!) verteilen, die entsprechenden Dienste sollten dann aber auch auf den verschiedenen Maschinen laufen:

Bildschirmfoto 2011-05-03 um 23.29.19.png

Da ich ausser HTTP nichts weiter zu verteilen habe und der HTTP Server auf dem Default-Server (192.168.0.5) läuft, ist in meinem Fall hier nichts eingetragen, aber ich könnte z.B. eingehende FTP Anfragen an die IP Adresse 192.168.0.10 weiterleiten, wenn dort ein FTP-Server läuft.

Der nächste Schritt ist dann die Firewall-Konfig.

Die OS X Server Firewall ist aus.
Gewinnt man an Sicherheit, wenn man die auch noch an schaltet?

Antwort:
Nicht wirklich. Lass sie ruhig erstmal aus bis du eine funktionierende Verbindung hast. Danach kannst du sie immer noch aufdrehen.
An dieser Stelle muss ich widersprechen (aus Security-Sicht): die Firewall auf dem MAC solltest Du schon aktivieren, aber nicht alle Dienste blockieren, sonst laufen Skype und ein paar andere Sachen nicht. Also z.B. so:

Bildschirmfoto 2011-05-03 um 23.46.08.jpg

Die im MAC OSX eingebaute Firewall regelt ja auch die Zugriffe innerhalb des LANs. Wenn Du also nicht möchtest, dass jemand von einem anderen PC in Deinem LAN auf dein iTunes zugreift, musst du das an der Stelle (Systemverwaltung --> Sicherheit) blockieren.

Danach die Firewall auf dem Router, um eingehende Anfragen an Dienste, die Du nicht haben möchtest zu blocken. Ein Port, über den sich Häcker gerne einschleichen, ist der ICMP:0 (der berühmte Ping). Für Schlauberger ist das immerhin schon ein Hinweis darauf, dass auf Deiner Webadresse ein Listener läuft und gibt ihm Anlass genug, da ein bisschen weiter zu bohren; also zu machen! Im folgenden Bildschirm habe ich noch ein paar weitere Beispiele:

Bildschirmfoto 2011-05-03 um 23.56.53.jpg

Hoffe, ich konnte ein wenig weiterhelfen, Lèo

Gruss
Gina
 
Zuletzt bearbeitet:

leo-magic

Aktives Mitglied
Thread Starter
Mitglied seit
24.12.2004
Beiträge
1.155
Danke für die ausführlichen Tipps!
Werde das ganze nochmals genau durchecken.

Gruss,
Léo
 
Oben