Zu blöd um Firewall-Regel zu erstellen

Es gibt 22 Antworten in diesem Thema, welches 10.442 mal aufgerufen wurde. Der letzte Beitrag () ist von iTweek.

    Guten Morgen zusammen,


    ich bin neu hier im Forum und habe mich erst einmal umgeschaut, ob es bereits mein Thema gab oder nicht. Ich muss gestehen, irgendwie ist das Forum unübersichtlich. Auch eine Suchfunktion habe ich nciht gefunden. Vielleicht muss ich mich nur erstmal daran gewöhnen und stolpere irgendwann durch Zufall darauf und schwupp die wupp hat sich eine neue Dimension aufgetan. Auf jeden Fall Danke das es diese Anlaufstelle und euch hier gibt.


    Mein Netzwerk-Szenario:

    Ich habe zwei Domains und beide leiten den Verkehr "zu mir nach Hause" um an die USG. Hinter der USG sollen mehrere Webseiten auf einer Synology angesprochen werden können, sowie ein paar Nextclouds als VM in einem Proxmox und ein VPN-Server.

    Zum Test habe ich eine Nextcloud aufgesetzt mit der ich Talk testen wollte. Ich Netzwerk-intern, Gesprächspartner übers Internet. Nun scheitere ich offensichtlich an der Firewall, denn ich bekomme es einfach nicht hin, dass wenn die DomainA aufgerufen wird, die Nextcloud geladen wird, damit sich der Gesprächspartner einloggen kann. Meine aktuelle IP-Adresse wird ordentlich automatisiert bei IONOS aktualisiert, daran liegt es schon Mal nicht.


    Was habe ich zu denken, wenn ich eine Regel erstelle?

    In meiner Vorstellung kommt da eine Anfrage (meine_akuelle_IP_Adresse:Portnummer80_oder443) an den WAN-Port an. Diese muss ich akzeptieren wenn es TCP-Pakete sind. Desweiteren muss ich als Destination noch die IP-Adresse der Nextcloud angeben. Hier habe ich es mit und ohne Portnummer versucht, beides gescheitert.


    Anderes Vorgehen wenn Subdomains verwendet werden?

    Ich weiß, dass ich mit Subdomains arbeiten muss. Allerdings muss ich gestehen, dass ich noch keine Vorstellung davon habe, wie da das Routing funktionieren soll. Alle Subdomains verweisen auf die gleiche IP-Adresse wo als erstes die USG lauert. Und ihr erzählt keine Anfrage, von welcher Subdomain sie kommt. Und in der Firewall habe ich auch keine Möglichkeit gesehen, dass man genau diese Subdomain als source eintragen könnte, damit man easy zur richtigen Webseite weiterleiten könnte. Was habe ich da noch zu beachten?


    Entschuldigung das es jetzt vielleicht etwas länger geworden ist, aber das sind so ziemlich alle meine Gedanken dazu und leider auch kein gelernter IT-ler. Dennoch vielen Dank im voraus.

    Freigeist

    hallo,


    also das sind ja mehrere Dinge gleichzeitig die hier zu deinem Problem führen

    - Domain Auflösung zu zieladressen

    - Portweiterleitung der usg an ein Gerät innerhalb des Netzwerkes

    - Firewall regeln, wobei die standardmäßig innerhalb des Netzwerkes erst einmal nicht geblockt werden. Aber von der WAN Seite natürlich frei sein müssen.


    Ich selber mache alles mit IPv6, dort bedarf es keinem port forwarding, sondern hier kommt die Firewall zum Einsatz.
    Falls du ip4 nutzt musst du den Port (zb 80) auf deinen Server mit Port forwarding weiterleiten.


    Was nun machen wenn man mehrere Server hat, aber nur eine öffentliche ip4?
    die Lösung lautet Reverse proxy Server, diesen richtest du einmal in deinem Netzwerk ein, sehr einfach geht dies zb mit einer Synology, aber auch andere Server natürlich.

    Was passiert nun wenn du mehrere Domain oder Subdominan hast? Du leitest alle Anfragen an deine ip weiter des Reverse Proxy Server, zb a.123.de und b.123.de –> der Reverse Proxy schaut nun, ok, kommt die Anfrage von a.123.de dann leite ich auf den internen Server zb 192.168.10.100 um, kommt die Anfrage von b.123.de dann leite ich intern auf zb 192.168.11.110 um


    ich hoffe zumindest ein paar Begriffe aufgenommen zu haben womit du weiter zum Ziel kommst, unten drunter habe ich noch was rein kopiert was mir beim einrichten der Firewall immer hilft mich zurechtzufinden, es kommt nicht von mir, aber hilft der Übersicht.


    Grüße



    UniFi Security Gateway Firewall

    Was bedeuten die Firewall Regeln genau?

    WAN ist das Internet oder externe Netzwerk

    LAN ist irgendein internes Netzwerk, ausser Gast

    GUEST internes Netzwerk, welches als Gast definiert wurde

    LOCAL Netzwerkverkehr auf die Firewall selbst


    WAN IN (WAN eingehend)

    Alles was vom Internet auf die WAN-Schnittstelle des Security Gateway kommt, ist WAN IN. Es kommt also Datenverkehr aus dem Internet zum Security Gateway. Ein Blick in die Regeln zeigt auch eventuelle Portweiterleitungen. Diese werden absichtlich und gewollt vom Internet in das private Netzwerk dahinter gelassen. Die Firewall prüft also, was kommt vom Internet auf das USG (die Firewall) und was soll damit passieren.

    WAN OUT (WAN ausgehend)

    Der Datenverkehr vom privaten Netzwerk ins Internet ist hier gemeint. Möchte ich zum Beispiel für alle Netzwerke dahinter den Port 22 für SSH blockieren, ist hier der richtige Ort. Allerdings heißt das auch, für wirklich alle Netzwerke dahinter.

    WAN LOCAL (WAN lokal)

    Hier sind keine Einstellungen nötig. Es betrifft die Services der Firewall selbst an der WAN Schnittstelle. Beispielsweise sind hier Regeln definiert, wenn ein VPN-Server auf dem USG eingerichtet wurde. Da kein weiteres Gerät im Netzwerk ein VPN-Server ist, wird es unter WAN LOCAL definiert.

    LAN OUT (LAN ausgehend)

    Einfach definiert, der Datenverkehr welcher aus den privaten Netzwerken geht. Ziel ist an der Stelle irrelevant, da es aus dem LAN gehend soll.

    LAN IN (LAN eingehend)

    Wenn Daten in die privaten Netzwerke gehen sollen, dann ist LAN IN der richtige Ort für Regeln. Übrigens ist es sinnvoll, hier die Regeln für die Netzwerke zu setzen, wenn etwas blockiert werden soll. Nutze ich nämlich LAN OUT, kann ich sehr wohl im gleichen Subnetz via SSH auf einen Rechner zugreifen, wenn ich das blockiert habe. Definiere ich die Regel hier, ist das nicht so.

    LAN LOCAL (LAN lokal)

    Der Datenverkehr der USG Firewall für die LAN-Schnittstelle, also alle lokalen privaten Netzwerke.

    Analog dem LAN ist die Aussage für das Gastnetzwerk zu verstehen.

    Gefällt mir 3

    Danke Uboot21 für deine Antwort.


    Weiterleiten in Firewall

    Wenn eine Anfrage aus dem Internet von sub1.domain.com:5000 kommt und möchte in dem Fall mit der Synology (DS918+) reden, wie kann ich der Firewall denn "sub1.domain.com" mitteilen? Oder in deinem Beispiel das " *.domain.com " zum Reverse Proxy weitergeleitet werden sollen? Ich sehe lediglich nur die Möglichkeit die Anfrage mittels der Portnummer zu unterscheiden. Also "Wenn Anfrage an WAN mit Port 5000 dann Destination synologyIP:5000"


    Synology und Reverse Proxy

    Ich habe eben auf der Synology DS918+ zum Testen und verstehen den "Proxy Server" installiert. In der App ist aber nichts zu sehen lesen von "Reverse". Reverse-Proxy ist doch nicht das Gleiche wie Proxy-Server oder?

    Hallo,


    Du hattest nicht geantwortet ob du ip4 oder ipv6 hast.

    Die firewall muss nur bei ipv6 eingerichtet werden.


    Bei IP4 erstellst du (alte Einstellungen im Controller) unter -> Routing & Firewall -> Portweiterleitung ein port forwarding.

    In deinem fall für port 5000 auf die interne IP der Synology (ich habe die gleiche), der Controller von unifi erstellt die entsprechenden Firewall regeln hierzu selber, das kannst du dann unter WAN eingehend prüfen.

    Das reverse proxy hat nichts mit dem proxy server zu tun, bei Synology etwas versteckt befindet es sich in der

    -> Systemsteuerung -> Anwendungsportal -> (zweites Register) Reverse Proxy

    Nutze die Hilfe der Synology zum einstellen


    Ach ja, ich würde generell nur port 80 und 443 weiter leiten auf die Synology. Wenn du auf die Oberfläche der Synology möchtest zu port 5000 mache lieber eine eigene subdomain (zb. Synology.domain.com) und leite diese über reverse proxy auf den localhost der Synology port 5000 um.


    Grüße

    Ach ja, ein "Profi" Tipp extra.

    Falls dein Domain Hoster bzw dein Vertrag SSL Zertifikate über Lets encrypt unterstützt würde ich diese in der Synology installieren.

    Mit dem unten stehende link werden alle anfragen über port 80 automatisch in ein verschlüsselten Aufruf auf Port 443 umgewandelt.


    Heisst, du rufst deine Seite mit http:// auf und die Synology macht automatisch ein verschlüsseltes https:// daraus und nutzt die von dir auf der Synology gespeicherten Lets Encrypt Zertifikate.


    https://blog.golimb.com/2017/07/14/synology-reverse-proxy/

    Oh, entschuldigung. Ich habe IPv4 (zum Glück. IPv6 bin ich noch kein Freund von).

    Ich habe nun alle meine Regeln und Gruppen zu denen ich genötigt wurde anzulegen wieder gelöscht. Dabei ist aufgefallen, dass er eine Regel (auf die ich keinen Zugriff habe) nicht gelöscht hat.

    Wie lösche ich die unterste ausgegraute Regel?


    Dann habe ich im Port Forwarding die Weiterleitung zur Synology eingerichtet. Probiert hatte ich es zuerst mit Port 5000 --> 5000, das klappte nicht. Dann habe ich 80 --> 5000 eingestellt weil ich dachte im Browser mit domain.com direkt zur Synology-NAS Oberfläche zu kommen. Pustekuchen.


    Und bitte wo finde ich das logging-Protokoll ?

    Ok,

    eins nach dem anderen.

    Ausgegraute kannst du nicht löschen, da sie vom system automatisch erstellt wurden.

    Das steht auch dabei, es gibt bereits ein port forwarding mit Namen nextcloud. dieses musst du löschen, es kann bei port forwarding immer nur ein port zu einer ip geleitet werden.

    Wie bereits erwähnt würde ich von ausserhalb eher nicht mit unterschiedlichen ports arbeiten, wenn du schon eine domain hast, dann erstelle einen reveres proxy mit Hilfe einer subdomain. Bleibe bei einer oder 2 Portweiterleitungen für 80/443 -> jeder sieht sonst von ausserhalb welche ports du in deinem Netzwerk wofür benutzt.

    Nicht Erreichbar:

    Ich gehe davon aus das deine öffentliche domain auf deine öffentliche IP4 verweist und das dies die WAN IP der USG ist? Falls du vor der USG noch ein Router hast (doppeltes NAT), dann musst du auch dort die Ports weiterleiten an deine USG.

    Wie testest du ob die Domain erreichbar ist? es kann sein, das dies innerhalb deine Netzwerkes nicht funktioniert, also mal im Handy WLAN ausschalten und die Seite dort über Mobilfunknetz aufrufen


    Ergänzung: Das Logging würde ich ausschalten, soll alles geloggt werden an der Schnittstelle???

    Hallo Freigeist,


    uboot21 hat schon sehr viel richtiges und wichtiges genannt.


    An deiner Stelle würde ich, zumindest für den Anfang und für einen schnellen Erfolg, auch den Reverse Proxy Server der Synology (nginx) benutzen. Synology stellt quasi für nginx hier eine anwenderfreundliche GUI bereit mit der man bereits viele Dinge erledigen kann.

    Der Reverse Proxy versteckt sich hier und nicht im Paket "Proxy Server":


    Praktisch ist auch das automatische beziehen eines Lets Encrypt Zertifikats über die Systemsteuerung.

    Über "Konfigurieren" kannst du dann dem Zertifikat deinem Reverse-Proxy-Eintrag zuweisen. Solange auf die Synology eine Portweiterleitung Port 80 u. 443 existiert wird das Zertifikat automatisch erneuert.


    Bitte möglichst https verwenden und nicht http für den Zugriff von extern!


    In dem Link, den uboot21 dir geschickt hat, steht auch schon alles detailliert beschrieben auch wenn es etwas älter ist. :smiling_face: "Neu" ist z.B. die Registerkarte "Benutzerdefinierter Header". Vorgefertigt lassen sich z.B. die Header für WebSocket setzen. Notwendig um z.B. seinen Ubiquiti Unifi Controller über den Reverse Proxy direkt erreichbar zu machen. Ob dein NextCloud-Vorhaben darüber abzuwickeln ist weiß ich allerdings nicht.


    Viel Erfolg!

    Ja, für eines nach dem Anderen wäre ich auch. Aber das hatte bisher ja auch noch nicht klappen wollen, deswegen sind so viele Fehlermöglichkeiten im Kopf.


    Also prinzipiell bin ich auch dagegen Ports nach außen auf zu machen. Daher begrüße ich den Reverse Proxy ausdrücklich. Ich dachte so etwas geht nicht, weil ich das Erkennen der Subdomain durch den "Profi-" Router (USG) nicht gefunden hatte. In meiner Vorstellung würde ich beim Port Forwarding die Subdomain eintragen und den Server als Ziel. Aber naja, is ja für Profis und nicht für Leihen wie mich gedacht.


    Warum beim letzten Konfigurierversuch die eine Regel nicht rausgelöscht wurde, obwohl alle anderen Regeln gelöscht waren, ist jetzt auch geklärt. Wenn alle Regeln gelöscht sind, muss man erst die Webseite neu laden damit unter Firewall --> Firewall --> IPv4 --> WAN in auch die ominöse Regel weg ist. Also JETZT sind gerade KEINE Regeln angelegt und es sieht "sauber" aus.


    Ich habe kein doppeltes NAT. Die USG ist mit einem Netzwerkkabel mit dem Glasfasermodem der Telekom verbunden und wählt sich mit Zugangsdaten ins Internet ein. Aktuell ist zwar noch eine Fritzbox als Client im Netz, dient aber nur als WLAN-Zugang für Smartphones oder Notebooks die kurzzeitig nichts mit Kabel verbunden sind. Spielt also keine Rolle. Und ja, ich habe keine statische IP-Adresse sondern eine VM, die ständig die aktuelle öffentliche IP-Adresse bei meinen Domains aktualisiert. Wer den Fachbegriff braucht: DNS-Record. Ich gehe also davon aus, dass wer die (Sub-)Domains aufruft auch zum WAN in der USG kommt.


    Die WLAN-MobileDaten-Problematik ist mir bekannt und beachte ich auch. Ich nutze dann tatsächlich das Smartphone und die Chrome-Browser-App oder alternativ den Firefox. Sollte mein Instinkt misstrauisch werden, dann steht auch Brave und Opera zum testen bereit. Ansonsten nutze ich auch Mal online nmap wie den hier: https://www.itexperst.at/online-portscanner-nmap Also immer schon von außen gucken was geht, ist mir klar.


    Das Logging würde ich solange machen wollen, bis ich mir sicher bin das alles so läuft, wie ich das haben will. Ein Log würde mir helfen Fehler zu suchen, bin ja schließlich kein Profi. Daher würde ich mir die Logs gerne anschauen. Wo finde ich die?

    Ohne Proxy


    Klinke ich mich ein


    DDNS selfhost.de

    den ionos ist somit Drittanbieter 1&1

    Webhosting


    Nextcloud auf Synology noch nicht gesichtet ¿¿¿ Own own own ....


    Also ist hier in usg Portweiterleitung ja schon Mal was kosha ....


    Synology webstation


    25, 443, 80 als Standard usg Portfreigabe


    Firewall regeln werden automatisch angelegt bei Port Freigabe ....


    Chinesische kopier Mentalität ?¿?

    Synology kennen oder nicht kennen - melde dichmal an IP-Adresse:5009 oder IP-Adresse:5010 an .....


    >>>> NeXtClouD <<<<


    oder doch lieber von Wordpress die Mediathek auf die Synology NAS per supdomaine via PHP Änderung ablegen , wenn Wordpress von extern hoster kommt und man Bilder im Cloud Computing auf seine NAS verlegt !!!


    Sub Domaine Synology webstation


    Reverse Proxy ist alternativ dann auch ein Weg !!!



    PS: #ohneWorte

    Sicherheit sollte auch Ihnen am Herzen liegen ...



    Gesagt Getan ...

    7 Mal editiert, zuletzt von PeGaSuS () aus folgendem Grund: Tippfehler

    Zitat von JS86

    Über "Konfigurieren" kannst du dann dem Zertifikat deinem Reverse-Proxy-Eintrag zuweisen.

    Ich habe vom Domainanbieter ein Zertifikat erhalten welches ich in die Synology geladen habe. Von daher verzichte ich an dieser Stelle auf Lets Encrypt.


    Wegen dem Reverse-Proxy hätte ich noch eine Anmerkung. Nicht für euch, aber für eventuell ein anderer unbedarfter Leser der auch nach Orientierung sucht. Unter Konfigurieren taucht der (Sub-)Domaineintrag des Reverse-Proxy nur auf, wenn man Port 443 ausgewählt hat aber nicht bei Port 80. Logisch, wenn man entspannt darüber nachdenkt und richtig schlussfolgert.

    Zitat von JS86

    Bitte möglichst https verwenden und nicht http für den Zugriff von extern!

    Ich habe jetzt zwei portforwardings eingestellt. Einen für Port 80 und einen für 443. Beide zeigen zur Synology bzw. proxy-Server.

    Und siehe da, es wird wieder automatisch zuerst gedropt, dann kommen die Weiterleitungen. Was mache ich da falsch?

    Alles richtig

    Deine Ports 443 / 80 werden durchgeschliefen


    der drop steht für Alles andere ... Türen zu !!!


    übrigens, benötigst du an 443 UDP ¿¿¿



    Spezial PS:

    Sicherheit sollte ihnen am Herzen liegen...



    DROPZONE :

    Probier doch Mal vom Smartphone die Domaine aus, mobil ...

    dann kommste evtl. zu einem Ergebnis, vielleicht sogar zu einem alert


    In Kundenzufriedenheit:

    Eisfair (PC, Raspberry), Qnap, Buffalo, Synology Installation 100% gewerblicher Natur !

    Gesagt Getan ...

    5 Mal editiert, zuletzt von PeGaSuS () aus folgendem Grund: Handy Daumen tipperei im fehler

    Hallo Freigeist,

    das sieht doch schon mal gut aus was du alles gemacht hast.

    Eigentlich alles richtig, bei mir funktioniert es so. Ich gehe davon aus das deine Synology nicht auch noch eine Firewall aktiviert hat?

    Kannst du die Adresse oder IP von ausserhalb anpingen?


    Der logfile Speicherort werden hier beschrieben:

    https://help.ui.com/hc/en-us/a…iFi-How-to-View-Log-Files


    Ich selber nutze die Synology als Protokollspeicher -> Das Modul heisst Protokollcenter und es muss der Empfang der Protokolle aktiviert werden. Im Controller stellst du den syslog server ein das die logs zur Synology hin gespeichert werden.


    Bei den Firewall Regeln kannst du übrigens links die Reihenfolge verändern, mit der Maus auf das Kreuz und verschieben (ich weiss nicht ob du damit jetzt ein Problem hattest?)

    Grüße


    Edit: Ein Nachtrag, zur Kontrolle, im Controller bei Geräte -> USG wird dir die WAN IP, also deine nach aussen sichtbare IP angegeben. Vergleiche diese mal mit der IP in deiner Domain. Nicht das dein DYNDNS die falsche IP drin stehen hat.

    Einmal editiert, zuletzt von uboot21 ()

    Danke PeGaSuS das auch Du dich mit einbringen möchtest.

    Bezüglich den Firewall-Regeln, die wurden alle automatisch erzeugt, die sind nicht auf meinen Mist gewachsen. Das gedropt wird ist ja soweit in Ordnung. Solange die Ports freigemacht werden, die ich öffnen möchte (also 80 und 443) oben drüber stehen und somit vorrang zu drop haben, ist ja alles gut. Aber, wie wir sehen, wird die Regel unter dem drop erzeugt. uboot21 , da die Regeln nicht von mir sind und ausgegraut, kann ich die auch nicht mit dem Kreuz verschieben. Auch bearbeiten und löschen ist für mich verboten.


    PeGaSuS , beide Portweiterleitungsregeln (80, 443) sind als both (tcp und udp) eingerichtet, weil ich einfach nicht weiss, was da tatsächlich die einzelnen Dienste für Protokoll verwenden werden. Deine Absätze mit DROPZONE und Kundenzufriedenheit habe ich noch nicht verstanden. Tut mir Leid.


    uboot21 , danke für den Link bezüglich den Speicherorten. Leider tauchen in /var/log/messages keine Firewall-Einträge auf, wenn ich mit dem Smartphone über das mobile Internet auf meine Domain.de:80 zugreife. Nach kurzer Zeit erhalte ich ein Time-Out.

    Die IP-Adresse wird im übrigen regelmäßig bei meinem Domainanbieter aktualisiert. Wie bereits gesagt, an der Stelle liegt das Problem nicht. Ich sehe es nach wie vor in der Reihenfolge der Firewall-Regeln. Für mein Verständnis wird erst gedropt und die gewollte Weiterleitung ignoriert.

    hallo Freigeist,

    Nur zur Info:
    das deine ip beim domainanbieter aktualisiert wird nennt man Dyndns, Dein DNS Eintrag wird also dynamisch erzeugt durch ein externes Programm innerhalb deines Anschlusses der dem Anbieter in regelmäßigen Abständen ein Update schickt.

    Wenn du aber sicher bist das die ip korrekt aktualisiert wird und du die ip anpingen kannst, dann ist alles gut.

    Zur Firewall.

    Alle Einträge die du manuell erstellst mit dem Hinweis vor den automatisch generierten bekommen ein 2 vorne weg. Die automatischen bekommen eine 3 und wenn du sie beim manuellen erstellen mit ‚nach den vorkonfigurierten‘ markierst bekommen sie eine 4.

    Du kannst keine mit 4 am Anfang über eine mit einer 3 am Anfang schieben, so viel zur Theorie

    Da du alle mit einer 3 am Anfang hast, sollten diese also auch ausgegraut sein, also,nicht änderbar da automatisch erstellt, du wirst sie auch nicht verschieben können.

    Was heißen die 2 vorkonfigurierten?
    allow astablished Session = einmal bereits hergestellte Verbindungen werden nicht mehr abgewiesen, also Zustand hergestellt und zugehörig bei Zustand aktiviert

    Drop invalid State = verwerfe alle Anfragen mit ungültigem Zustand


    An der Stelle ist die Firewall also vollkommen korrekt eingestellt und muss nicht weiter konfiguriert werden, die automatisch erstellte Regel für Portweiterleitung ist hier ausreichend.


    Die Firewall in der usg schließe ich somit als Fehler aus.

    Fehler Möglichkeit die ich sehe

    1:

    Du hast weitere manuelle Firewall regeln erstellt, zum Beispiel bei wan lokal, lan lokal oder lan out. Insbesondere von einem VLAN in ein anderes kann das unübersichtlich werden

    2:

    du hast noch eine zusätzliche Firewall in der Synology aktiviert (meine Frage im letztem Post)

    3:

    deine domain zeigt doch nicht auf deine öffentlich wan ip der usg


    Wenn diese Sachen ausgeschlossen wurden kann ich mir nur das vorstellen (dazu fehlen aber Informationen)

    A) dein Domain Anbieter hat zusätzliche Firewall regeln für die Weiterleitung, das ist aber eher üblich bei dedicated oder Root Servern oder virtuellen Servern

    B) du hast einen ds-lite Internet Anschluss, in dem Fall bekommst du zwar von deinem Internet Anbieter eine ip4, aber die ist nicht öffentlich zugänglich, sondern nur innerhalb des Netzes deines Internet Anbieter gültig. Das ist übrigens bei Glasfaser anschlüssen Gang und gebe.

    In dem Fall müsstest du, wie bei mir, auf IPv6 Umleitung umsteigen

    Einmal editiert, zuletzt von uboot21 ()

    ein Nachtrag nochmal der dir zeigen soll, das du bei der Firewall auf dem Holzweg bist. Auch zur Veranschaulichung wie man Firewall regeln verstehen muss.


    Alle Port Anfragen aus dem Internet werden bei dir NICHT gefiltert!

    Sie landen halt lediglich auf deiner USG und werden auch nicht entsprechend weiter geleitet.

    So sieht zb meine ip4 wan eingehend regeln aus



    ich erlaube oben den Zugang auf meine Telefonzentrale. Aber nur die Ports und ip die SIP benötigt, diese kannst du ignorieren, ohne Port Weiterleitung ist sie nicht wirksam, sie wird nicht benötigt bei mir.

    Unten blocke ich sämtliche Anfragen aller Ports für ip4, also hier blockt der Controller alles ab. Nichts kommt von außen in mein Netz bzw auf meinen Router herein.
    Da ich IPv6 benutze sehen dort die regeln natürlich etwas anders aus, hier empfiehlt sich auch zwingend alles zu blocken


    Grüße

    Ich freue mich, dass jetzt Regeln existieren, mit denen das Routing von der Domain bis zur richtigen Maschine im Netzwerk richtig funktioniert.


    Kurzanleitung

    Sub-/ Domain

    - Beim Domainanbieter Domains oder/oder Subdomains anlegen.

    - Ist das Ziel "Zuhause" hinter einer einem Router mit dynamischer öffentlichen IP, dann den A-Record einschalten und ...

    - ...die IP Adresse von "Zuhause" aus, beim Domainanbieter, mittels automatismus regelmäßig updaten lassen. Entweder Domainanbieter fragen (IONOS hat eine Anleitung für eine Ubuntu-VM) oder vielleicht eine Hardware nutzen wie eine Fritzbox oder ähnliches.


    Mehrere Sub-/Domains und unterschiedliche Maschinen mit verschiedenen IP's

    - Reverse Proxy im eigenen Netzwerk verwenden. In meinem Beispiel stellt ein Synology NAS ein paar Webseiten bereit und bringt von Haus aus einen Proxy-Server mit.


    USG-Firewall-Regeln

    Da ich weiss, dass nur Webseiten aus dem Internet abgefragt werden sollen, spielen die Port 80 und 443 die Hauptrolle. Daher, ungeachtet welche Subdomain aus dem Internet kommend nach der Webseite im Netzwerk fragt, werden alle 80/443 - Anfragen an den Reverse Proxy weiter geleitet. Weil ich mit der neuen Ansicht noch nicht klar komme, beschreibe ich hier das alte Menü: Setting --> Routing & Firewall

    Unter Firewall --> IPv4

    Keine Einträge. Alle hier stehenden Einträge werden vom Controller erzeugt.


    Unter Port Forwarding


    Reverse Proxy

    Beispiel Domain-Anfragen immer verschlüsselt benutzen.


    Subdomain


    Wenn man die Webseite nun aufrufen möchte, gibt es noch verschiedene Dinge zu beachten.

    - Zertifikat an allen notwendigen Stellen hochgeladen und verknüpft?

    (Bsp.: Synology, Systemsteuerung --> Sicherheit --> Zertifikat, Sub-/Domain mit Zertifikat verknüpfen)


    - Im Browser kann die Webseite intern mit der IP-Adresse angesprochen werden oder mit der Domain-Adresse. Diese Angaben werden in den entsprechenden Trusted-Domain Konfigurationsdateien eingetragen.


    - Wenn eine Nextcloud im Internet erreichbar sein soll, kann es sein das die unter Linux in /var/www/html/nextcloud abliegt. Der Webserver sucht die Webseite voreingestellt jedoch standardmäßig unter /var/www/html/ Das bedeutet, die Nextcloud wird im Browser als http(s)://IP-oder-domain/nextcloud/index.php angezeigt wird. Um http(s)://IP-oder-domain/index.php zu bekommen, muss man den Verzeichnispfad in der Konfigurationsdatei anpassen.

    Einmal editiert, zuletzt von Freigeist ()

    Gefällt mir 1

    Der Port 443 ist ein maßgeblicher Port für die UDM Pro!

    Hallo Freigeist,


    sehr gut gemacht.

    Ein kleiner Hinweis noch zum Reverse Proxy als Tipp.

    Du musst nicht unbedingt Port 80 domain auf Port 80 intern umleiten und dann Port 443 domain auf Port 443 intern, du kannst auch immer domain Port 80 und Port 443 auf intern 80 umleiten. Nach aussen (also im Browser des Besuchers) bleibt immer das Https sichtbar, auch wenn intern ein anderer Port angesprochen wird. Dadurch brauchst du das Zertifikat auch nur auf der Synology installieren.

    Empfehlenswert ist nur der Link von mir oben, dieser wandelt ein Aufruf auf Port 80 innerhalb der Synology immer auf Port 443 um.

    Dadurch kannst du von aussen aufrufen was du möchtest, die Synology wandelt es immer in eine gesicherte Verbindung um. Die Verbindung von der Synology zum eigenen Server muss nicht mehr verschlüsselt sein, da ein aussenstehender die Verbindung nie zu sehen bekommt.

    Grüße