Masquerading IP Umleitung

Hinweis: In dem Thema Masquerading IP Umleitung gibt es 16 Antworten auf 2 Seiten. Der letzte Beitrag () befindet sich auf der letzten Seite.

    Hallo,


    ich würde gerne mein OpenSuSE Server als Firewall benutzen. Der Server hat 2 Netzwerkanschlüsse, ein das Internet und eine für das Interne Netzwerk.


    Ich habe Masquerading aktiviert damit alle meine Rechner darüber ins Internet kommen. Ich will aber nicht nur das meine Rechner ins Internet kommen, sondern auch das ich Ports Rechnern im internen Netz von außen erreichen kann.
    Dafür habe ich Masquerading IP Umleitung aktiviert, was aber überhaupt nicht funktioniert.


    Ich habe ein Screenshot von der Konfiguration gemacht.


    Ich hoffe Ihr könnt mir helfen :)

    Und was heißt "funktioniert überhaupt nicht"?


    Kommen die nicht in das Netz, oder doch?
    Wie sieht es auf der zweiten Seite aus? Sind sie von dort aus zu erreichen?


    Welche Topologie liegt da vor? Ist da irgendwo ein Router?
    Wie sieht es dort aus?

    Mit "funktioniert überhaupt nicht" meine ich, dass ich den Port 80 nicht von der WAN Seite erreichen kann.


    Von meinem Internen Netzwerk erreiche ich 192.168.2.85:80


    Der OpenSuSE Rechner hängt direkt am Internet, die IP von enp2s8 ist meine WAN IP.


    NAT funktioniert ohne Probleme, alle meine Rechner kommen über dein OpenSuSE Rechner als Standard Gateway ins Internet, nur die Port Weiterleitung klappt nicht.

    Zitat

    Mit "funktioniert überhaupt nicht" meine ich, dass ich den Port 80 nicht von der WAN Seite erreichen kann.

    Da sind wir doch froh und belassen es besser dabei: Brauchen wir wirklich noch mehr kompromittierte Server und Spam?


    Fehler 1: Firewall auf Desktop-PC
    Fehler 2. Firewall/Router/NAT mit komplettem KDE-Desktop Environment, breitem Angriffsvektor (Oder was sagt uns die untere Leiste???)
    Fehler 3: keine Fähigkeit, Logs der Firewall zu lesen ode zu posten
    Fehler 4: keine Fähigkeit, angemessene Prüfungsszenarien zu entwickeln und Vorprüfunegen posten (Das da oben Gepostete is ja wohl nichts.)
    Schlussfolgerung: Der TE besitzt (noch) nicht die Fähigkeiten, einen öffentlich erreichbaren Server sowie eine dazu nötige Firewall und einen Router zu betreiben - oder entsprechende Konzepte zu entwickeln. An der Entwicklung dieser Fähigkeiten ist vor dem o. g. Ansinnen zu arbeiten.


    Dein Stichwort heißt DMZ (Demilitarisierte Zone). Bei entsprechendem Router/FW geht das auch mit einem Gerät.


    INET/WAN
    |
    Router/FW
    |
    DMZ---Server
    |
    Router/FW
    |
    LAN


    Einen einfachen Zugriff per VPN/SSH auf ein Gerät im LAN kann man mit NAT/Portweiterleitung tun. Allerdings nicht, wie beabsichtigt!


    Manchmal ist kein Support der beste Support - vor allem, wenn durch absehbare Kompromittierung (einschließlich Spam) alle darunter leiden müssen. Auch der TE.

    4 Mal editiert, zuletzt von Jana ()

    Für den Inhalt des Beitrages 96063 haftet ausdrücklich der jeweilige Autor: Jana

    Fehler 1: Ja aber nur zu Testzwecken.
    Fehler 2: Vorerst noch ja zum Testen. Wenn ich es wirklich in Betrieb nehme, dann werde ich das ohne GUI installieren.
    Fehler 3: Ja das stimmt. Ich Verwende bei der Arbeit und Privat fast hauptsächlich Windows Server und kenne mich noch nicht so gut mit Linux aus.
    Fehler 4: Ich habe alles so wie im Bild konfiguriert, der nmap Befehl zeigt nicht den gewünschten Port an und ich kann mich auch nicht auf dem Port verbinden.


    Ich würde es gerne so haben:


    INET/WAN (Externe Zone)
    |
    Router/FW (Linux Server) (IP Extern Bsp.: 66.66.66.11, IP Intern Bsp.: 192.168.2.1(/24))
    |
    LAN (Interne Zone)


    Ich würde mich gerne auf die IP 66.66.66.11:80 von Extern verbinden und dann über den Linux Server auf den Internen Server mit der IP 192.168.2.85:80 weitergeleitet werden. Also Portforwarding wie es jede FritzBox,... auch kann.


    Ein Grund warum ich das so machen will ist, dass ich nur bestimmten externen Adressen Zugriff auf die Ports erlauben will, was bei dem standard Kabelmodem nicht einrichten kann.

    Und hier jugendfrei übersetzte Kritik von Jana:


    Werter Threadersteller!


    Es mag Ihnen fremd erscheinen, doch ist es eine Tatsache, dass die Aussage "geht nicht" nicht weiterhilft. Auch ein darauf folgendes "geht wirklich nicht" ändert daran nichts.
    In Supportforen gelten tatsächlich noch so altmodische Regeln, dass auf Fragen Antworten erwartet werden.


    Sie schreiben, "es würde überhaupt nicht" funktionieren. Da stellt sich uns die Frage, wie Sie "funktioniert nicht" und "funktioniert überhaupt nicht" unterscheiden können.
    Wie haben Sie das festgestellt? Welche Logs, halten zu Ihren (und welchen) Versuchen welche Meldungen bereit?
    Schon hier lauern böse Fallen für den Digitalneuländern. "Das ist viel zu viel. Das liest doch kein Mensch" antwortete mal einer. Nun, wir sind es gewohnt sehr viel zu lesen und wir lesen sehr schnell. Tatsächlich verstehen wir das sogar. Also lieber den kompletten Logauszug hier anhängen, als nur das zu posten, von dem Sie gerade glauben, es hätte mit der Sache zu tun. Wir sind hier nicht beim Lotto, wir brauchen Fakten, Fakten, Fakten!!!


    Sie schreiben weiterhin, dass von Ihren zwei Netzwerkkarten "ein das Internet" bedienen würde, die andere das interne Netz. Und auf die Frage, welche Topologie denn vorliege, meinen Sie, dass die "WAN-Karte" direkt am Internet hinge.
    Die bislang bekannten Tatsachen widerlegen das deutlich.
    Da es sich bei Ihrer "WAN-Netzkarte" um eine Ethernetkarte handelt, hieße das, dass Sie mittels CatX Kabel (X==[3-8][a-e]*) bis zu Ihrem Provider Kabel Deutschland gehen. Sie hätten dann alle paar hundert Meter mindestens einen Repeater aufzustellen. Das ist irrealis.
    Kabel Deutschland schickt Ihnen meist ein Kästchen. Darin werkelt ein MiniLinux und kümmert sich (nicht nur) um Ihre Anbindung. Das nennen wir meist salopp "Kabelrouter".
    Über dieses Kästchen hüllen Sie sich in Schweigen und uns in Unkenntnis.
    Die Frage nach der Topologie war nicht umsonst.


    Sie stellt sich erneut, wenn Sie von "außen" reden. Hängen denn mehrere Rechner "!außen"? Meint "außen" auf der WAN- Seite, oder im richtigen richtig bösen Internetz?
    Das macht einen fundamentalen Unterschied.


    Von ganz außen gesehen, also vom richtigen Internetz aus, kommt zuerst dieses Kästchen. Dort läuft i.d.R. schon eine Firewall. Danach kommt Ihr "WAN-Netz" und hat ebenfalls eine Firewall. Beide müssen in diesem Falle Anfragen von außen weiterleiten.


    Damit man das fein genug regeln kann, gibt es bei der Firewall die Begriffe "interne Zone", die nur für lokale Rechner erreichbar ist, also weitestgehend auf irgendwelche Filterung verzichtet, dann die DMZ ( DeMilitarizedZone), in der üblicherweise Server arbeiten, die nach außen erreichbar sein sollen, aber auch von innen bedient werden und zu guter Letzt gibt es noch die "externe Zone". Die steht jetzt endgültig mit dem bösen Netz draußen in Verbindung.
    Das kann jede Firewall.
    Nicht ein Wort von Ihnen, wie sie das konfiguriert haben.


    Blöderweise gilt das für jeden Rechner, der eine Firewall hat.
    Das ist, als hätte man ein mittelalterliches Städtchen mit einer Stadtmauer samt Wassergraben. Weil die Bürger natürlich auch sehr sicher leben wollen, graben sie um ihre Häuschen innerhalb der Stadt auch Wassergräben und bauen ihre Mauern besonder dick.
    Paranoia und Unwissenheit bestimmte in allen Kulturzeitaltern die tumbe Masse.
    Leicht einsehbar, dass die Bürger schlicht verhungern, weil nicht einmal eine Kartoffel geliefert werden kann, wenn nicht an allen Ecken und Enden geschultes Wachpersonal die Pakete prüft und benötigte auch durchlässt. Frisch wird die Kartoffel bei dem üblichen Billigpersonal wohl kaum die Tafel erreichen.


    Es sind also wirklich sehr viel mehr Informationen nötig, um überhaupt vernünftig Rat geben zu können.


    In Erwartung Ihrer aussagekräftiger faktengespickter Antwort verbleibe ich mit dem Hinweis,
    dass journalctl zum Lesen von Logfiles ganz dienlich ist.


    p.s.: Die IP eines Rechners, der von außen erreichbar sein soll, zu verstecken, ist ebenso sinnvoll, wie ein Schild mit der Aufschrift: "Hier steht kein Schild" aufzustellen.

    @ Sebastian:
    Na, wenn das sooo ist ....
    Erst mal bist du sympathisch, weil du Fehler zugibst, eigene Grenzen erkennst und nicht beratungsresistent bist. ich nehme alles zurück (was eigentlich) und behaupte das Gegenteil.


    Zu reinen Testzwecken kann man es vielleicht mal kurz so probieren, wie du es vorhast. Mit einer Minimalinstallation verlierst du den PC für andere Zwecke. Der braucht auch Strom und der kostet ... .


    Um Arbeit zu sparen, würde ich es anders angehen. Du hast das Glück mit Kabelmodem, also kein Providerrouter, der schon NAT (natürlich ohne Portforwarding) macht. Da hängst du einen eigenen Router dahinter, der DMZ kann. Da du keinen DSL-Anschluss hast, sondern Modem, nimmst einen billigen Router von TPLink (z. B. Archer C7) und flashst den mit OpenWRT oder DDWRT. Damit kannst Du alles korrekt einrichten. DMZ, Firewall, NAT mit Portforwarding. Wenn Du mehr Geld ausgeben kannst oder willst, nimm einen Netgear R7000 und flashe den. Beide genannten Router in unterschiedlichen Preisklassen lassen sich gut flashen. Den C7 nehmen die Freifunker gern. Du kannst auch einen Linksys WRT54 nehmen, billig aber alt, nur Fast Ethernet. Als Gateway reicht es. Immer auf flashbare Hardware-Versionen achten.


    Wenn Du wirklich mit Suse testen willst, sollen dir andere helfen, FW und Routing geht zwar, aber das habe ich mit Susi noch nie gemacht. Du hast mit Susi auch das Problem der kurzen Supportzeiträume, da solltest du besser Ubuntu-Server oder debian oder CentOS als Minimalinstallation nutzen. Also etwas rausgeschmissene Zeit, was du hier probieren willst. Musst du selbst wissen.


    Noch ein Vorschlag: APU Board von PCEngines mit debian oder openwrt. PC Engines APU Boards und Zubehör


    Na, google mal nach openwrt und ddwrt supported devices und äußere dich noch mal.


    Edit: Berichtigung war schneller.

    4 Mal editiert, zuletzt von Jana ()

    Für den Inhalt des Beitrages 96069 haftet ausdrücklich der jeweilige Autor: Jana

    Danke für die Antworten!


    Passende Router für DDWRT habe ich bereits.


    Ich würde aber gerne einen richtigen Linux Server benutzen, um auch andere Server Dienste darauf laufen zu lassen. (Ja, ich weiß ich könnte auch die Port für die Dienste in meinem Router Forwarden)


    Ein weiterer Grund für einen Linux Server ist, dass ich noch ein Apache drauf lassen will und mir da eine Loginseite (nicht als Index) erstellen will. z.B. beispiel.de/geheimerlogin22
    Wenn ich dann Außerhalb meines Netzwerkes bin z.B. in einem Hotel, würde ich mich dann über diese geheime Loginseite einloggen können und die aktuelle WAN IP des Hotels in der Firewall whitelisten.
    Um dann im Endeffekt auf meine Windows Server per RDP, Nextcloud,... zuzugreifen zu können.


    Mein Windows Server den ich aktuell über ein Portforwarding über meinen Archer C5 erreichen kann, hat im Eventlog täglich 100 - 1000 Anmeldeversuche per RDP. Durch eine Whitelist könnte man die Pakete von Verbindungsversuchen von unbekannter Quelle einfach "Droppen".


    Bevor die Frage kommt, warum ich nicht VPN benutze. Ganz einfach meine Berufsschule blockiert jeglichen VPN Verkehr :D


    Eine sichere Loginseite (https) kriege ich hin, das sollte kein Problem sein. Ich krieg nur Port Forwarding nicht konfiguriert.

    Was hat die Berufsschule mit dem Hotel zu tun?


    Wo stehen diese Windowsserver, und wenn ja wieviele, die jeweils welche Services anbieten?


    Warum hirnkranke Konstrukte, wie Anmeldung auf einem Webserver, um von dort in die Netzkonfig des Hosts einzugreifen?
    Wir nehmen schlicht SSH und gut ist's.


    Ich wiederhole meine Frage, und füge ein paar hinzu:


    Wo steht welcher Server, mit welchem OS und welche Dienste sollen diese Server anbieten?
    Was hat die Berufsschuld damit zu tun? Beschreibe alle Szenarien, wenn die involviert ist, und nenne genau welche Dienste damit möglich sein sollen.
    Vom Hotel aus, willst du dein Heimnetz unter Kontrolle haben, richtig?