Webinterface:Firewall:Port-Weiterleitung
Aus IPFireWiki
Eine Portweiterleitung (engl. port forwarding) erlaubt es, Verbindungen über frei wählbare Ports zu Computern innerhalb des lokalen Netzwerks weiterzuleiten. Damit lassen sich Mail- oder Webserver hinter der Firewall betreiben und von außen über die gewöhnlichen Ports erreichen. Eine Anfrage auf eine Verbindung wird also direkt an den Zielrechner im grünen, blauen oder orangen Netz weitergereicht.
Dieser Vorgang bietet einem Angreifer die Möglichkeit, die Gewalt über den Zielhost zu erlangen! Bitte nur Dienste nach außen erreichbar machen, wenn sie keine großen Sicherheitslücken aufweisen.
Der Dialog verlangt zuerst die Auswahl des Protokolls: TCP, UDP oder GRE Beim "Quell-Port" gibt man dann die Portnummer ein, die nach außen geöffnet werden soll. Der Ziel-Port dagegen ist der Port, bei dem die Anfrage auf die Ziel-IP-Adresse ankommt.
Eine zusätzliche Sicherheit bietet es, wenn man in das Feld "Quell-IP oder Netzwerk" einen begrenzten Raum an IPs eingibt, die auf diesem Port Zugriff haben und nicht gleich das gesamte Internet.
Beispiel 1
Ein Webserver soll aus dem Internet erreichbar sein. Wie es sich gehört, steht der Webserver im orangenen Netz und trägt die IP: 192.168.3.10
Der Port für einen Webservice ist 80/TCP.
Beispiel 2
Ein Dienst auf einem Server (IP=192.168.3.10) im orangenen Netz benötigt nicht nur einen Port wie im Beispiel 1, sondern einen Portbereich (z.B. 10000 bis 10100). Er soll auf allen 101 Ports des Bereichs, aus dem Internet erreichbar sein.
Anders gesagt: Am roten Interface ankommende Verbindungen (aus dem Internet), die auf einem oder mehreren Ports des o.g. Portbereichs ankommen, sollen an die IP-Adresse des Servers im orangenen Netz weitergeleitet werden.
Um nicht für jeden Port eine einzelne Regel erstellen zu müssen, ist der Portbereich in folgender Form einzutragen:
Quell-Port = 10000:10100
Der Rest (Protokoll, Ziel-IP, Quell-IP) bleibt wie bei Beispiel 1 beschrieben.
