Statisches NAT Server in der DMZ - Securepoint
Statisches NAT Server in der DMZ - Securepoint
Statisches NAT Server in der DMZ - Securepoint
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
How-to: Webserver <strong>NAT</strong><br />
Securepo<strong>in</strong>t Security System<br />
Version 2007nx
How-to: Webserver <strong>NAT</strong><br />
Version 2007nx<br />
Inhaltsverzeichnis<br />
Webserver <strong>NAT</strong> ........................................................................................................................................... 3<br />
1 Konfiguration e<strong>in</strong>er Webserver <strong>NAT</strong> .............................................................................................................. 4<br />
1.1 E<strong>in</strong>richten von Netzwerkobjekten .................................................................................................................. 4<br />
1.2 Erstellen von Firewall-Regeln........................................................................................................................ 6<br />
Seite 2
How-to: Webserver <strong>NAT</strong><br />
Version 2007nx<br />
Webserver <strong>NAT</strong><br />
Network Address Translation (<strong>NAT</strong>) wird dazu genutzt, Anfragen von e<strong>in</strong>er bestimmten IP auf e<strong>in</strong>e an<strong>der</strong>e umzuleiten o<strong>der</strong> um<br />
IP-Adressen h<strong>in</strong>ter e<strong>in</strong>er an<strong>der</strong>en IP zu verstecken.<br />
Den meisten Unternehmen steht ke<strong>in</strong> Subnetz mit externen IPs zur Verfügung. Alle Rechner s<strong>in</strong>d <strong>in</strong> e<strong>in</strong>em privaten Netzwerk<br />
und verstecken sich h<strong>in</strong>ter <strong>der</strong> IP des Routers. Steht e<strong>in</strong> <strong>Server</strong> im <strong>in</strong>ternen Netzwerk, welcher vom Internet aus erreichbar se<strong>in</strong><br />
soll, wird e<strong>in</strong> Dest<strong>in</strong>ation <strong>NAT</strong> (D<strong>NAT</strong>) benötigt. Das D<strong>NAT</strong> wird so e<strong>in</strong>gerichtet, dass Anfragen auf bestimmte Ports, die an den<br />
Router gerichtet s<strong>in</strong>d, zum <strong>in</strong>ternen <strong>Server</strong> weitergeleitet werden.<br />
Zielsetzung: E<strong>in</strong> D<strong>NAT</strong> für e<strong>in</strong>en Webserver, welcher <strong>in</strong> <strong>der</strong> <strong>DMZ</strong>1 steht, e<strong>in</strong>richten.<br />
Seite 3
How-to: Webserver <strong>NAT</strong><br />
Version 2007nx<br />
1 Konfiguration e<strong>in</strong>er Webserver <strong>NAT</strong><br />
1.1 E<strong>in</strong>richten von Netzwerkobjekten<br />
Für e<strong>in</strong> e<strong>in</strong>faches D<strong>NAT</strong> (Dest<strong>in</strong>ation Network Address Translation) muss pr<strong>in</strong>zipiell nur <strong>der</strong> entsprechende Rechner als<br />
Netzwerkobjekt mit Statischen <strong>NAT</strong> angelegt und e<strong>in</strong>e entsprechende Regel erstellt werden. In diesem Beispiel soll jedoch auch<br />
das <strong>in</strong>terne Netzwerk Zugriff auf den <strong>Server</strong> <strong>in</strong> <strong>der</strong> <strong>DMZ</strong> bekommen.<br />
Gehen Sie folgen<strong>der</strong>maßen vor:<br />
‣ <strong>NAT</strong> wird bei <strong>der</strong> Securepo<strong>in</strong>t bereits beim Anlegen e<strong>in</strong>es Netzwerkobjekts konfiguriert.<br />
Unter Firewall ->Fol<strong>der</strong> Netzwerkobjekte wird daher e<strong>in</strong> neuer Rechner angelegt.<br />
In diesem Beispiel steht dieser Rechner <strong>in</strong> <strong>der</strong> <strong>DMZ</strong>1 und hat dort die IP 172.16.0.10. Dieser Rechner wird alle<strong>in</strong>e <strong>in</strong> e<strong>in</strong>e<br />
Gruppe gestellt. Die Auswahl bei statischen <strong>NAT</strong> hängt von dem Typ <strong>der</strong> externen Anb<strong>in</strong>dung ab. Falls e<strong>in</strong>e (o<strong>der</strong> mehrere)<br />
feste IP zur Verfügung steht, kann die genaue IP für das <strong>NAT</strong>-Objekt angegeben werden. S<strong>in</strong>d mehrere externe IP-Adressen<br />
konfiguriert und es wird das entsprechende Interface anstatt e<strong>in</strong>er IP bei statischem <strong>NAT</strong> gewählt, wird die erste konfigurierte<br />
IP verwendet. Wird die feste IP über e<strong>in</strong>en DSL-Anschluss zugewiesen, kann sie nicht über die Dropdown-Liste bei „Statische<br />
<strong>NAT</strong>“ ausgewählt werden, <strong>in</strong> diesem Fall muss entwe<strong>der</strong> das entsprechende Interface angegeben, o<strong>der</strong> die IP manuell <strong>in</strong> das<br />
Feld „Statische <strong>NAT</strong>“ e<strong>in</strong>getragen werden. Bei e<strong>in</strong>er dynamischen IP empfiehlt sich die Verwendung e<strong>in</strong>es dyndns Dienstes.<br />
Dieser kann unter den DSL-E<strong>in</strong>stellungen konfiguriert werden.<br />
Abb. E<strong>in</strong>richten von Netzwerkobjekten<br />
Seite 4
How-to: Webserver <strong>NAT</strong><br />
Version 2007nx<br />
Legen Sie die folgenden Netzwerkobjekte an:<br />
‣ In <strong>der</strong> Abbildung E<strong>in</strong>richten Webserver host Netzwerkobjekt sehen Sie die feste IP.<br />
‣ In <strong>der</strong> rechten Abbildung E<strong>in</strong>richten Webserver host Netzwerkobjekt wird die Ermittlung <strong>der</strong> IP über das angegebene<br />
Interface durchgeführt.<br />
Abb. E<strong>in</strong>richten Webserver host Netzwerkobjekt<br />
Abb. E<strong>in</strong>richten Webserver host Netzwerkobjekt<br />
Legen Sie die folgenden Netzwerkobjekte an:<br />
‣ Der Zugriff vom <strong>in</strong>ternen Netzwerk auf den <strong>Server</strong> wird ohne <strong>NAT</strong> realisiert. In diesem Beispiel soll das <strong>in</strong>terne Netzwerk<br />
auf alle Rechner <strong>in</strong> <strong>der</strong> <strong>DMZ</strong>1 zugreifen können. Dafür werden zwei weitere Netzwerkobjekte benötigt:<br />
Abb. E<strong>in</strong>richten <strong>in</strong>ternes Netzwerkobjekt<br />
Abb. E<strong>in</strong>richten dmz1 Netzwerkobjekt<br />
Seite 5
How-to: Webserver <strong>NAT</strong><br />
Version 2007nx<br />
1.2 Erstellen von Firewall-Regeln<br />
Gehen Sie folgen<strong>der</strong>maßen vor:<br />
‣ Wählen Sie über Firewall den Fol<strong>der</strong> Portfilter und legen Sie zwei Firewall-Regeln an.<br />
‣ In <strong>der</strong> Rechnergruppe server01-nat bef<strong>in</strong>det sich nur das Objekt, das mit e<strong>in</strong>em <strong>NAT</strong>-E<strong>in</strong>trag versehen wurde. Um<br />
externen Rechnern (Internet) den Zugriff auf diesen <strong>Server</strong> zu ermöglichen, muss nur e<strong>in</strong>e entsprechende Regel<br />
erzeugt werden. Folgende Regel ermöglicht den Zugriff auf die Ports 80 und 443:<br />
Abb. Firewall-Regeln: externer Zugriff auf Webserver <strong>in</strong> <strong>der</strong> <strong>DMZ</strong><br />
‣ Die zweite Regel gibt dem <strong>in</strong>ternen Netz kompletten Zugriff auf die <strong>DMZ</strong>:<br />
Abb. Firewall-Regeln: <strong>in</strong>terner Zugriff auf Webserver <strong>in</strong> <strong>der</strong> <strong>DMZ</strong><br />
Seite 6
How-to: Webserver <strong>NAT</strong><br />
Version 2007nx<br />
‣ Unter Firewall im Fol<strong>der</strong> Statische <strong>NAT</strong> können alle konfigurierten D<strong>NAT</strong>s e<strong>in</strong>gesehen werden.<br />
‣ Abschließend ist nur noch e<strong>in</strong> Regelupdate erfor<strong>der</strong>lich.<br />
Abb. E<strong>in</strong>gerichtete D<strong>NAT</strong>s auf <strong>der</strong> Appliance und Regelupdate<br />
Seite 7