Securepoint Support Forum

Hallo NG,

wie wird ein Subnetz (z.B. /29) am externen Interface richtig angebunden ?
Wie werden dann die Regelsätze für die zu veröffentlichen Server gebaut, die auf bestimmte IPs des Subnetzes hören müssen ?
Hier entweder direkt per Portforwarding und/oder per Reverse-Proxy möglich ?
Habe hierzu noch kein erklärendes How to Do gefunden.....

Hallo,

als erstes legen Sie alle IPs auf die Schnittstelle (zb eth0):

x.x.x.2/29
x.x.x.3/29
x.x.x.4/29

Anschließend müssen Sie für jede externe IP ein Firewall Netzwerk Objekt unter Portfilter => Netzwerkobjekte anlegen:

Name:Firewall_IP_1
Typ: statische Schnittstelle
IP: x.x.x.1/29
Gruppe: (leerlassen)

(das für alle IP Adressen wiederholen)

Die Regel für die Portweiterleitung würde so aussehen:

Quelle: Internet
Ziel: <Zielserver>
Dienst: <Zieldoenst>
NAT: DESTNAT
NAT Objekt: <Firewall_IP_X>


Im NAT Objekt wählen Sie dann das Netzerkobjekt über welche externe IP der Server angesprochen werden soll

Gruß

Kenneth

Prima und Vielen Dank für die schnelle Antwort.
Da wir demnächst u.U. auch ein IPv6 Subnetz bekommen, stellt sich natürlich auch hier die Frage aller Fragen, How to Do :-)

Hallo,

da es bei IPv6 kein NAT mehr gibt, reicht wenn Sie eine Regel im Portfilter anlegen: (die öffentliche IPv6 Adresse liegt direkt auf dem Server)

Quelle: internet_v6
Ziel: Server_6
Dienst: https

Gruß

Kenneth

Ich habe die Schnittstellen wie oben beschrieben eingerichtet (IPv4).
Beispielweise habe ich wie oben die IP .1, .2 und .3.
Nun soll aber Beispielsweise der HTTP-Traffic (welcher über einen transparenten HTTP-Proxy geht) über die .2 "genattet" werden.
Bei Verbindungen ohne Proxy ist das recht einfach: z.B. Internal Network => Internet => https => HideNAT => Firewall_IP_2 (vorrausgesetzt kein HTTPS-Proxy/SSL-Interception).
Leider funktioniert das nicht für http Verbindungen (da der Proxy die Pakete über IP_1 rausschickt).
Wie kann ich das Problem lösen?
Vielen Dank,
Phillip

Hallo,

unter "Anwendungen => Http Proxy" können Sie eine ausgehenden IP Adresse hinterlegen.

Gruß

Kenneth

Das hatte ich versucht, was mit der Unerreichbarkeit jeder HTTP-Seite quittiert wurde.
Habe ich gerade nochmals versucht, funktioniert. Lag wohl daran, dass ich die IP mit CIDR-Schreibweise verwendet hatte bzw. sich wohl sich ein Leerzeichen vor die IP geschlichen hatte.
Vielen Dank für die schnelle Antwort.