Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
Benutzeravatar
isential gmbh
Themen-Autor
Beiträge: 127
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Reverse-Proxy meldet "Access Denied"

Fr 22.05.2020, 19:53

Hallo!

Bisher sind wir ohne den Reverse-Proxy ausgekommen. Nun aber würden wir gerne einen lokal bei uns gehosteten Dienst aus dem Internet verfügbar machen, wozu wir den Reverse-Proxy nutzen wollen.

Als erstes wollten wir die Grundlagen erforschen und haben dazu eine kleine Testumgebung aufgebaut. Diese sollte zunächst einen http-Dienst bereitstellen (kein https, keine Zertifikate usw.), um die grundlegende Einrichtung zu testen bzw. zu verstehen. Später soll alles ausschließlich über https laufen.

Leider gelingt uns aber nicht einmal diese an sich einfache Testumgebung. Hier die Eckdaten:

  • Der Server hat die IP-Adresse 192.168.0.206. Dazu haben wir folgendes Netzwerkobjekt angelegt:

    Name: webserver-206
    Zone: internal
    Adresse: 192.168.0.206

  • Als nächstes folgende Portregel:

    ACCEPT
    Quelle: internet
    Ziel: external-interface
    Dienst: http

  • In der Reverse-Proxy-Konfiguration folgende Einstellungen vorgenommen:

    Servergruppe
    Netzwerkobjekt: webserver-206
    IP-Adresse: 192.168.0.206/32
    Port: 80
    SSL benutzen: Nein

    ACL-Set
    Name: acl-webserver-206
    Typ: dstdomain
    Argument: test.domain.tld
    test.domain.tld ist in der DNS-Verwaltung unseres Internetservers als A-Record angelegt und zeigt auf unsere feste IP-Adresse unserer Firma.

    Sites
    Domainname: test.domain.tld
    Servergruppe: server-webserver-206
    ACL: acl-webserver-206, allow, aktiviert

    Einstellungen
    Modus: HTTP
    Proxy-Port: 80
    SSL-Proxy-Port: 443
    keine Zertifikate

Wenn ich nun die Adresse test.domain.tld im Browser eingebe, bekomme ich folgende Meldung von der Firewall:


    ERROR
    The requested URL could not be retrieved
    The following error was encountered while trying to retrieve the URL: http://test.domain.tld/

        Access Denied.

    Access control configuration prevents your request from being allowed at this time. Please contact your service provider if you feel this is incorrect.
    Your cache administrator is webmaster.



Und wenn ich auf "webmaster" klicke, erhalte ich folgende Info in Form einer vorbereiteten E-Mail:


CacheHost: fw01.domain.local
ErrPage: ERR_ACCESS_DENIED
Err: [none]
TimeStamp: Fri, 22 May 2020 16:59:10 GMT
ClientIP: 93.203.217.209
HTTP Request:
GET / HTTP/1.1
Connection: keep-alive
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36 Edg/81.0.416.77
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: de,de-DE;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Host: test.domail.tld

Ich habe mir das Webinar darüber angeschaut sowie das Wiki und kann den Fehler immer noch nicht ausfindig machen. Was mache ich überhaupt falsch hier?

Ich freue mich auf jede Hilfe.

LG

René
 
kennethj
Beiträge: 297
Registriert: Di 25.04.2017, 10:17

Re: Reverse-Proxy meldet "Access Denied"

Mo 25.05.2020, 08:09

Hallo René,

von wo testet ihr den Aufruf der Webseite - von extern oder von intern?
Wenn es von intern versucht wird, könnte es sein das der HTTP Proxy dazwischen greift.

Gruß

Kenneth
 
Benutzeravatar
isential gmbh
Themen-Autor
Beiträge: 127
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Re: Reverse-Proxy meldet "Access Denied"

Mo 25.05.2020, 09:06

Sowohl als auch – beide Male erhalte ich dieselbe Meldung von der Firewall. Ich finde darüber hinaus keine Logeinträge, die mir hierbei weiterhelfen. Werden Zugriffe von draußen nicht oder anders protokolliert?

Schönen Dank!

René
 
Benutzeravatar
isential gmbh
Themen-Autor
Beiträge: 127
Registriert: Di 05.05.2015, 22:17
Kontaktdaten:

Re: Reverse-Proxy meldet "Access Denied"

Mo 25.05.2020, 14:14

Nun konnte der Support den Fehler beheben: Es lag ein Fehler in der internen UTM-Datenbank vor, wodurch die ACLs nicht eingetragen wurden, obwohl diese im Backend richtig angezeigt wurden. Keine Chance für "Nicht-Wurzeluser"!

Als u. a. Datenbankprogrammierer fragt man sich, warum man diese Information an zwei Orten speichert – einmal für das Backend und ein zweites für die Funktionsweise der UTM?

Frage: Wie kann ich über die URL test.domain.tld den Webserver intern erreichen, ohne einen A-Eintrag in unserem internen DNS-Server erstellen zu müssen?

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 43 Gäste