Von Zone grün kein Zugriff auf Server der in Zone grün

1. offizieller Beitrag

    Hallo,

    installiert ist Endian 3.0.devel Community auf einem PC mit 2 Netzwerkkarten.

    Karte 1 (Zone rot): PPPoE Verbindung zum Internet
    Karte 2 (Zone grün): LAN

    Im LAN befinden sich einige Clients, IP-Kameras und auch 2 Server.

    Für die Server und Kameras sind Portweiterleitungen eingerichtet.

    Internetzugriff von Zone grün funktioniert problemlos. Auch die Portweiterleitungen machen von einem anderen Netzwerk aus keine Schwierigkeiten. Aber nun zum Problem:

    Gibt man innerhalb der Zone grün, also im eigenen Netzwerk, im Browser die externe WAN IP ein, so wird man weitergeleitet auf folgende URL: https://"externe rote IP":10443
    Das ist aber die Weboberfläche von Endian. Eine solche Weiterleitung habe ich nie erstellt. Gibt man die externe IP auf einem beliebigen Rechner oder Smartphones außerhalb des Netzwerks ein, so wird man korrekt weitergeleitet. Z.B. an einen testweise eingerichteten Webserver.

    Warum ist das so? Und wie schaffe ich es, auch aus der grünen Zone herraus die externe IP verwenden zu können?

    Konfiguriert habe ich bisher nur DHCP und Portweiterleitungen in der Firewall.
    Bei "Ausgehender Datenverkehr" ist der Port 80 für den Testserver ja schon freigegeben.

    • Offizieller Beitrag
    Zitat

    Und wie schaffe ich es, auch aus der grünen Zone herraus die externe IP verwenden zu können?

    Gar nicht . . . . das ist schon richtig so, da kannst nicht auf einem Port reingehen und auf dem gleichen wieder raus, oder umgekehrt !

    So was geht nur mit der Fritzbox . . . aber nicht mit einer Firewall . . . das würde natürlich auch mit der Firewall gehen . .. aber sowas macht man nicht . . . reist ein Riesen Loch in die Sicherheit . . :nerv: . . . also finde dich dami ab . . :cry:

    Gruß Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final

    Hallo zusammen,

    ich habe gerade die Community-Version 3.0.5beta1 installiert und bin über das gleiche Problem gestolpert, deshalb hänge ich mich hier mal an.

    Zitat von "Sabine"

    Ich verstehe nicht, wo hier die Sicherheitslücke besteht. Es würde sich doch nur um ein einfaches Routen in der Firewall handeln. Gerade für mobile Geräte, die man in verschiedenen Netzwerkbereichen nutzt, wäre es doch eine sinnvolle Möglichkeit, da man nicht jedes Mal umkonfigurieren muss bzw. überlegen, wie denn die interne IP-Adresse eines Servers im grünen Netz ist. Wie gesagt: Ich möchte primär verstehen, wo der Sicherheitsgewinn liegen soll, wenn man es verhindert.

    Vielen Dank im Voraus für eine Erklärung

    • Offizieller Beitrag

    Hallo, also bei einer " Richtigen " Firewall ( Cisco , Bintec , Checkpoint ) würdest du eine Weiterleitung machen . .. und kein Paket käme durch . . :shock: . . es würde im SPI System hängen bleiben . . :? . . du musst dann noch eine Regel in der Firewall machen von Extern nach intern . . . also 2 Regeln . . . . . und 2 für den von Intern nach Extern . .

    Damit kommt jeder Angreifer auf deine Rechner und auch wieder auf dem Port raus !!!! Ohne irgendeine Schutz !!

    Also die IP eintippen ( ist doch nicht so schwer ) einen eigen DNS Server betreiben oder ein Hosteintrag auf dem Rechner machen . .

    Grüße Sabine

    EFW Version im Einsatz:
    2 x Endian UTM Enterprise Software Appliance 3.0.5
    1 x Endian Community 3.2.4
    2 x 2.5.1
    8 x 2.2 Final