This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Hilfe bei DMZ Einrichtung für Webserver

Hallo,

 

ich stehe hier vor einem Problem bei dem ich von selbst nicht mehr weiterkomme.

Für den Privatgebrauch habe ich mir auf einem kleinen Server eine Nextcloud installiert. Diese möchte ich nun so in mein Netz hängen, dass vom Server keine Verbindung zum Internen Netzwerk möglich ist. Daher habe ich mir eine dritte Netzwerkkarte in meine UTM eingebaut und möchte diese nun als DMZ einrichten. Hier bin ich derzeit leider mehr als gescheitert.

 

Bisher hatte ich eine NAT Regel aktiviert welche auf den Nextcloud Server geht. Das hat auch einwandfrei funktioniert. 

Jetzt habe ich die dritte Schnittstelle hinzugefügt und ihr eine IP Adresse vergeben (10.1.100.1).

Danach habe ich die Schnittstelle aktiviert und bei den Netzwerkdefinitionen ein Host für den Server angelegt (10.1.100.100). 

Und zu guter letzt habe ich noch die NAT Regel angepasst.

 

Derzeit komme ich von aussen auf den Server, allerdings kann ich auch vom Server ins Interne LAN zugreifen. Bzw. Bekomme ich bei PING Kommandos Rückmeldungen.

Das würde ich jetzt gerne unterbinden. Ich würde das ganze gerne so ein richten, dass wenn (im schlimmsten Fall) der Server auf dem Nextcloud läuft, gehackt wird und der Angreifer direkten Zugang auf den Server hat, diese nicht auf das Interne Netz zugreifen kann.

Könnt Ihr mir vielleicht weiterhelfen?

 

Liebe Grüße

fireb



This thread was automatically locked due to age.
Parents
  • Hallo fireb,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I know you know the answer to your question, so get ready for a facepalm... ;-)

    Full NAT is what you use when you want internal access in addition to access from the Internet.  Use a DNAT with a Traffic Selector 'Internet -> HTTPS -> External (WAN) (Address)'

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • Hallo fireb,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    I know you know the answer to your question, so get ready for a facepalm... ;-)

    Full NAT is what you use when you want internal access in addition to access from the Internet.  Use a DNAT with a Traffic Selector 'Internet -> HTTPS -> External (WAN) (Address)'

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data