Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 1633 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sicherheitsrisiko bei Portweiterleitung?

DJMABO
Hi,

ich betreibe einen Windows Homeserver 2011 und benutze Astaro als Router.
Da ich auf meinem Server Teamspeak 3 Server installiert habe und diesen Dienst meinen Kumpels bereitstellen möchte hatte ich schwierigkeiten die Ports so Weiter zu Leiten das auch die Clienten korrekt verbinden können. 

Dazu hab ich eine DNAT Route konfiguriert:

Datenverkehrsquelle: Any
Datenverkehrsdienst: 1:65535 -> 9987
Datenverkehrsziel: External WAN Address
NAT-Modus: DNAT
Ziel: Windows Homeserver 2011 mit dessen statischer IP Adresse
Zieldienst: 9987 -> 9987

Diese Konfiguration ist die einzige die Funktioniert -> hab tausende getestet.
Meine Frage ist: Stellt die Einstellung im Datenverkehrsdienst mit 1:65535 -> 9987 UDP/TCP ein Sicherheitsrisiko für mein Privates Netzwerk dar? [:S]

Bin leider Otto Normal User was solche Dinge angeht. [:D]


This thread was automatically locked due to age.
  • 0
    Wenn der Teamspeak Server unsicher ist, ja. Daher das Ding immer schön brav patchen sobald wie möglich. Der Rest hängt natürlich auch von der TeamSpeak Serverkonfiguration ab. Aber klar, im Grunde holt man sich durch ein DNAT natürlich ein (gewolltes) Einfallstor ins interne Netz.
  • 0
    Hallo,

    Ich bin neu in der Astaro Welt also verzeiht mir anfängerfragen =)
    aber ich stehe grad auf dem schlauch ...

    wenn ich bei meinen teststellungen ports forwarden möchte, lege ich dafür einen service an z.b.: port 5900 und der name test
    Anschließend lege ich im Packet Filter eine neue Regel an mit:
    Source is klar WAN
    Service:ist dan test (der vorher angelegt wurde)
    Destination:ist dan der Zielrechner z.b. 192.168.1.10
    Action:Allow
    Time Event:always

    oder ist das falsch?
    bzw wann nimmt man dnat?

    lg
    xenon
  • 0
    Hi,

    nun ich bin bemüht stehts alle meine Systeme up to date zu halten. Meine Sorge galt eher der Einstellung "Datenverkehrsdienst mit 1:65535 -> 9987 UDP/TCP". Ich hoffe damit nicht versehentlich alle Ports geöffnet zu haben.
  • 0 in reply to DJMABO
    Hi,

    nun ich bin bemüht stehts alle meine Systeme up to date zu halten. Meine Sorge galt eher der Einstellung "Datenverkehrsdienst mit 1:65535 -> 9987 UDP/TCP". Ich hoffe damit nicht versehentlich alle Ports geöffnet zu haben.


    Gute Einstellung. Die Service-Definition hast Du vollkommen richtig angelegt. Das 1:65535 ist unschwer erkennbar ein Portrange. Ein Service wird definiert durch Quell- & Zielports. Da jedoch bei den allermeisten Diensten aufgrund NAT Devices, Betriebssystemen usw. der Quellport mehr oder weniger zufällig ist, hat man meistens eben einfach den kompletten Range hier als Angabe. Das macht die Sache jedoch nicht per se 'unsicherer', nur 'unschärfer'. Wie Du bei den meisten vorgegebenen Dienstedefinitionen feststellen kannst, ist das aber bei fast allen (wenn nicht sogar wirklich allen) so.

    Zwischen DNAT und Packetfilter gilt es aber unbedingt zu differenzieren:

    - Packetfilter brauchst Du in jedem Fall, wenn Traffic passieren können soll.
    - DNAT oder FNAT brauchst Du, um interne Server von aussen erreichbar zu machen (Da diese nicht-öffentliche Adressen haben). Es erfordert *zusätzlich* auch eine Packetfilter Regel, die man aber mit dem Haken bei 'Auto' einfach gleich miterzeugen lassen kann (und eine weitere Benutzer-Fehlerquelle ausschließt).
Unfiltered HTML