Exposed Host an Netgate oder AVM
-
NOCling sorry, falsch verlinkt, sollte an mpatzwah gehen.
Noch ein Nachtrag.
Ich habe große Zweifel daran, ob Du bei der Lösung die Nextcloud hinter die pfsense weniger Konfigurationsaufwand haben wirst als dabei die Nextcloud neben die pfsense hinter die FB zu hängen und der pfsense den Status exposed Host zu nehmen.
Der Grund dafür ist dass die pfsense über keinerlei vordefinierte Firewall-Regeln für weitere Netze neben dem WAN und LAN verfügt. Richtest Du also für die Nextcloud ein weiteres Netzwerksegment ein, üblicherweise opt1 und nutzt das als DMZ, so gibt es für diese Netz keine Firewall-Regeln. Das ist eben anders als bei der IPFire, von der ich komme. Die zwar insgesamt weit weniger Konfigurationsoptionen als die pfsense, aber es gab vordefinierte Regeln neben denen für das LAN auch für WLAN und DMZ. Diese Regeln waren so, dass damit ungeübte, die wenig Erfahrung mit Firewalls haben erst einmal starten konnten.
Ein Rechner in der DMZ der IPFire konnte so also von Anfang an aufs Internet zugreifen (um z.B. aus diesem Updates zu beziehen, nicht aber auf LAN und WLAN. Bei der pfsense ist das anders. Du wirst bei der pfsense für die DMZ passende Regel selbst definieren müssen. Ansonsten wird Deine Nextcloud hinter der pfsense unerreichbar bleiben und selbst auch nicht einmal das Internet erreichen können, um z.B. Updates herunter laden zu können.
Warum schreibe ich Dir das?
Weil ich mir nicht sicher bin über wie viel Erfahrung Du mit solchen Regeln verfügst und bei wenig Erfahrung besteht eben die Gefahr, dass diese Regeln falsch definiert werden, wobei es auch schon reichen kann, dass diese in der falschen Reihenfolge angeordnet werden (die Reihenfolge der Regeln bestimmt deren Abarbeitung und Wirkung). Im schlimmsten Fall öffnest Du dann das Firmen-LAN für Zugriffe aus dem Internet via Umweg über die DMZ, was Du natürlich ganz sicher nicht willst. -
@eagle61 Vielen Dank an alle für Eure sehr ausführlichen Erklärungen.
Die pfSense hat mir ein Ex-Azubi eingerichtet und meines Wissenshorizont ist da wirklich sehr beschänkt... deswegen die "dumme" Frage
Nur brauche ich ca. 100 Portweiterleitungen auf lokale Schulungsrechner, die vom Internet verfügbar seien sollen und ich wüsste nicht, wie das ohne exposed Host gehen sollte...
Aber ich glaube ich bekomme das jetzt mit Euren Antwotrten hin
Vielen Dank !!!
Marco -
Auch kann man an der Fritte beides nutzen, Exposed Host leitet nur alles weiter, was nicht schon von der Fritte selbst genutzt wird.
-
Danke für die ehrliche Auskunft über Deinen Erfahrungsstand. Wir haben aber alle mal mit wenig Erfahrung angefangen.
Sei bitte vorsichtig bei der Regeldefinition für die DMZ.
Ich weiß nicht genau auf welchem System (Debian, Ubuntu oder in einem Docker-Container) Du Nextcloud installiert hast.
In jedem Fall braucht der Rechner mindestens per http, eventuell auch https Zugang in das Internet, allen schon der Updates wegen. Daher musst Du für die DMZ mehrere Pass-Regeln (erlauben den Zugriff = grünes Häkchen) definieren. Je eine für tcp-Port 80 und tcp 443. Die kommen ans Ende der Liste mit den Regeln, denn das Ziel der Regel muss global sein (Destination = any oder in der Abbildung eben als * gekennzeichnet). Es muss eine Globale Regel sein, denn Die Zeladresse (für die Updatens von z.B. Debian oder Ubuntu und Nextcloud) liegt ja irgendwo im Internet und Du kennst sie nicht genau.
Nur diese beiden regeln für Ports 80 und 443 würden nun aber auch erlauben dass der Rechner in der DMZ mit der Nextcloud drauf per port 80 und port 443 auch die Firewall selbst, das LAN und das (sofern vorhanden) separate WLAN erreichen kann.
Daher werden nun weitere Regeln benötigt, die das unterbinden. Siehe
Also Block- oder Reject-Regeln (rote Kreuzchen). Diese verbieten den Zugriff aller rechner aus der DMZ auf die Firewall, das LAN und WLAN und müssen vor der Regel stehen die den Zugriffa auf die Ports 80 und 443 erlauben soll, denn die in der Reihenfolge zuerst pasende Regel wird angewendet.
Wären also die Regeln mit der Erlaubnis tcp-Port 443 zu erreichen oberhalb von dem Verbot alle Ports im LAN zu erreichen würden würde sie zuerst als passend erkannt und angewendet werden. Der Nextcloud-Server könnte also trotz weiter unten stehender Verbotsregel PC auf Port tcp 443 im LAN erreichen, da die Erlaubnis ja global ist.Ich hoffe das hilft Dir weiter.
-
richtig, aber die Fritte nutzt am WAN-Interface weder tcp-Port 80 noch 443. Daher werden diese an den Exposed Host weitergegeben und können eben genau nicht ein weiteres Mal an einen anderen Server (also die Nextcloud) weitergeleitet werden.
Das die Fritte am LAN-Interface die tcp-Ports 80 und/oder 443 nutzt ist in diesem Zusammenhang unerheblich.
-
@eagle61 said in Exposed Host an Netgate oder AVM:
Doch, es geht auch an der FB, allerdings NICHT wenn die pfsense ein Exposed Host bleibt.
Bitteschön.
Man kann also sehr wohl Portfreigaben an der Fritte machen und Sense als Exposed Host freigeben. Klar, kann diese dann nicht mehr die Ports der Fritte nutzen.
Ich denke, das alles gilt auch für eine Kabel-Fritte. Kann man sich ja recht einfach anzeigen lassen in der Oberfläche (Diagnose/Sicherheit). -
@Bob-Dig Ihr seid alle spitze ! D A N K E
-
Okay, das mit den "allen übrigen" war mir nicht klar. Aber ich hab die pfsense auch nicht an einer FritzBox sondern an einem Modem (Vigor 167). Ich habe noch eine alte FritzBox 7430 und die kann das meiner Erinnerung nach so (noch) nicht. Aber die kann auch noch kein Wireguard und wird von AVM auch keine weiteren Updates mit neuen Features erhalten. Die bekommen nur die FritzBox 7490 und neuer oder besser.
-
Ja klar kann man das mit der FeitzBox so machen und parallel zur pf auch Sachen betreiben und erreichbar machen.
Man kann sich auch selbst ins Bein schießen oder mit dem Messer rein hacken.Bedeutet aber noch lange nicht das man es auch tun sollte.
Ein gescheites Netzwerk nutz zwischen Router immer ein Punkt zu Punkt Netz, ein reines Transfernetz.
Da reicht auch was ganz kleines mit 6 nutzbaren IPs, für HA auf beiden Seiten.Und die Firewall Regel die gezeigt wurden sind zu unspezifisch.
Wenn man der DMZ ausgehend Internetzugriff geben will, sollte man auch das Ziel auf nicht RFC1918 oder das IPv6 Objekt beschränken.Zudem kann man bei der pf mit dem Firewall Log und dem Capture Tool sehr einfach Fehler suchen.
Das ist bei der FritzBox nicht im Ansatz gegeben.
Schon aus dem Grund sollte man die Konfiguration daher so einfach wie möglich halten.Und da hier scheinbar alle Grundlagen fehen, wir über eine Firma im Bereich der DSGVO sprechen, sollte hier ein Dienstleister mit einbeziehen werden.
Denn eine Nextcloud ist alles andere als einfach wirklich sicher zu betreiben.
Ein Datenschutz Verstoß kann schnell extrem teuer werden. -
@NOCling said in Exposed Host an Netgate oder AVM:
Und die Firewall Regel die gezeigt wurden sind zu unspezifisch.
Damit hast Du recht. Es sind aber auch nicht meine Firewallregeln für die DMZ, sondern nur ein Beispiel für eine Person, die nicht so viel Ahnung von der Materie hat wie Du.
Mein Ziel war es auch nicht hier ein vollständiges DMZ-Regelwerk zu zeigen, sondern ein Beispiel dafür, dass die Konfiguration über die pfsense komplexer ist als mpatzwah sich das vermutlich vorstellt und einige Fallstricke beinhaltet. Immerhin hat mpatzwah die pfsense nicht selbst installiert, sondern ein ehemaliger Azubi.
Was die Nextcloud angeht: ja, auch das ist alles richtig. Es kommt aber drauf an, wofür die genutzt wird. Also zur Verwaltung von Kundendaten oder doch eher privat. Leider haben wir beide dazu keine Informationen.
-
@NOCling said in Exposed Host an Netgate oder AVM:
Ja klar kann man das mit der FeitzBox so machen und parallel zur pf auch Sachen betreiben und erreichbar machen.
Man kann sich auch selbst ins Bein schießen oder mit dem Messer rein hacken.Bedeutet aber noch lange nicht das man es auch tun sollte.
Wobei, wenn wirklich kaum Vorwissen besteht, dann mag das über die Fritte sogar sicherer sein, weil man hier auch weniger falsch einstellen kann. Mit so einer Sense kann man halt auch viel falsch machen, weil man halt wirklich alle Möglichkeiten hat.