OPNsense Forum
International Forums => German - Deutsch => Topic started by: axlemoxle on May 03, 2022, 10:13:19 am
-
Hallo, folgendes Szenario...
Ich habe einen Dienst...ums einfach zu halten erst mal Port 80, auf interner IP 192.168.1.175
Der Dienst soll vom Wan aus erreichbar sein. Nat auf Port 80 funktioniert nicht (sämtliche anderen Ports sehrwohl). Ich vermute dass hat was mit der Zugrifssicherheit auf die Sense zu tun....Regel lässt sich zwar für Port 80 anlegen, aber funktioniert nicht.
Lege ich das ganze auf Port 85 an klappt es sofort.....Keine Ahnung warum nicht auf 80, evtl kann da ja jemand Licht ins Dunkel bringen.....an Regeln sind eigentl. nur die Anti-Ausssperregeln die Standartmäßig da sind.
die Nat regel Port 80 würde ja aber nicht auf die IP der Sense, sondern auf die 1.175 gehen...Sense wäre 1.1
Nuja...als Problemlösung kam mir jetzt ein Host Override....also (ddns vorhanden) dienst.mein.ddns.de
Habe das eingerichtet, funktioniert intern wunderbar.....wo ich jetzt leider keine Idee für habe....kann ich das auch extern erreichbar machen ???? Oder geht das mit Port 80 wieder nicht, oder welche Lösung gibt es ggf ?
Danke vorab
-
Dann schau dir doch mal die Anti Lockout Regeln an, lege sie manuell an und lass die für den Port 80 der Firewall weg... Voraussetzung
.. die Firewall läuft auf Port 443, https... Und https wird für den Dienst dahinter dann nicht gehen... Oder verlegt die Webinterface Ports der Firewall... Ein Port kann nur einen Host bedienen...
-
Ja, das ist klar...ergibt irgendwie Sinn....
Was ich nicht wirklich verstehe ist allerdings, dass das Webinterface der Firewall ja von aussen, also dem WAN eigentl. gar nicht erreichbar ist. Von daher müsste ich Port 80 doch an ein Gerät im LAN weiterleiten können ohne die Firewall damit zu beeinflussen, oder habe ich da irgend wie nen Denkfehler?
-
Schau dir mal deine Einstellungen an und die automatisch erzeugten Firewall Regeln. Ich habe zwar ad hoc gefunden, dass ich den SSH Zugang auf bestimmte Interfaces beschränken kann, aber nicht für das Webinterface.
-
Aber mein Webinterface ist nicht aus dem WAN erreichbar....sollte ja wohl auch nicht so sein
-
Ich habe lediglich eine Regel, die den Port 443 durchlässt, in den WAN Teil der Firewall eingefügt, dann ist das WebGui erreichbar.
Zudem habe ich in System - Administration
Listen Interfaces auf den empfohlenen Wert "All" gestellt.
Schau mal, was dort bei dir eingestellt ist, aber
(Ja, ich kenne die Risiken und blocke das über die Proxmox Firewall, wenn ich den Zugriff nicht brauche).
Für den Port 80 ist übrigens ebenfalls unter System - Administration
HTTP Redirect Disable web GUI redirect rule
When this is unchecked, access to the web GUI is always permitted even on port 80, regardless of the listening port configured. Check this box to disable this automatically added redirect rule.
eine Standard-Regel, die Port 80 auf Port 443 umleitet. Evtl liegt es ja daran.