Frage zu Alias und Portweiterleitung

[anym001]

Hallo,

ich habe eine Portweiterleitung von 80 und 443 auf meinen Server vorgenommen.
Das funktioniert auch wunderbar.

Des Weiteren habe ich zusätzlich eine Einschränkung via GeoIP gemacht.
Er soll nur IP’s aus AT+DE zulassen. Dafür habe ich einen Alias angelegt.

Außerdem habe ich einen Alias für lokale Netzwerke angelegt. (192.168.0.0/16 + 10.0.0.0/8)
Ist notwendig, damit Zugriffe auch aus meinem LAN möglich sind.

Diese beiden Aliase habe ich in einem weiteren Alias zusammengefasst. (Allowed_IP’s)

Den zusammengefassten Alias habe ich dann als Advanced Source bei der Regel der NAT Portweiterleitung hinterlegt.

Kann dies zu einem Sicherheitsrisiko kommen?
Bzw. ist das so richtig eingestellt?
Denn zuvor sind lokale Netzwerke in den automatisch erstellten Regeln im WAN Interface geblockt? (Sieht Screenshot)

[JeGr]

> Er soll nur IP’s aus AT+DE zulassen. Dafür habe ich einen Alias angelegt.

Rechne damit, dass das Alias nicht völlig korrekt ist. Wir haben immer wieder Probleme weil einzelne IP oder IP-Ranges in den Geo DBs falsch zugewiesen sind und wochenlang nicht korrigiert werden und man sich deshalb aussperrt. GeoIP für "allow" zu nutzen kann daher auch ins Auge gehen. Einfacher ist da Diverse Länder zu blocken, aus denen man garantiert nichts haben möchte, dann greift die Unschärfe zumindest nicht so hart.

> Ist notwendig, damit Zugriffe auch aus meinem LAN möglich sind.

Wofür ist es _auf dem WAN!_ nötig, dass du deine _internen_ IP Ranges freigibst? Das macht keinen Sinn. Kannst du das bitte erläutern wofür das sein soll? Traffic von innen kommt auch von innen/dem LAN und wird dort gefiltert. Auf dem WAN darf - wenn da ne öffentliche IP lauscht - kein RFC1918 Space ankommen bzw soll dort geblockt werden. Würde mich daher interessieren, welcher Sonderfall das bei dir sein soll?

> Kann dies zu einem Sicherheitsrisiko kommen?

Welchem Risiko? Du erlaubst damit ja explizit nur von diesen IPs, dass das Forwarding überhaupt statt findet. Für alle anderen Geräte draußen im Netz existiert dieses Forwarding nicht, Pakete werden einfach ans WAN gesendet und dort wahrscheinlich geblockt. Also nein, eingrenzen der Source bei einem Forwarding macht ihn normalerweise nicht unsicherer, sondern das Gegenteil

> Denn zuvor sind lokale Netzwerke in den automatisch erstellten Regeln im WAN Interface geblockt? (Sieht Screenshot)

Weil du sehr wahrscheinlich auf dem WAN Interface Block Private und Block Bogons angehakt hast. Was wie gesagt auch richtig ist, wenn auf dem WAN eine öffentliche IP hängt. Wenn nicht kann es unpraktisch sein. Trotzdem verstehe ich den Fall für dein Alias mit internen IP auf dem WAN nicht?

Cheers

[anym001]

> Er soll nur IP’s aus AT+DE zulassen. Dafür habe ich einen Alias angelegt.

Rechne damit, dass das Alias nicht völlig korrekt ist. Wir haben immer wieder Probleme weil einzelne IP oder IP-Ranges in den Geo DBs falsch zugewiesen sind und wochenlang nicht korrigiert werden und man sich deshalb aussperrt. GeoIP für "allow" zu nutzen kann daher auch ins Auge gehen. Einfacher ist da Diverse Länder zu blocken, aus denen man garantiert nichts haben möchte, dann greift die Unschärfe zumindest nicht so hart.

Danke für den Tipp. Gut zu wissen. 
Dann werde ich die Einschränkung für die Port Forward Regeln wieder raus nehmen.

> Ist notwendig, damit Zugriffe auch aus meinem LAN möglich sind.

Wofür ist es _auf dem WAN!_ nötig, dass du deine _internen_ IP Ranges freigibst? Das macht keinen Sinn. Kannst du das bitte erläutern wofür das sein soll? Traffic von innen kommt auch von innen/dem LAN und wird dort gefiltert. Auf dem WAN darf - wenn da ne öffentliche IP lauscht - kein RFC1918 Space ankommen bzw soll dort geblockt werden. Würde mich daher interessieren, welcher Sonderfall das bei dir sein soll?

Ich habe zu aller Erst für die NAT Port Forward Rules (80+443) nur die Einschränkung GeoIP Allow für die IP Adressen aus AT+DE hinzugefügt.
Danach konnte ich aus dem internen LAN nicht mehr zugreifen.
Erst als ich die IP-Bereiche aus dem internen LAN noch zusätzlich hinzugefügt habe, hat es wieder funktioniert.

> Kann dies zu einem Sicherheitsrisiko kommen?

Welchem Risiko? Du erlaubst damit ja explizit nur von diesen IPs, dass das Forwarding überhaupt statt findet. Für alle anderen Geräte draußen im Netz existiert dieses Forwarding nicht, Pakete werden einfach ans WAN gesendet und dort wahrscheinlich geblockt. Also nein, eingrenzen der Source bei einem Forwarding macht ihn normalerweise nicht unsicherer, sondern das Gegenteil

Das habe ich mir auch schon gedacht.
War mir jedoch nicht sicher, wenn ich die internen IP-Bereiche in der NAT Port Weiterleitung eintrage ob dies zu Problemen führt. Weil daraus wird ja automatisch eine WAN Rule erstellt und bei den WAN Rules sind allgemein lokale IP-Bereiche gesperrt. (Was ja auch so passt)

Beste Grüße
Anym

[JeGr]

> Erst als ich die IP-Bereiche aus dem internen LAN noch zusätzlich hinzugefügt habe, hat es wieder funktioniert.

Das klingt eher danach, dass du ein NAT Reflection Problem hast. Würde ich persönlich besser per SplitDNS lösen (bzw. per Host/Domain Overwrite im DNS Resolver/Forwarder - je nachdem was du nutzt), aber wenn es tatsächlich wegen NAT Reflection ist dann ist das der eine wirklich ab und an mal auftretende Corner Case, der das notwendig macht, ja. Dadurch dass du die Inbound NAT (Port Forward) auf Sources beschränkst, können die automatischen NAT Reflection Regeln nicht greifen - weil sie auf die Source limitiert sind. Trotzdem ist das eigentlich unschön. Du hast 3 Möglichkeiten:

1) du machst es wie jetzt und packst private IPs ins Alias mit dazu. Ist ein wenig quirky und wenns jemand anschaut, stolpert er genauso drüber wie ich und fragt "warum"? In einem dummen Zufall oder technisch manuell gebasteltem Fall könnte man zudem von WAN aus dann auf dein System kommen. Theoretisch.

2) Du machst die Reflection quasi selbst. Die Reflection macht ja nichts anderes wie zusätzliche Port Forwards hinzuzufügen, nur nicht auf dem WAN, sondern bspw. auf dem LAN. Die kannst du auch manuell bauen, dann hast du von extern nur den einen Alias als Source und von intern machst du einen eigenen Forward der nur auf interne Adressen zielt.

3) Du machst Split DNS wie oben beschrieben. Intern einfach DNS umschreiben, dass du nicht die externe IP brauchst aber die gleiche Domain/URL nutzen kannst. Simpler, treffender, weniger Umwege, direkt zum Ziel

Allein am Text sieht man schon: 3) ist am Einfachsten. Wenn das geht würde ichs tun. Ansonsten wäre 2) auch noch ne Option um von extern wie intern klare saubere Forwards zu haben.

Cheers

[anym001]

Danke für deine Tipps @JeGr.

Das klingt eher danach, dass du ein NAT Reflection Problem hast.

Zur Info. Ja habe NAT Reflection aktiviert. Dies wird vermutlich der Grund dafür sein.

Möglichkeit 3 ist leider nicht möglich aufgrund der DOH Verbindungen meiner Mobilgeräte von unterwegs aus.

Werde Möglichkeit 4 in Betracht ziehen und die Port Forward Regel ohne weitere Einschränkung nutzen.
Die "gefährlichsten" Länder werden sowieso bereits im Vorhinein weggeblockt.