Firewall: Port Forwarding, Source beperken tot 3 IP adressen.

[Ambidexterity]

Ik wil poort 7071 (Zimbra admin console) de source beperken naar 3 IP adressen van buitenaf, kan dit?
Als ik 1 IP adres ingeeft is dat natuurlijk geen probleem, maar een tweede weet ik niet hoe ik die erbij moet zetten.
000.000.000.000-111.111.111.111, dus met koppelteken kan ik een range aangeven wat natuurlijk niet de bedoeling is.
Ik heb geprobeerd ", ; : / \ | _ * ", maar dat slikt de firewall allemaal niet.

 

[Hofstede]

Je moet een IP groep aanmaken en die als source aangeven in de firewall regel. In die groep zet je dan de IP adressen waar het om gaat.

 

[Ambidexterity]

Oke, ik weet nog niet hoe, maar ik begrijp helemaal wat je bedoel, nu kan ik daar iets beter op zoeken
Vanavond klusje, bedankt voor je antwoord.

 

[Hofstede]

Zie screenshots:

 

[Ambidexterity]

Ik had dit inderdaad gevonden bij profiles, alleen zie ik nog niet hoe ik het moet linken met de Port Forwarding.
Bij het aanmaken kan ik kiezen tussen IPv4 (en 6, maar is nu niet relevant) en port group.
Bij port group kan ik een rij met poorten aanmaken en bij IPv4 of 6 kan ik een rij IP adressen neer zetten.

Maar bij Port Forwarding/Source kan ik alleen IP adressen invullen en niet bijvoorbeeld "SSH groep" (zoals ik de groep hebt genoemd)
Ik zie niet hoe ik die twee kan linken, wellicht kijk ik ergens overheen en zou het achteraf wel simpel zijn

 

[Hofstede]

Je moet het niet bij port forwarding doen.

Bij port forwarding geef je gewoon aan dat alles vanaf WAN toegang heeft.

Vervolgens creeer je zelf twee firewall regels onder 'Internet' voor die poort.
De eerste waarin je de IP's in de groep doorlaat.
De tweede waarin je alle verkeer vanaf WAN naar de poort alsnog blokkeert.

Die komen dan voor de firewall regel die default wordt aangemaakt door poort forwarding. Waardoor die dus eigenlijk nooit iets zal doen.

 

[Ambidexterity]

Aha, dus de poort op Any, dan maak ik bij profiel 2 profielen aan, een IP groep en een port groep.
In die poort groep kan ik ook bijvoorbeeld 2 poorten zetten.
En vervolgens een regel/rule en dat is de link tussen de profiel/groepje en de Port Forwarding.

Dat ziet er goed uit, hier ga ik vanavond even mee aan de slag

Bedankt voor je hulp.

 

[Ambidexterity]

Ik heb net even port forwarding op An gezet, 2 profiles aangemaakt en 1 rule zoals hieronder de screenshots.
Opzicht helder als je het weet.

Is er een manier hoe ik dit kan testen?

 

[edwin2019]

Zet je telefoon op hotspot, hang je laptop eraan en kijk of je verbinding kunt maken, als het goed is mislukt dat

 

[Ambidexterity]

OMG, dat ik dit niet zelf kan bedenken
Ik ga het zo gelijk proberen, bedankt dat je mijn mega domme vraag toch heb willen beantwoorden


[Toevoeging-1]
Ik had even een VPN tunnel opgezet, maar toen kon ik nog wel verbinden.
De ethernet kabel eruit getrokken en een hotspot opgezet, dat was een betere test, ik kan dan inderdaad niet verbinden via SSH.

- root@Quadra-840av ~ # ssh admin@192.168.10.99
- ssh: connect to host 192.168.10.99 port 22: Operation timed out


[Toevoeging-2]
Geweldig, ook ping doet het dan niet, ik ben helemaal in mijn nopjes

 

[Hofstede]

Ik denk dat jouw test niet helemaal goed was want er ontbreekt nog een tweede firewall regel zoals ik aangegeven heb.

Want de port forwarding zet alles open. Met jouw firewall regel geef je explicitiet toestemming aan drie IP adressen. Je moet dus na die regel nog een regel firewall regel maken die alle andere IP's blokkeert. Want anders kunnen andere IP's er alsnog bij.

Bij de test in toevoeging -1 gebruik je een local IP. Dat werkt sowieso niet van extern. Van extern moet je je WAN IP gebruiken. (Tenzij dit alleen als voorbeeld was).
Bij de test in toevoeging-2: Ping zegt niets over SSH. Dat zijn andere poorten.

 

[Ambidexterity]

Oke, gelijk poort 22 maar weer even dicht gezet.
Nee, dat klopt natuurlijk met die interne IP, was niet slim.

Ik heb even een block rule aangemaakt zoals ik denk dat het moet zijn.
Met Reject geef ik een signaal terug en met drop niet denk ik, dan kan ik beter drop kiezen toch?

 

[Hofstede]

Ja. Drop is beter.

Nog een extra tip: Omdat 22 een standaard poort is waar men op scant zou je er voor kunnen kiezen om voor de externe toegang een ander poortnummer te kiezen.

 

[Ambidexterity]

Oke, dan kies ik voor drop.
Is de rest goed ingevuld in mijn laatste screenshot?

Wat betreft die andere poort, bijvoorbeeld 2222, die vinden ze toch ook makkelijk met een poortscan?

 

[Komodo]

Daar moeten ze meer werk in stoppen en daar hebben criminelen en script kiddies een hekel aan

 

[Ambidexterity]

Dus uiteindelijk is het wel te vinden, je maakt het ze lastiger dus.

Maar nu doe ik in terminal ssh admin@192.168.10.99 en als ik bijvoorbeeld poort 2222 er van maakt dan moet ik het poort nummer vermelden achter mijn IP nummer toch?
Dus zo --> ssh admin@192.168.10.99:2222 ?

[Toevoeging]
Uiteraard met mijn WAN adres

 

[Komodo]

Correct