none
Povolení/nastavení portů NAT do vnitřní sítě RRS feed

  • Dotaz

  • Pěkný den,

    po zjištění, že poskytovatel internetu posílá veškerý provoz z veřejné IP k nám do vnitřní sítě, dovolím si dotaz. Potřebuji poskytovateli poslat seznam povolených TCP/IP, UDP portů, které budou přistupovat zvenčí. Přístup do jeho Mikrotiku mít nebudu, vše si nastaví sám. Ostatní porty chci mít zakázané.

    Jedná se o Windows server se službami: DHCP, DNS, AD, MS VPN Server (certifikáty uživatelů SSTP, L2TP se sdíleným klíčem), Exchange (Outlooky klientů se připojují bez VPN a mobily přes Active-Sync),  virtuální terminál (dostupný pouze přes VPN), sdílené složky (pouze přes VPN). Nebude běžet Sharepoint, ani žádný FTP server, nebo sdílené složky bez VPN. Občas se uživatelé připojují k webovému rozhraní pošty (OWA).

    Co jsem si tak zjišťoval,  mělo by stačit povolit/nastavit tyto porty:

    VPN - GRE 47, UDP 500,1701, 4500, TCP 443 (pro SSTP). Rozmýšlím nad portem 1723? - PPTP nikdo používat nebude

    Exchange - již zmíněný TCP 443, a nejspíš pro odesílání vč. SMTP autentizace (TCP 465)? Tady mám trochu strach, aby mě nepřekvapilo, že Outlooky nebo Smartphony přestanou fungovat bez VPN.  Autodiscover a Activesync by mělo běžet na 443 (doufám).

    Dále admin používá pro RDP přístup k fyzickému serveru port 3385 (takový skrytá alternativa k 3389) pro administraci - přístup pouze admin

    K terminálu se klienti připojují standardně přes RDP - ale jen při VPN, takže na tohle NAT by neměl mít vliv.

    Chci předejít nějakým nechtěným komplikacím typu nefungující Outlooky, sdílené kalendáře- bez VPN, nebo např. nepřestalo fungovat sdílení složek nebo terminálu po připojení k VPN.

    Ještě jsem přemýšlel povolit TCP 5938 pro Teamviewer, ale ten by už měl běžet bez problémů i na 443, pokud nemusím, tak ne.

    Napadá Vás ještě nějaký port povolit Firewallu/ NATu, na který bych při zmíněných rolích serveru zapomněl?

    Děkuji a přeji klidný den.

    pondělí 27. května 2019 11:53

Odpovědi

  • Ahoj.

    Pro VPN:

    • 443/TCP pro SSTP
    • 500/UDP, 4500/UDP a protokol ESP (50) pro L2TP/IPSec - osobně bych ale zůstal u SSTP, která je bezpečná, jednoduchá na konfiguraci a projde všemi firewally. PPTP rozhodně nepovoluj, to není bezpečné.

    Pro Exchange:

    • 443/TCP pro OWA, EAS, EWS, OAB, Outlook Anywhere, MAPI
    • 80/TCP pro nezabezpečené OWA, internetové kalendáře a jako fallback pro autodiscover v případě problémů s HTTPS
    • 587/TCP pro SMTP
    • 25/TCP pro příchozí poštu

    Pro RDP:

    • Nic, zakázat! RDP z internetu vůbec nemá být přístupné. Změna portu je VELMI naivní ochrana, která reálně nemá vůbec žádný efekt. Každý útočník jako první oskenuje otevřené porty a tam tu RDP stejně uvidí, i když je na jiném portu. Buď pouze přes VPN nebo za RDGW, tedy TCP/443 (můžeš také bezpečně integrovat například za Azure App Proxy a pak nepotřebuješ z internetu nic).

    PS: Doufám, že tohle všechno není na jednom serveru. Tudíž je potřeba správně udělat také port forwarding, což znamená, že budeš potřebovat alespoň dvě veřejné IP, protože port 443/TCP potřebuješ jak pro Exchange, tak pro VPN (a možná i RDGW - RDGW ale v případě potřeby může celkem snadno běžet na jiném portu).

    PPS: Pokud tím DNS není myšlen jen resolver a lokální DNS v rámci AD, ale i autoritativní server pro nějakou veřejnou doménu, tak potřebuješ ještě 53/UDP a 53/TCP pro DNS. Vzhledem k dotazu bych ale rozhodně doporučil DNS nechat někde mimo (u registrátora nebo jiného vhodné poskytovatele).


    pondělí 27. května 2019 13:48

Všechny reakce

  • Ahoj.

    Pro VPN:

    • 443/TCP pro SSTP
    • 500/UDP, 4500/UDP a protokol ESP (50) pro L2TP/IPSec - osobně bych ale zůstal u SSTP, která je bezpečná, jednoduchá na konfiguraci a projde všemi firewally. PPTP rozhodně nepovoluj, to není bezpečné.

    Pro Exchange:

    • 443/TCP pro OWA, EAS, EWS, OAB, Outlook Anywhere, MAPI
    • 80/TCP pro nezabezpečené OWA, internetové kalendáře a jako fallback pro autodiscover v případě problémů s HTTPS
    • 587/TCP pro SMTP
    • 25/TCP pro příchozí poštu

    Pro RDP:

    • Nic, zakázat! RDP z internetu vůbec nemá být přístupné. Změna portu je VELMI naivní ochrana, která reálně nemá vůbec žádný efekt. Každý útočník jako první oskenuje otevřené porty a tam tu RDP stejně uvidí, i když je na jiném portu. Buď pouze přes VPN nebo za RDGW, tedy TCP/443 (můžeš také bezpečně integrovat například za Azure App Proxy a pak nepotřebuješ z internetu nic).

    PS: Doufám, že tohle všechno není na jednom serveru. Tudíž je potřeba správně udělat také port forwarding, což znamená, že budeš potřebovat alespoň dvě veřejné IP, protože port 443/TCP potřebuješ jak pro Exchange, tak pro VPN (a možná i RDGW - RDGW ale v případě potřeby může celkem snadno běžet na jiném portu).

    PPS: Pokud tím DNS není myšlen jen resolver a lokální DNS v rámci AD, ale i autoritativní server pro nějakou veřejnou doménu, tak potřebuješ ještě 53/UDP a 53/TCP pro DNS. Vzhledem k dotazu bych ale rozhodně doporučil DNS nechat někde mimo (u registrátora nebo jiného vhodné poskytovatele).


    pondělí 27. května 2019 13:48
  • Děkuji moc za odpověď.  Co se týče DNS, vše je u registrátora domény, server je jen resolver pro interní doménu (navenek skrytá). Trochu mě děsí porty 80 a 25 (ikdyž nepoběží žádné webové služby kromě OWA přes https) a 25 mě vždycky strašilo, když jsem viděl videa, jak se někdo snaží dostat přes Telnet právě na smtp server a port 25...Pak EHLO..a šup rozesílání anonymních emailů... Ale povolím to.

    PPTP se 1723 úplně vynechám a máš pravdu, pokud budu potřebovat nějakou administraci, můžu i přes VPN a pak se připojit na fyzický server, takže alternativu "3385" vynechám, o Teamvieweru ani nemluvě

    Jinak asi teď zklamu. Azure nepoužívám a na jednom serveru běží opravdu Exchange, AD, VPN s DHCP a právě ta brána RDGW(na fyzickém serveru). Na druhém virtuálním serveru běží Terminál.. Pouze na tento virtuální server mají přístup i ostatní.  Je to tím ,že se jedná o malou firmu o cca 20 lidech a udržovat další server včetně aktualizací...Jo vím, dalo by se to řešit přes WSUS server, ale nejsem firemní ajtík a už teď dělám práci minimálně za 3 lidi včetně starání se o IT infrastrukturu (za jednu průměrnou mzdu).

    Každopádně MOC DĚKUJI za skvělou a přehlednou tabulku portů k povolení a věřím, že tahle odpověď pomůže i ostatním "amatérštím ajťákům" :-)


    pondělí 27. května 2019 15:06
  • Bez portu 25 nebude poštovní server komunikovat s ostatními servery - nebude odesílat ani přijímat poštu. Otázkou spíš je, proč mít vlastní poštovní server a jestli se to opravdu vyplatí. Protože IMHO ne - musíš řešit zálohování, vysokou dostupnost serveru, konektivity i napájení, údržbu, servis, aktualizace, obnova HW, obnova SW a s tím spojený nákup nových licencí... Proč spíš nepořídit Office 365, kde máš vše v ceně a nemusíš vůbec nic řešit? Tím spíš, když je to malá firma o 20 uživatelích mi přijde absolutní hloupost mít svůj vlastní poštovní server. A tím spíš, když je to navíc na jednom serveru s dalšími rolemi (nedoporučené!) a pravděpodobně tedy i bez vysoké dostupnosti a s bůhvíjakým zálohováním...

    pondělí 27. května 2019 15:16
  • Ja bych docela rad znal reseni, kdy umim dat SSTP a Exchange za jednu verejnou IP, pokud je na vstupu do firmy jen jednoduchy NAT (port forward). Alespon tak jsem pochopil aktualni konfiguraci, kterou ma p.Kratky.

    Jak ActiveSync klient, tak VPN SSTP klient IMHO nepodporuje jiny port nez 443.

    úterý 28. května 2019 6:22
  • To je pravda, takže pokud bych vlastně Exchange dal do dalšího virtuálu a oddělil od současného fyzického serveru s VPN, akorát bych si přidělal další starost a vrásky na čele :-)

    Jedině potom řešit VPN server přes Mikrotik poskytovatele.


    úterý 28. května 2019 7:04
  • ActiveSync jede pres IIS, nebo uz ne? Protoze koexistence https (IIS) a SSTP na 443 je zcela bezproblemova

    MP

    úterý 28. května 2019 7:06
    Moderátor
  • Miroslav Tiser spíš myslel, jak nastavit NAT s portem 443 a kam ho vlastně přesměrovat. Když na jednom serveru by běželo IIS na 443 a na další server s VPN by potřeboval 443 pro SSTP přesměrovat také. Pokud jsem tedy správně pochopil

    úterý 28. května 2019 7:36
  • Ahaa... Exchange a VPN jsou jeden stroj. Tak OK. I kdyz je to "silenost". Klonim se k nazoru Lukase Berana - Exchange odstehovat do O365.

    A priklad z praxe: od doby, kdy jsme u zakaznika rozjeli RDGW a terminalove sluzby, prestala se  VPN pouzivat. Uzivatel stejne vetsinou chce najakou vnitrni appku typu ucetnictvi/jiny IS a radeiji klikne na rdp soubor, ktery vse zaridi, nez aby navazoval VPN a spoustel lokalni instalaci, ktera je pres VPN casto pomala...


    úterý 28. května 2019 7:57
  • Když se pořizoval před rokem server, tak jsme počítali náklady za "pronájem" O365 na 5-6 let. Bohužel u nás se investice rozpočítávají na takový časový horizont. Mám pocit, že ta částka za O365 se vyšplhala po 5 letech někam kolem 180 tisíc Kč. Když jsme to srovnali s pořízením licence Exchange + k tomu třeba druhotné Office, vyšlo to prostě levněji. Ano, teď ale neberu, jaké s tím je s*aní a jaké vrásky mám, pokud přijde nějaká kumulativní aktualizace CU pro Exchange apod. Na druhou stranu, poučil jsem se, co to obnáší a vím, že za 4 roky to potom bude jinak a protlačím O365... Akorát pořád nechápu, proč je šílenost mít Exchange na serveru s AD, DHCP, VPN a IIS, kam stejně běžný uživatel se nikdy nedostane, běží zde Firewall a konečně i od poskytovatele budou povoleny jen používané porty. To by byla menší šílenost instalovat Exchange na terminálový (aplikační) virtuální server? V tom případě vlastně i IIS by na tom terminálu serveru muselo běžet.

    Nebo pokud jsem správně pochopil, bylo by teda nejlépe zvolit takové řešení?

    1. fyzický server s AD, DHCP, DNS,VPN, Certifikační autorita, Hyper-v server, WSUS

    2. virtuální (Hyper-V) server s Exchange a IIS, RDGW, SQL server, sdílené složky

    3. další virtuální (Hyper-V) terminálový - aplikační server s účetnictvím pro RDP běžných uživatelů apod.

    Takové řešení a starat se o 3 servery mi právě přijde pro 20 lidí trochu "hyper" :(


    úterý 28. května 2019 8:26
  • Pokud se bavime o O365 schrance - nejlevnejsi plán Exchange schranky stoji 3.4euro na mesic. Viz https://products.office.com/cs-cz/exchange/compare-microsoft-exchange-online-plans

    TJ. 20 (uzivatelu) x 12 (mesicu) x 3.4 (cena planu) x 5 (let) x 25 (kurz euro) = 102 tisic
    To mi neprijde nijak neunosne.

    Idealne nemichat role. AD s EXCHANGE - nic moc. AD s Terminalem - nikdy.

    úterý 28. května 2019 9:02
  • Jinak SSTP (aspon standard. win klient) umi zadat adresa:port, takze I pri NATu 2 serveru za 1 verejnou IP je mozne pouzit napr. verejna:443-> Exchange:443 a verejna:444 -> vpnserver:443

    MP

    úterý 28. května 2019 10:57
    Moderátor
  • Ja porad ziju v domneni, ze 443 je v SSTP klientu hardcoded. Alespon to tak byvalo. A jeste nedavno mi to na jinem portu proste nechodilo. No vida, pokud to uz lze menit.

    Na strane SSTP serveru menit listener jde uz dlouho, ale byvalo to zduvodnovano tak, ze je to kvuli NATu:

    Klient SSTP -> verejna.ip.adresa:443 -> NAT -> server sstp VPN:libovolny port


    úterý 28. května 2019 11:28
  • neni hardcoded, je default.

    takze :

    zmenil jsem adresu na adresa:443 … works as expected

    adresa:445 (nesmysl) … nepripoji se

    hth

    nicmene 443 proleze pres firewall, proxy ba i odpadni rourou od wc, jiny port bude mit problem na pripadnych firewallech mezi klientem a serverem

    MP


    úterý 28. května 2019 15:07
    Moderátor