Anzeige:
Ergebnis 1 bis 13 von 13

Thema: FritzBox Exposed Host - Subdomain Weiterleitung per firewall/iptables?

Hybrid-Darstellung

Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
  1. #1
    Registrierter Benutzer
    Registriert seit
    Aug 2003
    Ort
    Wetzlar
    Beiträge
    764

    FritzBox Exposed Host - Subdomain Weiterleitung per firewall/iptables?

    Nabend,

    mir ist da mal eine Idee gekommen.
    Ich verfüge über einen DSL Anschluss mit einer festen IP und eine FritzBox 7490.

    Ich habe mir im Internet die Domain xyz.de registriert und dort folgende Subdomains angelegt:

    a.xyz.de
    b.xyz.de
    c.xyz.de
    d.xyz.de

    bei den DNS-Einstellungen habe ich die Subdomains auf meine feste DSL-IP umgestellt.

    Hinter meiner Fritzbox hängen viele VM's mit diversen Webdiensten/Webservern (internes Netz 192.168.0.0):

    192.168.0.11 -> mailserver
    192.168.0.12 -> mqtt-server
    192.168.0.13 -> webserver1
    192.168.0.14 -> webserver2

    Wie ihr euch sicher vorstellen könnt, will ich diese Server direkt über die Subdomain oben erreichen können.

    Meine Idee, ich nehme einen raspberry pi mit iptables.
    Diesen trage ich in der Fritzbox als Exposed Host ein, somit werden alle(?) Anfragen die an meine feste IP gehen, zuerst an diesen Exposed Host gerichtet, oder?

    Dort sollte dann per iptables/firewall sortiert werden.
    Kommt eine Anfrage von der Subdomain "a.xyz.de" rein, dann wird alles an 192.168.0.11 weitergeleitet.
    Bei einer Anfrage von "b.xyz.de" dann alles an 192.168.0.12 ... und so weiter.

    Ist das möglich?

    Und könnte ich dann auch sagen wenn eine Anfrage über "b.xyz.de" reinkommt, dann an Rechner "192.168.0.12" weiterleiten.
    Aber nur Anfragen über Port 8883 - alles andere wird verworfen.
    Würde das auch klappen?
    Intel Core2Quad Q6600, 4 GB RAM, GeForce 8800GTS, gentoo x86_64, Gnome

  2. #2
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    21.144
    ich hab' keine FB, wenn ich mir aber https://avm.de/service/fritzbox/frit...ox-einrichten/ anschaue - brauchst Du den PI gar nicht da Du direkt die Portweiterleitungen eintragen kannst.

    Grundsätzlich ist das Vorgehen von Dir aber möglich - ob Du das nun per iptables, einem Proxy (z.B. gern genommen in solchen Fällen: Nginx) oder einer ded. "Router-Distri" machst spielt dabei erst mal keine große Rolle - je nach, worin Du im Einrichten und betreuen / betreiben fitter bist)

    Nachteilig an der PI-Variante sehe ich noch, daß das Ding nur eine Netzwerkkarte hat (und die ist bei allen außer dem aktuellen (aber wohl noch nicht erhältlichen) PI4) auch nicht die flotteste.

    ... und ggf. solltest Du Dir noch ein paar Gedanken zum Thema "Absicherung von Diensten" machen - schließlich lässt Du so oder so fremde Menschen direkt in Dein privates Netzwerk

    (von dem her evtl. mal schauen, ob Du nicht einen Router auftreiben kannst, der ded. DMZ oder andere Varianten von getrennten Netzen unterstützt)
    Ich bin root - ich darf das.

  3. #3
    Registrierter Benutzer
    Registriert seit
    Aug 2003
    Ort
    Wetzlar
    Beiträge
    764
    - brauchst Du den PI gar nicht da Du direkt die Portweiterleitungen eintragen kannst
    Das stimmt so nicht ganz.
    Ich kann zwar von allen Subdomains auf die feste IP und damit auf die Fritzbox weiterleiten, dort kann ich aber nur bestimmte Ports an bestimmte IP's weiterleiten.

    Ich kann z.Bsp. nicht(!) sagen das eine Anfrage von "https://c.xyz.de" an 192.168.0.12:443 gehen soll, aber eine Anfrage von "https://d.xyz.de" an 192.168.0.13:443 gehen soll.
    Das kann die FB meines Wissens nach nicht.

    Grundsätzlich ist das Vorgehen von Dir aber möglich - ob Du das nun per iptables, einem Proxy (z.B. gern genommen in solchen Fällen: Nginx) oder einer ded. "Router-Distri" machst spielt dabei erst mal keine große Rolle - je nach, worin Du im Einrichten und betreuen / betreiben fitter bist)
    Ich habe in meinem Leben schon ein paar Linux-Kisten aufgesetzt und auch Erfahrung mit verschiedenen Distros - von daher sollte ich das hinbekommen.
    Mit welcher Software-Lösung würdest du hier arbeiten?
    Mir geht es wirklich nur um das weiterleiten der Subdomain-Anfragen.
    Kommt z. Bsp. eine Anfrage von teamspeak.xyz.de rein, dann soll er diese an den entsprechenden Server weiterleiten.

    Nachteilig an der PI-Variante sehe ich noch, daß das Ding nur eine Netzwerkkarte hat (und die ist bei allen außer dem aktuellen (aber wohl noch nicht erhältlichen) PI4) auch nicht die flotteste.
    Das ist richtig, das ist ein Problem.
    Ich denke aber das bei normalen Webdiensten, bzw. bei Webservern nicht soviel Daten gesendet werden.
    Ich will darüber explizit kein Filesharing und kein Streaming betreiben.

    und ggf. solltest Du Dir noch ein paar Gedanken zum Thema "Absicherung von Diensten" machen - schließlich lässt Du so oder so fremde Menschen direkt in Dein privates Netzwerk
    Wenn du damit das "härten" von Diensten wie mosquitto, icinga, apache & Co meinst, dann bin ich dabei

    von dem her evtl. mal schauen, ob Du nicht einen Router auftreiben kannst, der ded. DMZ oder andere Varianten von getrennten Netzen unterstützt
    Das hatte ich auch schon vor, aber zum einen muss der Router/DSL-Modem auch mit meinem Vodafone-Anschluss laufen und zum anderen brauche ich bestimmte Funktionen wie Gäste-WLAN.
    Bei der riesigen Auswahl an Geräten habe ich ehrlich gesagt aufgegeben ...
    Intel Core2Quad Q6600, 4 GB RAM, GeForce 8800GTS, gentoo x86_64, Gnome

  4. #4
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    21.144
    Müssen die Webseiten auf unterschiedlichen Servern laufen?

    Ansonsten - ich würde einfach Nginx als Proxy verwenden - der kann im großen und ganzen alles durchproxien, was einem heute so im Internet begegnet und ist in der Konfig einigermaßen unfallfrei und trivial. Zudem kannst Du dann parallel immer noch einen bel. Paketfilter laufen lassen ohne dir dort dann noch große Gedanken um irgendwelche Seiteneffekte von Regelwerken machen zu müssen.
    Ich bin root - ich darf das.

  5. #5
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.298
    Das Thema hat nur wenig mit Routing zu tun, daher sind Router und Firewall eher ungeeignet dafür. Das Zauberwort lautet: "Reversproxy" - alle gängingen HTTP Server können das.
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  6. #6
    Registrierter Benutzer
    Registriert seit
    Dec 2003
    Ort
    Dettenhausen
    Beiträge
    21.144
    naja, nicht alles der gewünschten Protokolle / Services geht mit "allen http-Servern".

    ... und die meisten "Software-Router" wie z.B. IPCop können das, was der TE braucht auch nebenbei.
    (was oftmals nicht viel mehr heißt als daß es einen Web- oder Programm-GUI für iptables + Konsorten darstellt)
    Geändert von marce (25.06.19 um 12:09 Uhr)
    Ich bin root - ich darf das.

  7. #7
    Registrierter Benutzer
    Registriert seit
    Jun 2006
    Beiträge
    139
    Ich werfe einmal ha-proxy in den Raum.
    Der kann z.B. auch TCP Verbindungen weiterleiten.

  8. #8
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.298
    Hmm, idR wird nur HTTP mehrfach verwendet, bei den anderen Protokollen reicht dann der Port, ich kenne Reverse Proxies auch nur in diesem Kontext. Mag sein, dass es da inzwischen mehr Szenarien gibt, Message Broker zB, wobei die ja idR auf HTTP aufbauen...
    Man sollte sich halt klar drüber sein, dass man dann auch Inhalte auswerten muss, was bei verschlüsselten Datenverkehr nicht so einfach geht. Bevor man anfängt moralisch fragwürde praktiken einzusetzen, sollte man lieber vernünftige Lösungen verwenden - ist natürlich nur meine Meinung
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  9. #9
    Registrierter Benutzer
    Registriert seit
    Aug 2003
    Ort
    Wetzlar
    Beiträge
    764
    So, bin jetzt schon ein Stück weiter.

    Ich werde mit 2 x FritzBoxen eine DMZ aufbauen, nur ipv4.
    Ich habe aber noch ein paar Fragen dazu:

    1.
    In der DMZ muss dann der Rechner mit ngix sitzen der die Anfragen weiterleitet, am besten als Exposed Host konfiguriert.
    Richtig?

    2.
    Müssen die Dienst-Rechner, also z.Bsp. der mqtt und/oder der Teamspeak Server, auch innerhalb der DMZ sitzen oder kann ich die auch dahinter im internen Netz lassen?

    3.
    Und wie muss ich ngix konfigurieren?
    Hat da vielleicht jemand ein kurzes Beispiel?
    Wenn z.Bsp. eine Anfrage über ts.xyz.de reinkommt, soll die an 192.168.0.11/ts.fritz.box weitergeleitet werden.
    Wenn die Anfrage über mqtt.xyz.de kommt, dann geht es an 192.168.0.12/mqtt.fritz.box.
    Hat jemand ein Beispiel dafür?
    Intel Core2Quad Q6600, 4 GB RAM, GeForce 8800GTS, gentoo x86_64, Gnome

  10. #10
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.298
    Jein, wenn ich das richtig einsortiere, wird dann einfach alles weiter geleitet. Es ist immer besser nur ganz gezielt freizuschalten, was man will, da für braucht es Port Forwarding am Router, da sollte man so fein körnig wie möglich dran. Der Router ist auch das erste Sicherheitsnetz, entsprechend strikt sollte man da sein.

    Alles was etwas von außen beantwortet gehört in die DMZ.

    3 ist schwierig, eigentlich auch nicht Grundsätzlich sollte es dem Service aber egal sein, er kriegt eine Anfrag rein, es hat dann alles was zum es antworten braucht, den Rest macht der Router. Praktisch ist es nicht ganz so einfach.

    So als praktischen Versuch, du stellst den Router so ein das ein bestimmter äußerer Port auf einen bestimmten Port an ein System in der DMZ/LAN weiter geleitet wird, du solltest dann in der Lag sein, das System über deine öffentliche Adresse anzusprechen. Anleitungen gibt es doch schon viele, wähle dir eine aus und falls was bei einem Schritt klemmt, kannst du ja noch mal fragen - mit Schritt und Link zur Anleitung.
    Geändert von nopes (30.06.19 um 01:43 Uhr)
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  11. #11
    Registrierter Benutzer
    Registriert seit
    Aug 2003
    Ort
    Wetzlar
    Beiträge
    764
    So als praktischen Versuch, du stellst den Router so ein das ein bestimmter äußerer Port auf einen bestimmten Port an ein System in der DMZ/LAN weiter geleitet wird, du solltest dann in der Lag sein, das System über deine öffentliche Adresse anzusprechen. Anleitungen gibt es doch schon viele, wähle dir eine aus und falls was bei einem Schritt klemmt, kannst du ja noch mal fragen - mit Schritt und Link zur Anleitung.
    Das geht nicht!
    Wenn ich z.Bsp. die Subdomains:

    a.xyz.de
    b.xyz.de

    habe.

    Domain "a" soll auf den Webserver von meinem smartHome verweisen IP 192.168.0.20
    Domain "b" aber auf meinen Test Webserver IP 192.168.0.21

    Das kann man einer Fritzbox aber nicht beibringen. Dort kann ich nur Ports weiterleiten, also der komplette https-Verkehr an eine bestimme IP.
    Die Fritzbox ist aber nicht in der Lage anhand der Herkunft "a.xyz.de" oder "b.xyz.de" die Daten weiter zu leiten.

    Deswegen meine Idee mit einem Exposed Host und iptables, bzw. nach eurer Meinung nach Nginx.
    Intel Core2Quad Q6600, 4 GB RAM, GeForce 8800GTS, gentoo x86_64, Gnome

  12. #12
    Registrierter Benutzer
    Registriert seit
    Apr 2009
    Ort
    Erde
    Beiträge
    2.298
    Ja ist schon richtig, Schritt für Schritt aber auch. Statt direkt auf a oder b, geht es an c, c ist der Reverserproxy und leitet an a oder b weiter - dann ist der Service Konfiguration auch beteiligt, idealer weise nur die von c.
    Gruß nopes
    (,,,)---(^.^)---(,,,) /var/log/messages | grep cat

  13. #13
    Registrierter Benutzer
    Registriert seit
    Jun 2006
    Beiträge
    139
    Wenn du eine wirkliche DMZ bauen willst, dann nimm eine oder zwei "richtige" Firewalls und keine Fritzbox. Die Fritzbox höchstens für die Internet Anbindung.
    Wenn du es etwas einfacher haben willst, dann leite alles Benötigte (z.B. HTTP(S) und Mail) an einen Reverse Proxy (bzw. HTTPS an den Reverse Proxy, Mail an den Mailserver/Mail Proxy) weiter.
    Ob du einen Webserver mit Proxy Funktion oder z.B. HAProxy oder etwas ganz anderes nimmst bleibt dir überlassen.

Ähnliche Themen

  1. SSH-Zugang auf Firewall-Rechner hinter Fritzbox Fon 7170
    Von NorbertBehrens im Forum Router und Netzaufbau
    Antworten: 9
    Letzter Beitrag: 24.05.10, 22:37
  2. FritzBox Port Weiterleitung
    Von Only-Olli im Forum Router und Netzaufbau
    Antworten: 2
    Letzter Beitrag: 25.09.09, 13:15
  3. apache2 weiterleitung auf anderen host
    Von silicore im Forum Linux als Server
    Antworten: 2
    Letzter Beitrag: 27.09.06, 08:46
  4. subdomain / weiterleitung
    Von LordDarkmage im Forum Linux Allgemein
    Antworten: 3
    Letzter Beitrag: 09.07.04, 12:43
  5. Weiterleitung per Subdomain
    Von lordoflima im Forum Linux als Server
    Antworten: 5
    Letzter Beitrag: 13.04.04, 13:25

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •