Skip to main content

Beste allen, 

 

sinds kort ben ik overgestapt naar Odido glasvezel. Ik heb een machine in mijn lokale netwerk waarvan ik wil dat deze bereikbaar is vanaf buitenaf. Hiervoor heb ik geprobeerd om port forwarding regels in te stellen, maar deze krijg ik nog niet aan de praat. De software firewalls op de machine heb ik al gecheckt en daar staan de juiste interne poorten open.  De onderstaande figuur geeft de NAT regel aan die ik hiervoor heb gemaakt. 

 

 

Heeft iemand enig idee wat ik hier verkeerd doe?

Hallo @groenteboer 

Je zet hiermee 1000 poorten open, dat brengt toch een erg hoog risico met zich mee?

Om welke apparaat gaat het en wat wens je daarop te doen?


Het gaat om een machine met daarin een aantal videokaarten bedoeld voor verhuur van rekenkracht. Gebruikers hebben hierbij het liefst een aanzienlijk aantal poorten beschikbaar voor het gebruik van allerlei services. Ik heb de regel ook geprobeerd voor een enkele poort, met hetzelfde resultaat.


@groenteboer 

Is het apparaat rechtstreeks op de Zyxel aangesloten?

Heeft het apparaat een vaste IP adres dmv statische DHCP bijvoorbeeld?


Het apparaat zit rechtstreeks op de Zyxel en heeft een statisch IP adres. Inmiddels natuurlijk ook al dubbel gecheckt of ik geen tikfout in het IP heb gemaakt in de NAT regel :)

 

De Zyxel is inmiddels ook opnieuw opgestart en ik heb nu zo'n beetje alle opties voor de 'WAN interface’ setting geprobeerd.


Installeer NMAP en doe eens een LAN scan met het volgende commando

nmap -p numX-numY <server_IP>

numX => 43000
numY => 43999
<server_IP> => LAN Server Static IP

Dan komt er als goed is een lijst terug

PORT      STATE
43000 open
43001 open
.... enz

Maar, zoals @Waqqas ook al aangeeft …. op een Privé LAN 999 poorten open zetten, is net als je LAN in DMZ plaatsen …. BRRRR


Hmm, als ik op de server (ubuntu) "nc -l -43000” run en dan met NMAP vanaf mijn pc 43000 scan (nmap -p 43000 <ip>  dan geeft NMAP aan dat de poort wel open is. Ook gedaan voor een aantal andere poorten en dat lijkt te werken. Ik denk dus dat het intern goed gaat. Zijn er nog overige settings die in de modem gedaan moeten worden?

 

Bedankt voor jullie hulp tot dusver!


Dat de server reageert op die poorten klopt, maar je hebt er zelf iets op ‘aan’ gezet dat luistert op die betreffende poort.

 

 

Het gaat erom denk ik dat je de applicatie die al draait een response laat geven, dus zonder dat je eerst een listener opstart met nc -l <poortnummer>.

Wat je wel kan doen als je toch gebruik wilt maken van de nc -l 43500 command, test dan nog eens of die poort nu ook vanaf je WAN luistert. Als dat zo is, weet je ook dat je port forwarding rule werkt.


Bedankt voor je uitgebreide antwoord! Ik heb me wat verder ingelezen en nadat ik vandaag alles weer ben nagelopen, kwam ik erachter dat een oud  public ip-adres van de modem gebruikt ipv de huidige voor het extern checken van de poort. 😅 Stom natuurlijk! Alles lijkt nu te werken zoals het moet. 

 

Naar aanleiding van jullie advies heb ik ook het aantal poorten verkleint tot 100. In welke zin bevordert dit de beveiliging? Is het puur dat EN het IP EN de poort scannen langer duurt als het een specifiek IP en een kleine poortrange is? In principe is het 'gewoon’ te doen om alle IPs en poorten te scannen toch? 


Hallo @groenteboer, blij dat het nu werkt met het correcte WAN IP als test.

Denk dat we er stilzwijgend vanuit gingen dat je de test wel op de juiste WAN IP deed, maar toch weer even ingetrapt. Net als kort geleden dat ik toch iemand vroeg of voor een inlog de user en paswoord correct was, waar ik ook stilzwijgend vanuit ging … toch die vraag gesteld, hoe simpel is het soms ook.

Elke poort die je openzet, is al een uitnodiging om je locale netwerk te gaan onderzoeken.

Kun je dit niet apart in de DMZ plaatsten, of is dat een te groot risico?

 


Tja, dit soort dingen gebeuren toch makkelijk. Ik ga het inrichten van een DMZ nu ook maar onderzoeken. Bedankt voor je hulp! 


Reageer