Naar de inhoud
Avanet

Server via DNAT op Sophos Firewall publiceren

Sophos Firewall

Met DNAT publiceer je een interne server via een publiek IP-adres of een publieke poort. De Sophos Firewall stuurt inkomend verkeer dan door naar de interne doelserver. Typische voorbeelden zijn webservers, reverse proxies, VPN-gateways of andere diensten in een DMZ.

Deze handleiding toont welke punten je voor en na een DNAT-regel moet controleren en hoe je de publicatie zo strikt mogelijk beveiligt.

Vereisten

  • Publiek IP-adres of WAN-interface
  • Interne server met vast IP-adres
  • Bekende dienst en poort, bijvoorbeeld TCP 443
  • Passende firewallregel
  • Optioneel: IPS, Webserver Protection of Reverse Proxy afhankelijk van de dienst

⚠️ DNAT publiceert een interne dienst naar buiten. Elke gepubliceerde dienst vergroot het aanvalsoppervlak. Publiceer alleen wat echt nodig is en beperk bron, poort en doel zo strikt mogelijk.

Vooraf verduidelijken

Beantwoord voor het aanmaken van de regel deze vragen:

  • Welk publiek IP of welke WAN-interface wordt gebruikt?
  • Welke externe poort moet bereikbaar zijn?
  • Naar welk intern IP wordt doorgestuurd?
  • Blijft de poort gelijk of wordt ze vertaald?
  • Moet toegang vanaf overal of alleen vanaf bepaalde bronnetwerken worden toegestaan?
  • Moet Source NAT of Reflexive NAT worden meegenomen?
  • Is er een Loopback-regel nodig voor interne clients die de publieke FQDN gebruiken?
  • Wordt één interne server gepubliceerd of meerdere servers met Load Balancing?
  • Bestaat er al een regel die dezelfde poort gebruikt?
  • Staat de Sophos Firewall direct aan internet of achter een providerrouter?
  • Moeten er extra regels in een Cloud Security Group worden geopend?

Deze informatie voorkomt latere conflicten met bestaande NAT- of firewallregels.

Als de firewall achter een router staat

DNAT werkt ook wanneer de Sophos Firewall niet zelf het publieke IP-adres bezit, maar achter een NAT-router van de provider staat.

In dat geval zijn twee doorsturingen nodig:

  1. Op de providerrouter wordt de publieke poort doorgestuurd naar het WAN-IP van de Sophos Firewall.
  2. Op de Sophos Firewall wordt de poort via DNAT doorgestuurd naar de interne server.

Veel providerrouters bieden hiervoor klassieke port forwarding of een functie zoals Exposed Host of DMZ Host. Bij een Exposed-Host-functie worden vaak zeer veel of alle inkomende poorten naar de firewall doorgestuurd. Dat kan praktisch zijn, maar moet bewust worden beveiligd, omdat de volledige controle dan op de Sophos Firewall ligt.

Als er geen vast publiek IP beschikbaar is, kun je DynDNS gebruiken. De Sophos Firewall kan Dynamic DNS instellen, zodat een DNS-naam altijd naar het actuele publieke IP wijst. Belangrijk blijft: de port forwarding op de providerrouter moet naar de Sophos Firewall wijzen.

In cloudomgevingen geldt hetzelfde principe. Bij Azure is de DNAT-regel op de Sophos Firewall alleen niet voldoende. Daarnaast moeten de passende Inbound rules in de Network Security Group worden geopend, anders bereikt het verkeer de firewall helemaal niet.

DNAT-regel aanmaken

Een typisch DNAT-voorbeeld:

  • Original source: Any of gedefinieerde bronnetwerken
  • Original destination: WAN-IP of WAN-interface
  • Original service: HTTPS
  • Translated destination: interne server
  • Translated service: ongewijzigd of interne doelpoort

Werkwijze:

  1. Rules and policies openen.
  2. Naar het onderdeel NAT rules gaan.
  3. Nieuwe NAT-regel aanmaken.
  4. Original Source, Destination en Service definiëren.
  5. Translated Destination op de interne server zetten.
  6. Optioneel Translated Service instellen.
  7. Regel opslaan en activeren.

Als slechts enkele externe bron-IP-adressen toegang nodig hebben, moet Original Source niet Any zijn, maar tot deze bronnen worden beperkt.

Sophos Firewall - DNAT-regel met publiek IP, externe poort en interne doelserver
Sophos Firewall - Rules and policies > NAT rules > DNAT

Original en Translated correct begrijpen

Bij NAT-regels is het onderscheid tussen Original en Translated belangrijk.

  • Original source / destination / service beschrijft het verkeer zoals het bij de Sophos Firewall aankomt.
  • Translated source / destination / service beschrijft het verkeer zoals het de Sophos Firewall na de vertaling weer verlaat.

Voor een inkomende DNAT-regel betekent dit:

  • Original destination is het publieke IP of WAN-adres van de firewall.
  • Original service is de externe poort die de client aanspreekt.
  • Translated destination (DNAT) is de interne server.
  • Translated service (PAT) is de interne poort op de doelserver, als de poort vertaald moet worden.
  • Translated source (SNAT) blijft bij normale DNAT-regels meestal op Original.

Sophos beschrijft de velden in de officiële handleiding Add a NAT rule.

Port Forwarding en PAT

Port Forwarding is technisch een service-translation. Op de Sophos Firewall wordt daarvoor Translated service (PAT) gebruikt.

Voorbeeld:

  • Extern: TCP 20120
  • Intern: TCP 22

De externe client verbindt met poort 20120, maar de Sophos Firewall stuurt intern door naar SSH-poort 22. Dat kan zinvol zijn, maar vervangt geen toegangsbeperking. Een gewijzigde externe poort vermindert misschien wat achtergrondruis, maar maakt een dienst niet veilig.

Belangrijk: het protocol moet gelijk blijven. TCP kan naar een andere TCP-poort worden vertaald, UDP naar een andere UDP-poort. TCP naar UDP is geen geldige poortvertaling.

Als HTTPS wordt gepubliceerd, moet je bovendien controleren of er conflicten zijn met WebAdmin of User Portal van de Sophos Firewall. Standaard gebruikt de adminconsole HTTPS-poort 4444, het User Portal HTTPS-poort 443. Bij overlappingen moeten de eigen firewallpoorten of de gepubliceerde diensten netjes worden gescheiden.

Loopback, Reflexive en Linked NAT Rules

Sophos kent meerdere NAT-opties die makkelijk worden verward:

  • Loopback rule: Helpt wanneer interne clients een interne server via het publieke IP of de publieke DNS-naam moeten bereiken.
  • Reflexive rule: Maakt een gespiegelde SNAT-regel bij een DNAT-regel, zodat retourverkeer of bepaalde tegenrichtingen passend worden vertaald.
  • Linked NAT rule: Wordt vanuit een firewallregel aangemaakt en is een gekoppelde SNAT-regel. Dit is niet hetzelfde als een inkomende DNAT-regel voor een gepubliceerde server.

Voor klassieke serverpublicaties is meestal een zelfstandige DNAT-regel plus passende firewallregel het overzichtelijkst. Linked NAT Rules kunnen zinvol zijn wanneer een firewallregel direct een speciale SNAT-vertaling nodig heeft. Voor algemene omgevingen raadt Sophos echter aan NAT-regels zo onafhankelijk en eenvoudig mogelijk te houden, in plaats van onnodig veel gekoppelde NAT-regels per firewallregel te maken.

Load Balancing en Health Check

Als meerdere interne servers achter één publiek IP worden gepubliceerd, kan DNAT ook voor Load Balancing of Failover worden gebruikt.

Mogelijke methoden zijn bijvoorbeeld:

  • Round robin
  • First alive
  • Random
  • Sticky IP
  • One-to-one

Als de firewall moet herkennen of een doelserver beschikbaar is, moet een Health check worden geconfigureerd. Zonder Health Check kan de firewall verkeer ook naar een server sturen die niet bereikbaar is.

Firewallregel controleren

Een NAT-regel alleen staat het verkeer niet automatisch toe. Daarnaast is een passende firewallregel nodig.

De firewallregel moet definiëren:

  • Source zone: meestal WAN
  • Source network: zo strikt mogelijk beperkt
  • Destination zone: zone van de interne server, bijvoorbeeld DMZ
  • Destination network: interne server
  • Services: alleen benodigde poorten
  • Security-profielen: afhankelijk van de dienst IPS, Malware Scan of Web Policy
  • Logging: inschakelen

Zonder passende firewallregel wordt het verkeer ondanks DNAT verworpen.

Sophos Firewall - firewallregel passend bij de DNAT-regel met beperkte bronnetwerken
Sophos Firewall - firewallregel passend bij de DNAT-regel

Ook bij NAT-regels geldt de volgorde. Sophos controleert NAT-regels van boven naar beneden en gebruikt de eerste passende regel. Een te algemene NAT-regel erboven kan daarom verhinderen dat de specifieke DNAT-regel wordt gebruikt.

Toegang zo strikt mogelijk beperken

Niet elke gepubliceerde dienst hoeft vanaf het volledige internet bereikbaar te zijn. Waar mogelijk moet je de toegang beperken.

Zinvolle beperkingen:

  • Alleen individuele bron-IP-adressen toestaan.
  • Alleen bekende FQDN-hosts toestaan wanneer de tegenpartij dynamische IP’s gebruikt.
  • Alleen bepaalde landen toestaan.
  • Bepaalde landen expliciet blokkeren.
  • Toegang alleen via VPN mogelijk maken.
  • In plaats van directe publicatie een ZTNA-oplossing gebruiken.

Voor administratieve diensten zoals SSH, RDP of interne adminportalen is DNAT meestal niet de beste oplossing. Als toegang niet publiek hoeft te zijn, is VPN of ZTNA bijna altijd de betere keuze.

Meer informatie:

Beveiliging verbeteren

Voor gepubliceerde diensten moet je controleren:

  • Is de server actueel gepatcht?
  • Is er een WAF- of Reverse-Proxy-optie?
  • Is IPS op de firewallregel actief?
  • Zijn alleen noodzakelijke poorten geopend?
  • Wordt de dienst gelogd?
  • Zijn er Geo-IP-, Threat-Feed- of bron-IP-beperkingen?
  • Is MFA mogelijk als het om een portaal gaat?

Voor webapplicaties kan in plaats van puur DNAT ook Web Server Protection zinvol zijn.

Bots en Threat Feeds

Publieke poorten zoals HTTP, HTTPS, SSH of RDP staan permanent in de focus van bots. Zodra een poort op internet bereikbaar is, zie je vaak zeer snel verbindingspogingen, scans, loginpogingen of exploitverkeer in de Log Viewer.

Dat betekent niet automatisch dat de server gecompromitteerd is. Het laat wel zien dat de dienst deel uitmaakt van het publieke aanvalsoppervlak. Daarom raden we aan gepubliceerde diensten aanvullend te beveiligen met IPS, logging, strikte bronnen en Third-Party Threat Feeds.

Threat Feeds leveren de firewall voortdurend actuele Indicators of Compromise, bijvoorbeeld kwaadaardige IP-adressen of domeinen. Daardoor kan de firewall bekende aanvallers, botnets of scanners blokkeren voordat ze de gepubliceerde dienst bereiken.

Meer hierover: Sophos Firewall Threat Feeds

Test

Na het aanmaken van de DNAT-regel:

  • Test vanaf een extern netwerk, niet vanuit hetzelfde LAN
  • Portscan op het publieke IP controleren
  • Log Viewer op NAT- en firewall-events controleren
  • Serverlogs controleren
  • Controleren of de client de verwachte bron-IP ziet

Als de test vanuit het interne LAN naar het publieke IP moet gebeuren, kan aanvullend Hairpin NAT of een interne DNS-oplossing nodig zijn.

Troubleshooting

Veelvoorkomende fouten:

  • Firewallregel ontbreekt
  • verkeerd WAN-IP gekozen
  • port forwarding op de providerrouter ontbreekt
  • Azure Network Security Group blokkeert de poort
  • dienst draait intern niet
  • servergateway wijst niet naar de Sophos Firewall
  • NAT-regel staat onder een andere regel die eerder matcht
  • poort wordt al door een andere dienst gebruikt
  • Loopback ontbreekt wanneer interne clients de publieke FQDN gebruiken
  • Health Check ontbreekt of is verkeerd wanneer Load Balancing wordt gebruikt
  • test gebeurt vanuit het interne netwerk en niet vanaf extern

De Log Viewer is bij DNAT-problemen het belangrijkste startpunt. Daar zie je of verkeer aankomt, welke regel matcht en of het wordt toegestaan of verworpen.

Aanbeveling

DNAT-regels moeten regelmatig worden gecontroleerd. Oude publicaties zijn een typisch beveiligingsrisico. Goede documentatie bevat doel, doelserver, externe poorten, verantwoordelijke persoon, vervaldatum en laatste controle.