Port Forwarding auf Cisco: Dienste sicher veröffentlichen

Port Forwarding auf Cisco Routern wird in der Regel über Static NAT mit Port-Übersetzung (Static PAT) umgesetzt. Damit leitest du eingehende Verbindungen auf eine öffentliche IP:Port-Kombination gezielt an einen internen Server weiter – z. B. HTTP/HTTPS oder RDP. „Sicher veröffentlichen“ heißt dabei: nur notwendige Ports weiterleiten, Zugriff per ACL einschränken, Logging/Verifikation durchführen und – wenn möglich – lieber VPN/Reverse Proxy statt direkte Exponierung nutzen.

Was ist Port Forwarding auf Cisco (Static PAT)?

Beim Port Forwarding bleibt die öffentliche IP gleich, aber ein definierter Port wird auf einen internen Host (Inside Local) und einen internen Port umgesetzt. Der Router erstellt dafür eine feste Übersetzung.

• Public IP:Port → Private IP:Port
• Feste Regel (statisch), ideal für Services
• Mehrere Dienste möglich, jeweils mit eigenem Port-Mapping

Mapping-Prinzip

$\text{203.0.113.10:443} \to \text{192.168.10.10:443}$

Beispiel-Topologie (praxisnah)

Ein Router verbindet LAN und Internet. Ein interner Webserver soll von außen über HTTPS erreichbar sein. Zusätzlich wird optional HTTP auf HTTPS umgeleitet (oder separat weitergeleitet).

• Inside LAN: 192.168.10.0/24
• Server intern: 192.168.10.10
• Outside/WAN: 203.0.113.2/30, Provider GW 203.0.113.1
• Public Service IP: 203.0.113.10 (zu deinem Router geroutet)

Voraussetzungen: Inside/Outside und Routing stimmen

Ohne korrekte NAT-Zonen und Default Route wird Port Forwarding nicht funktionieren. Zusätzlich muss der Provider die öffentliche Service-IP zu deinem Router routen.

Interfaces konfigurieren und NAT-Zonen setzen

Router# configure terminal
Router(config)# interface gigabitEthernet0/0
Router(config-if)# description INSIDE-LAN
Router(config-if)# ip address 192.168.10.1 255.255.255.0
Router(config-if)# ip nat inside
Router(config-if)# no shutdown
Router(config-if)# exit
Router(config)# interface gigabitEthernet0/1

Router(config-if)# description OUTSIDE-WAN

Router(config-if)# ip address 203.0.113.2 255.255.255.252

Router(config-if)# ip nat outside

Router(config-if)# no shutdown

Router(config-if)# end

Default Route zum Provider

Router# configure terminal
Router(config)# ip route 0.0.0.0 0.0.0.0 203.0.113.1
Router(config)# end

Schritt 1: Port Forwarding (Static PAT) konfigurieren

Für HTTPS leitest du TCP/443 auf den internen Server weiter. Du kannst auch externe Ports auf interne Ports umsetzen (z. B. außen 8443 → innen 443), wenn du Ports „verstecken“ willst.

HTTPS 1:1 weiterleiten (443 → 443)

Router# configure terminal
Router(config)# ip nat inside source static tcp 192.168.10.10 443 203.0.113.10 443
Router(config)# end

Optional: Extern 8443 → intern 443 (Port-Translation)

Router# configure terminal
Router(config)# ip nat inside source static tcp 192.168.10.10 443 203.0.113.10 8443
Router(config)# end

Optional: HTTP (80) weiterleiten

Router# configure terminal
Router(config)# ip nat inside source static tcp 192.168.10.10 80 203.0.113.10 80
Router(config)# end

Schritt 2: Zugriff absichern (Outside-ACL als Pflicht)

Port Forwarding veröffentlicht einen Dienst – ohne ACL ist er potentiell aus dem gesamten Internet erreichbar. Best Practice ist, eingehende Ports am Outside-Interface explizit zu erlauben und alles andere zu blockieren.

Beispiel: HTTPS nur von definierten Quellnetzen erlauben

Wenn du feste Admin-IP-Ranges hast (z. B. Firmenstandorte), erlaube nur diese. Ansonsten mindestens nur die benötigten Ports zulassen.

Router# configure terminal
Router(config)# ip access-list extended OUTSIDE_IN
Router(config-ext-nacl)# permit tcp 198.51.100.0 0.0.0.255 host 203.0.113.10 eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface gigabitEthernet0/1

Router(config-if)# ip access-group OUTSIDE_IN in

Router(config-if)# end

Beispiel: HTTPS aus dem Internet erlauben (nur Port 443)

Router# configure terminal
Router(config)# ip access-list extended OUTSIDE_IN
Router(config-ext-nacl)# permit tcp any host 203.0.113.10 eq 443
Router(config-ext-nacl)# deny ip any any
Router(config-ext-nacl)# exit
Router(config)# interface gigabitEthernet0/1

Router(config-if)# ip access-group OUTSIDE_IN in

Router(config-if)# end

Schritt 3: Verifikation (NAT, ACL, Service)

Verifiziere immer in drei Ebenen: NAT-Regel vorhanden, ACL erlaubt Zugriff, Server antwortet auf dem Zielport. Ohne Traffic siehst du in der Translation-Tabelle bei Static PAT trotzdem die feste Zuordnung.

NAT-Übersetzungen prüfen

Router# show ip nat translations
Router# show ip nat statistics
Router# show running-config | include ip nat inside source static tcp

ACL-Treffer prüfen

Router# show access-lists OUTSIDE_IN
Router# show ip interface gigabitEthernet0/1

End-to-End Test (von extern)

ExternalHost$ curl -vk https://203.0.113.10/
ExternalHost$ nc -vz 203.0.113.10 443

Sicherheits-Best-Practices für veröffentlichte Dienste

Port Forwarding ist immer ein Risiko, weil du direkt aus dem Internet in ein internes Netz öffnest. Mit diesen Maßnahmen reduzierst du Angriffsfläche und Incident-Risiko deutlich.

• Nur benötigte Ports forwarden (kein „Alles öffnen“)
• Zugriff auf Source-IP-Ranges begrenzen (ACL)
• Management-Ports (z. B. RDP/SSH) möglichst nicht direkt veröffentlichen
• Stattdessen: VPN, Jump Host oder Reverse Proxy/WAF
• Serverseitig Hardening: Updates, Firewall, Rate Limits, Logs

Typische Fehler und schnelle Fixes

Wenn Port Forwarding nicht funktioniert, liegt es meist an Routing beim Provider, falschen Inside/Outside-Zonen oder ACLs, die den Traffic blocken. Auch der Server selbst (Service nicht gestartet, lokale Firewall) ist häufig die Ursache.

• Provider routet 203.0.113.10 nicht zu deinem Router
• ip nat inside/ip nat outside fehlt oder vertauscht
• Outside-ACL blockiert Port oder falsche Ziel-IP
• Server lauscht nicht auf Port (oder Host-Firewall blockt)
• Hairpin NAT erwartet (intern auf Public IP) – nicht automatisch gegeben

Quick-Checks

show ip interface brief
show ip route | include Gateway|0.0.0.0
show running-config | include ip nat inside source static tcp
show ip nat translations
show access-lists OUTSIDE_IN
show ip interface gigabitEthernet0/1

Rollback: Port Forwarding entfernen

Zum Entfernen löschst du die Static-PAT-Zeile exakt und entfernst bei Bedarf die ACL-Einträge.

Router# configure terminal
Router(config)# no ip nat inside source static tcp 192.168.10.10 443 203.0.113.10 443
Router(config)# end

Konfiguration speichern

Wenn NAT-Translations sichtbar sind, ACL-Counter steigen und der Service von außen erreichbar ist, speichere die Konfiguration.

Router# copy running-config startup-config

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab (CCNA)

Hallo! Ich bin ein CCNA-Network Engineer und unterstütze Sie bei Cisco Router- und Switch-Konfigurationen – inklusive eines vollständigen Cisco Packet-Tracer-Labs (.pkt). Ideal für Lern-/Übungsszenarien, Validierung oder eine saubere Demo-Topologie.

Was ich (je nach Paket) umsetze

• Switching: VLANs, Trunking (802.1Q), Port-Zuweisung, STP-Basics (PortFast/BPDU Guard wo sinnvoll)

• Routing: Default/Static Routing oder OSPF, Inter-VLAN Routing (Router-on-a-Stick)

• Services: DHCP (Pools/Scopes), NAT/PAT für Internet-Simulation

• Optional Security: Basic ACLs und SSH-Hardening

• Test & Verifikation: Ping/Traceroute + wichtige Show-Commands (mit erwarteten Ergebnissen)

Sie erhalten

• ✅ Packet Tracer .pkt Datei

• ✅ Saubere Konfigurations-Notizen pro Gerät

• ✅ Verifikations-Checkliste + erwartete Outputs

• ✅ Kurze Dokumentation (wie die Topologie funktioniert)

Bitte schreiben Sie mir vor der Bestellung, damit wir Scope, Packet-Tracer-Version, Geräteanzahl und Deadline klären.

Konfiguriere Cisco Router & Switches | Cisco Packet-Tracer-Labs. Finden Sie mich auf Fiverr.