Sicheres Port Forwarding: NAT+ACL-Patterns für Public Apps

Port Forwarding ist eine gängige Technik, um interne Services für externe Clients verfügbar zu machen. Ohne gezielte Absicherung können Public Applications jedoch zur Angriffsfläche werden. Die Kombination aus NAT und ACLs ermöglicht ein kontrolliertes und sicheres Port Forwarding, indem nur autorisierte Verbindungen zugelassen werden und der Rest geblockt wird. Dieser Leitfaden zeigt praxisnahe Patterns für Public Apps, inklusive CLI-Beispielen und Best Practices.

Grundprinzipien von sicherem Port Forwarding

Sicheres Port Forwarding basiert auf zwei Säulen: NAT für die Adressübersetzung und ACLs für Zugriffskontrolle.

• Nur notwendige Ports und Protokolle öffnen
• Quelladressen oder -netze einschränken
• Logging zur Überwachung des externen Zugriffs
• Fallback-Mechanismen für Service-Ausfälle definieren

Static NAT für öffentliche Services

Statische NAT-Einträge legen fest, welche interne IP und Portnummer von außen erreichbar ist.

Router(config)# ip nat inside source static tcp 10.0.0.10 80 203.0.113.10 80 extendable
Router(config)# ip nat inside source static tcp 10.0.0.10 443 203.0.113.10 443 extendable

• Nur spezifische Ports für Web-Services freigeben
• „extendable“ erlaubt mehrere Einträge ohne Konflikte
• Dokumentation der NAT-Einträge für Audits

ACLs zur Zugriffsbeschränkung

ACLs verhindern, dass unautorisierte Hosts die NAT-Services erreichen.

Router(config)# ip access-list extended PUBLIC_WEB
Router(config-ext-nacl)# permit tcp host 198.51.100.50 any eq 80
Router(config-ext-nacl)# permit tcp host 198.51.100.50 any eq 443
Router(config-ext-nacl)# deny ip any any

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group PUBLIC_WEB in

• Nur definierte externe Hosts oder Subnetze erlauben
• Alle anderen Zugriffe blocken
• Logging aktivieren für Überwachung und Compliance

Port Forwarding für mehrere Services

Für mehrere interne Services kann die Kombination aus NAT und ACLs für jedes Service individuell gestaltet werden.

Router(config)# ip nat inside source static tcp 10.0.0.20 22 203.0.113.20 2222 extendable
Router(config)# ip nat inside source static tcp 10.0.0.30 3389 203.0.113.30 3389 extendable

Router(config)# ip access-list extended PUBLIC_SERVICES
Router(config-ext-nacl)# permit tcp host 198.51.100.100 any eq 2222
Router(config-ext-nacl)# permit tcp host 198.51.100.101 any eq 3389
Router(config-ext-nacl)# deny ip any any

Router(config)# interface GigabitEthernet0/0
Router(config-if)# ip access-group PUBLIC_SERVICES in

• Port Mapping und Quellbeschränkung für jeden Service separat
• Fehlerrate minimieren durch klare ACL-Regeln
• Logging für alle Services aktivieren

VRF-Isolation für Public Apps

VRFs können helfen, interne und externe Services zu trennen und NAT nur in der entsprechenden VRF zu erlauben.

Router(config)# ip vrf PUBLIC
Router(config-vrf)# rd 100:1

Router(config)# interface GigabitEthernet0/1
Router(config-if)# vrf forwarding PUBLIC
Router(config-if)# ip address 203.0.113.10 255.255.255.0

Router(config)# ip nat inside source list 101 vrf PUBLIC pool PUBLIC_POOL overload

• Trennung von Public- und Private-Netzen
• Kontrollierte NAT-Einträge nur innerhalb der VRF
• Interne Services bleiben isoliert

Monitoring und Audit

Regelmäßige Überprüfung der NAT- und ACL-Einträge verhindert unerwünschten Zugriff und ermöglicht Compliance.

Router# show ip nat translations
Router# show ip nat statistics
Router# show access-lists
Router# show logging

• Alle NAT-Einträge regelmäßig prüfen
• Unautorisierte Verbindungen analysieren
• Audit-Logs sichern für Compliance

Best Practices für Public Apps

• Nur notwendige Ports und Services öffentlich machen
• ACLs restriktiv definieren, Source-IP einschränken
• VRFs für Isolation von Public- und Internal-Traffic verwenden
• Logging aktivieren und regelmäßig auswerten
• Statische NATs bevorzugen, dynamische Pools nur bei Bedarf
• Backup der NAT- und ACL-Konfigurationen erstellen
• Regelmäßige Audit-Überprüfung und Dokumentation
• Change-Management-Prozess für NAT/ACL-Änderungen einhalten
• Testumgebung für neue NAT-Patterns nutzen

Zusätzliche Empfehlungen

• Redundante NAT-Pools und Interfaces für Hochverfügbarkeit
• Integration mit Firewall-Regeln für zusätzlichen Schutz
• Schulung der Administratoren zu sicheren NAT- und ACL-Patterns
• Temporäre NAT-Einträge nur nach Freigabe aktivieren
• Regelmäßige Review-Zyklen zur Anpassung an neue Public Services

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.