Freischaltung von IP-Adressen

Allgemein

Rechner, welche vom Internet her zugänglich sein müssen (zum Beispiel WWW-Server, Mailserver), müssen auf der Firewall des NUZ (Transistor) registriert sein. Fehlt diese Registrierung, können aus dem Internet keine Verbindungen auf diese Rechner erfolgen. Der umgekehrte Weg, also vom Rechner im NUZ ins Internet, ist generell möglich.

Mit dem Freischalt-Tool open_ip haben Sie als Netzwerk- oder IT-Verantwortliche die Möglichkeit, Rechner aus ihrem Bereich freizuschalten, welche Zugang vom Internet her haben müssen. Sie können ganz freigeschaltet werden, nur für eine Klasse oder für eine Kombination der Klassen. Es können nicht beliebig einzelne Ports einzelner Rechner freigeschaltet werden.

Ohne Wahl einer Klasse ist ein Rechner voll zugänglich. In der Klasse SSH nur für TCP Port 22. In der Klasse WWW nur für TCP Ports 80, 8080, 443 und 8443. Es gibt generelle Ausnahmen, die Sie unter aktive Filter studieren können. Insbesondere gibt es Ports für bewilligungspflichtige Dienste (VPN-Server u.a.), die von den ID bewirtschaftet werden.

Beachten Sie, dass Rechner auf den freigeschalteten Ports aus der ganzen Welt angegriffen werden können. Stellen Sie also sicher, dass alle Security-Fixes eingespielt werden, dass die Maschine gegen Angriffe von aussen gesichert ist und dass nur starke Passwörter gültig sind. Es besteht auch die Gefahr, dass Hacker oder Viren unbemerkt auf nicht verwendeten freigeschalteten Ports weltweite Zugänge für ungute Zwecke schaffen.

Das Freischalt-Tool open_ip

Unter der Adresse https://www.uzh.ch/cgi-bin/ssl-dir/netzkoord/open_ip können Sie mit Ihrer NW-Verantwortlichen-Berechtigung einloggen und IP-Adressen aus Ihrem Bereich freischalten, das heisst aus dem Internet zugänglich machen. Sie erhalten nach dem Login zwei Tabellen:

  1. Ihre aktuell freigeschaltenten IP-Nummern, mit der Möglichkeit, die Freischaltung zu löschen. (Gewünschte Selektieren und dann Submit-Knopf unter der Liste anklicken)
  2. Ihre IP-Nummern, welche nicht freigeschaltet sind. Hier erhalten Sie die IP-Nummer als Knopf. Wählen Sie neben diesem Knopf die gewünschten Klassen an und klicken ihn dann zur Aktivierung. Keine Anwahl bedeutet Freischaltung für Alles.

Die Auswahl der zu Ihrem Bereich gehörenden Maschinen erhalten Sie aufgrund der IP-Namen, welche im DNS eingetragen sind. Es ist also nur möglich, die Freischaltung der Maschinen zu bearbeiten, welche im Nameserver der Zentralen Informatik eingetragen sind und somit über einen IP-Namen verfügen. Das Host-Präfix des Instituts (zum Beispiel "id" für Maschinen der Zentralen Informatik) ist jeweils Teil des Namens und dient im Freischalt-Tool als Kriterium, ob eine Maschine von Ihnen verwaltet werden kann. Institute mit einer eigenen Subdomain *.uzh.ch können im Moment alle zu Ihrem IP-Adressbereich gehörenden Adressen freischalten.

Bevor Sie also eine Maschine freischalten können, muss diese im Nameserver eingetragen werden. Verwenden Sie dazu bitte das bereitgestellte Formular und beachten Sie die dazugehörige Dokumentation. Ist eine Maschine im Nameserver eingetragen, können Sie diese für den Zugang aus dem gesamten Internet freischalten, wenn dies notwendig sein sollte. Die Mutationen d.h. Freischaltungen werden stündlich (zur vollen Stunde) aktiviert.

Wichtig: Neu erstellte DNS Einträge sind im open_ip erst nach einiger Zeit ersichtlich. DNS Einträge die am Morgen erstellt wurden, sind ab ca. 13:00 im open_ip ersichtlich und die am Nachmittag erstellten nach Mitternacht.

Probleme

Sollte Ihnen die Freischaltung Probleme bereiten oder eine Maschine nicht aufgeführt sein, obwohl sie von Ihnen verwaltet wird und sie im Nameserver eingetragen ist, benutzen Sie bitte das Formular Firewall-Problem.