-uLtrA- Geschrieben 11. Juli 2007 Teilen Geschrieben 11. Juli 2007 Hallo Leute, ich stehe mal wieder vor einem kleinem Problemchen, ich finde keinen Ansatzpunkt, evtl kann mir wer weiterhelfen. Szenario: Alles Debian 4.0 Systeme Standort: Rechenzentrum Betrieb eines Switches, das 2x VLAN's hat. - extern (öffentliche IP-Adressen) - intern (ein intern benutzter Adressbereich) Webserver, Mailserver sind natürlich öffentlich drangeklatscht. Datenbankserver, Managment-Consolen (RSA von IBM) nur im internen VLAN, greife über VPN zu. Jetzt suche ich nach einer Möglichkeit wie ich einen Server der sowohl im internen als auch im externen VLAN einen Port hat so pimpen kann, das er als Router dient. (nein ich suche nicht sowas wie m0n0wall oder IPcop) Das Gerät soll das nur nebenbei machen, also keine dedizierte Sache. Ich würde gerne meinen Mailserver nehmen (öffentlicher Port + intern Port besitzt dieser) IP intern: 192.168.0.2 Jetzt möchte ich quasi auf meinen internen Geräten diesen Mailserver als Gateway eintragen können, das meine internen Geräte auf Wunsch nach außen kommunzieren können. Mir geht es darum, auch apt-get's bei diesen internen Geräten auszuführen, und E-Mail Alerts kann ich von den internen Managment-Consolen sonst auch nicht raus ins weite www schicken Ich wüsste jetzt nicht was ich machen soll? Was gibt es denn so für Linux? Evtl. noch bissl Port Forwarding als Funktionalität. Ich glaub nämlich ich bin zu dumm für iptables, oder ist genau das der richtige Ansatz? Danke für alle Antworten! gruß Jens Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
carstenj Geschrieben 11. Juli 2007 Teilen Geschrieben 11. Juli 2007 Hi, du musst einfach nur /proc/sys/net/ipv4/ip_forward auf 1 setzen, dann kannst du routen. Oder was war die Frage? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-uLtrA- Geschrieben 12. Juli 2007 Autor Teilen Geschrieben 12. Juli 2007 o0, sicher? Hab das schon an wegen VPN... mhh sicher das dass alles ist? Muss ich nochmal checken. Das wäre ja genial Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Vork Geschrieben 12. Juli 2007 Teilen Geschrieben 12. Juli 2007 Hi, du musst einfach nur /proc/sys/net/ipv4/ip_forward auf 1 setzen, dann kannst du routen. Oder was war die Frage? ... und du hast ein offenes Tor.... ( wenn ich deine Konstellation richtig verstanden habe...) bau dir ein entsprechendes iptables script.... evtl. interessant für dich: IPtables lg Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-uLtrA- Geschrieben 12. Juli 2007 Autor Teilen Geschrieben 12. Juli 2007 Danke Vork! Ja weil alles wollt ich jetzt auch nicht herrauslassen! Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-uLtrA- Geschrieben 19. Juli 2007 Autor Teilen Geschrieben 19. Juli 2007 Hallo nochmal, noch eine Frage, da muss es doch sicher schon was fertiges geben? Sowas wie m0n0wall (ipcop) Allerdings nicht dediziert.. Ich habe zwar einiges jetzt hinbekommen, hänge allerdings noch beim connecten von "innen" nach draußen. Beispiel: Mailserver: eth0 : öffentliche IP eth1: 192.168.0.2 ip_forward 1 (Dient auch als VPN Gateway (virtuelle Route 10.8.0.0/24) Blöhda interner DB-Server eth1: 192.168.0.4 Routingeintrag das er alle Anfragen die 10.8.0.0/24 betreffen über den gateway 192.168.0.2 schicken soll. (Funktioniert prima! Beispiel: ssh Connection mit meinem VPN-Client daheim) Da dieser Server keine Schnittstelle bzw. öffentliche IP besitzt kann er keine Anfragen nach draußen senden. Ich hatte gedacht, das es ausreicht wenn ich unter interfaces gateway 192.168.0.2 reinschreibe. Allerdings gehen trotzdem keine Pakete nach draußen. Habe ich etwas übersehen? Oder muss ich irgendwie noch eine Route eintragen? gruß Jens Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Vork Geschrieben 20. Juli 2007 Teilen Geschrieben 20. Juli 2007 Jetzt mal ne ganze doofe Frage, wenn du eine FW auf deinem Gateway laufen hast, hast du doch auch bestimmt dem db erlaubt das er nach draußen über das eth1-->eth0 darf.... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-uLtrA- Geschrieben 20. Juli 2007 Autor Teilen Geschrieben 20. Juli 2007 nein eth0 ist dicht. bzw. ausgestöpselt Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dgr243 Geschrieben 28. Juli 2007 Teilen Geschrieben 28. Juli 2007 schau dir sonst mal firehol an ... ist nen konsolen frontend für iptables und einfacher zu konfigurieren. damit machst du entsprechend die freigaben, die du brauchst. im anschluss ans testen ein iptables-save > /home/<whoever>/iptables.list und nu kannste dir schöön ansehen, was deine gewählte firehol config dir an iptables generiert. die iptables sind nicht unbedingt schön, aber recht einfach verständlich. ip forwarding und ggf. nat und evtl. weitere module (ip_nat_ftp besipielsweise.. man bricht sich sonst gern die finger ) werden auch mitgeladen. Link --> FireHOL, a Linux iptables packet filtering firewall builder for humans... insbeondere das tut auf der site ist sehr angenehm Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
-uLtrA- Geschrieben 29. Juli 2007 Autor Teilen Geschrieben 29. Juli 2007 wow Danke! Haben uns nur mittlerweile für eine Appliance entschieden und ein richtigen Hardware Firewall Router bestellt. Ist mir ehrlich gesagt auch lieber gruß Jens Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
dgr243 Geschrieben 29. Juli 2007 Teilen Geschrieben 29. Juli 2007 joah korrekterweise sollte die firewall natürlich einzeln laufen .. aber da mein server @home steht und auch meinen strom frisst wäre nen dedizierter ipcop davor ein wenig too much insofern achte ich halt drauf alle prozesse wenn möglich chrooted laufen zu lassen und nur das raus und reinzulassen was muss Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.