Zum Inhalt springen

Debian 8 - Probleme mit ÖFFENTLICHER IP in der DMZ

tschulian

Von tschulian
in Netzwerke

 Teilen

Empfohlene Beiträge

tschulian

tschulian

Geschrieben
Geschrieben

Hallo Leute,  (Edit: verzeiht die rechtschreibung, bin zu aufgewühlt um ordentlich satzzeichen und groß/klein schreibung zu beachten... sry)

bislang hatten wir einen Windows Server 2003 der uns als Webserver mit 3 öffentlichen Telekom IPs unseres Company Connects diente.
Aufgrund der performance und ressourcen wurde der Server 2003 durch einen Debian 8 Webserver ersetzt. Umstieg verlief weitestgehend problemlos. Als ich das erste mal nach 2-3 Tagen dann apt-get update usw. ausführen wollte blieb er bei 0% hängen.

Ping nach außen -> nicht möglich.
apt-get update/upgrade -> nicht möglich

Ich hatte schon den verdacht es liegt an eth0:1 also an den zusätzlichen IPs. Diese hab ich rausgenommen, networking restart durchgeführt und schon ging ping und apt-get whatever wieder.
Nach einem shutdow -r now dann zu meinem Entsetzen ping und apt-get geht wieder nicht!

Ich bin wirklich am durchdrehen.
Zudem das Ding von außen tadellos erreichbar ist, aber er kann einfach nicht wirklich nach außen kommunizieren.
Der Webserver auf Port 80 ist mit 100% funktionalität von außen erreichbar, aber er selbst kann nicht nach außen kommunizieren.

An unsere Sophos Firewall liegt es nicht weil selbst wenn ich ANY ANY ANY ANY also wirklich alles freigeb (nachweißlich in den logs alles accepted) kann er nicht nach außen kommunizieren.

Hat jemand schonmal sowas gehabt?
Der server ist in einem vm-ware esx virtualisiert.

 

 

Screenshot_2.jpg

Link zu diesem Kommentar
Auf anderen Seiten teilen
CrankyCrany

CrankyCrany

Geschrieben
Geschrieben (bearbeitet)

Hast du mal in der internen Firewall nachgeschaut ob Verbindungen nach aussen möglich sind? Und es gibt glaube ich 4 Dienste die parralel dazu au gestartet werden müssen. Ich hatte ein ähnliches Problem wo ich von Server kein Ping bekommen habe....

 

Siehe hier:

https://www.windowspro.de/tipp/ping-windows-7-server-2008-r2-zulassen

 

die Dienste kann ich grade nicht finden aber ich wusste es gab 4... Wenn ich Sie finde sag ich dir bescheid vielleicht hilft das.

Bearbeitet von CrankyCrany
Ergänzung
Link zu diesem Kommentar
Auf anderen Seiten teilen
RipperFox

RipperFox

Geschrieben
Geschrieben

Eigentlich brauchst Du nur den Gateway-Eintrag bei eth0 - ich nehme sowieso an, du hast nur eine Routingtabelle, dann gibt's nur ein Default Gateway für's System.
Die Post-Up und Pre-Down Regeln sind auch komplett sinnlos/redundant, da durch Netzmaske und Gateway vorherbestimmt.

 

Schau dir die Ausgaben von 'ip route' an. Mit 'ip route get 8.8.8.8' kannst Du z.B. sehen, welchen Weg Pakete an den Google DNS nehmen würden.

@CrankyCrany Nicht mitbekommen, dass der Windowsserver durch Linux ersetzt wurde? :)

Link zu diesem Kommentar
Auf anderen Seiten teilen
Gast Uhu

Gast Uhu

Geschrieben
Geschrieben (bearbeitet)

Zwischen apt-get update und ping muss es nicht zwangsläufig einen Zusammenhang geben, da hier unterschiedliche Protokolle zum Einsatz kommen. Kann also auch mehrere Ursachen zeitgleich haben. Apt-get Update wird per default meistens über das http Protokoll genutzt. Habt ihr eventuell einen http-Proxy im Netzwerk über den der http Traffic geschleust wird? Wenn du du den nicht zusätzlich konfigurierst wird apt-get update in dem Fall nicht funktionieren. Solche Proxy Server werden eigentlich recht häufig in Unternehmen eingesetzt, deshalb kann man Debian und Anderen Distros meistens schon bei der Installation dem Proxy Server bekanntgeben.

Bearbeitet von Uhu
Link zu diesem Kommentar
Auf anderen Seiten teilen
Eye-Q

Eye-Q

Geschrieben
Geschrieben

Moment mal - Du hast einen Webserver und eine Sophos-Firewall und dieser Webserver besitzt öffentliche IP-Adressen? So scannt die Sophos den Verkehr ja gar nicht auf Angriffe...

Vorschlag, gesetzt den Fall, dass ihr Webserver Protection lizenziert habt, was in der Total Protect-Lizenz inbegriffen ist:

  • Der Debian-Server wird an den/einen DMZ-Port der Sophos gehängt, wenn nicht schon geschehen
  • Der Debian-Server erhält mehrere private IPs aus dem DMZ-Netzwerk, auf denen die Webserver-Dienste lauschen; als Standardgateway dient natürlich die interne IP der Sophos auf ihrem DMZ-Port
  • Die Sophos bekommt die drei öffentlichen IPs auf ihrem externen Interface zusätzlich konfiguriert
  • In der Sophos wird die Webserver Protection aktiviert, so dass der Verkehr, der auf die drei öffentlichen IPs kommt, an die drei internen Webserver-IPs weitergeleitet, dabei aber auch gescannt wird - die Webserver Protection ist keine einfache Portweiterleitung, es wird der Verkehr von extern angenommen, gescannt, und wenn keine Bedrohungen gefunden wurden, wird von der Sophos eine neue Verbindung zum internen Webserver aufgebaut
  • Dann werden die Firewall-Regeln zwischen Internal und DMZ sowie DMZ und Internet konfiguriert, so dass man aus dem internen Netzwerk auf die Webserver zugreifen kann und der Debian-Server sein apt-get und was auch immer er noch braucht ins Internet machen darf.
Link zu diesem Kommentar
Auf anderen Seiten teilen
RipperFox

RipperFox

Geschrieben
Geschrieben

@tschulian Ist das Thema noch aktuell?

@Eye-Q Rein interessehalber, weil ich von der Sophos im Speziellen keine Ahnung habe: DMZ bedeutet eigentlich nicht unbedingt, dass auch NAT gemacht wird. Eine Firewall kann den Verkehr auch scannen, wenn sie nur routet. Kann das eine UTM nicht? Wie sieht deren IPv6 Unterstützung aus?

Link zu diesem Kommentar
Auf anderen Seiten teilen
  • 2 Wochen später...
tschulian

tschulian

Geschrieben
  • Autor
Geschrieben (bearbeitet)

Also ich hatte jetzt ca. 7-10 Tage keinerlei Probleme mit dem Server.

Heute als ich wieder auf den Thread gestoßen bin, hab ich spaßeshalber den Ping probiert und er geht wieder nicht. Der letzte Stand war, dass pro ETH ein eigener Gateway (aber selbe Adresse) eingetragen war. Als ich dann nurnoch ETH0 ein Gateway gegeben hatte, funktionierte alles.
Jetzt wieder nichtmehr...


Zu den ganzen Fragen:

@Crash2001  IPtables werden nich verwendet.

@Uhu an der Sophos liegt es nicht. Speziell für diesen Server hab ich schon ALLOW ALL Rules in beide richtungen erstellt....

 

Screenshot_1.jpg

Bearbeitet von tschulian
Link zu diesem Kommentar
Auf anderen Seiten teilen
tschulian

tschulian

Geschrieben
  • Autor
Geschrieben
Am 26.6.2016 um 12:39 schrieb Eye-Q:

Moment mal - Du hast einen Webserver und eine Sophos-Firewall und dieser Webserver besitzt öffentliche IP-Adressen? So scannt die Sophos den Verkehr ja gar nicht auf Angriffe...

Vorschlag, gesetzt den Fall, dass ihr Webserver Protection lizenziert habt, was in der Total Protect-Lizenz inbegriffen ist:

  • Der Debian-Server wird an den/einen DMZ-Port der Sophos gehängt, wenn nicht schon geschehen
  • Der Debian-Server erhält mehrere private IPs aus dem DMZ-Netzwerk, auf denen die Webserver-Dienste lauschen; als Standardgateway dient natürlich die interne IP der Sophos auf ihrem DMZ-Port
  • Die Sophos bekommt die drei öffentlichen IPs auf ihrem externen Interface zusätzlich konfiguriert
  • In der Sophos wird die Webserver Protection aktiviert, so dass der Verkehr, der auf die drei öffentlichen IPs kommt, an die drei internen Webserver-IPs weitergeleitet, dabei aber auch gescannt wird - die Webserver Protection ist keine einfache Portweiterleitung, es wird der Verkehr von extern angenommen, gescannt, und wenn keine Bedrohungen gefunden wurden, wird von der Sophos eine neue Verbindung zum internen Webserver aufgebaut
  • Dann werden die Firewall-Regeln zwischen Internal und DMZ sowie DMZ und Internet konfiguriert, so dass man aus dem internen Netzwerk auf die Webserver zugreifen kann und der Debian-Server sein apt-get und was auch immer er noch braucht ins Internet machen darf.

Die Sophos scannt alles da diese eine virtuelle DMZ erstellt hat.
Und wie gesagt, die Sophos ist nicht das Problem. Denn im Protkoll sieht man ganz genau das Anfragen ankommen. Ausgehende Daten kommen nicht an (das heißt weder geblockt noch zugelassen). Sobald ich nach X Neustarts den ping wieder ordnungsgemäß absetzen kann, seh ich auch in Protokoll der sophos die  echo requests....

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
 Teilen
Zur Themenübersicht

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Links

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...