Herr-der-Mails Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 Hallo zusammen, normalerweise verwendet man Masquerading (SNAT,DNAT) ja um die internen IP Adressen mit der des Routers zu ersetzen um nach außen nur eine einzige IP zu haben. In meinem Szenario muß es aber genau anders herum aussehen. Also alles was durch die Firewall durchgelassen wird, soll mit Masquerading auf die IP der Firewall geändert werden und dann ins interne Netz. Nur wie geht das? Und die Antworten vom internen Netz müssen ja beim passieren der Firewall ebenfalls wieder umgesetzt werden. Also der dport von Firewall auf den Rechner außerhalb. Hat mich noch jemand verstanden?? ;-) Gruß@community Herr-der-Mails Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
sYnTaxx Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 hm ich würde sagen das geht doch genau so ? du musst doch nur der firewall sagen ( unterschiedlich je firewall ) das alles was reingeht mit der adresse weitergehn soll und auch so zurück geroutete werden muss... hmm Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Herr-der-Mails Geschrieben 26. März 2003 Autor Teilen Geschrieben 26. März 2003 hab probiert das analog zum normalen Masquerading zu machen, iptables meckert jetzt aber beim Prerouting rum und da kam ich auf die Idee ob das Ganze vielleicht gar nicht machbar ist. Dachte also ehr an einen Fehler auf OSI Schicht 8, dem Menschen ;-) Du meinst also, das das irgendwie technisch auf jeden Fall gehen müsste? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
sYnTaxx Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 na was hast den für ne firewall ? eine masquerading unterstützt dann kannst das alles bei der firewall eintragen... Beachte bitte die Boardregeln. Dort v.a. diesen Punkt: 12. (...) Inhaltslose Postings zu fachlichen Fragestellungen sind zu vermeiden. Desweiteren steht die verwendete Firewall iptables deutlich im Threadtitel. Wenn Du die verwendete Firewall nicht kennst, ist es besser nicht zu posten oder zumindest nachzufragen was iptables bedeutet. editiert wegen OT, hades Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Herr-der-Mails Geschrieben 26. März 2003 Autor Teilen Geschrieben 26. März 2003 Wir kommen so nicht weiter...... mit analog meinte ich parallel ..... also parallel zum normalen Masquerading..... verwende Iptables. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
sYnTaxx Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 boar also du willst praktisch 2 mal die adresse umsetzen ^^ ui nun das haben wir hier bei uns auch schonmal gemacht aber das wurd schwer wegen antwortroute usw. hm aber technisch möglich dürfte es sein solange die firewall nicht gerade sehr alt ist... oder ich verstehe hier was total falsch Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bRAIN2fast Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 Hi, also erstes solltest du mal hier ein bischen lesen. www.netfilter.org $man iptables ist auch ganz Informativ. Aber das hast du beides bestimmt schon gelesen. Masquerading ist SNAT nicht DNAT! und beides erst recht nicht. ;-) Ein paar mehr Infos was du eingentlich vorhast wäre ganz nett. Ich versuche es aber trotzdem mal. Was du machen willst ist Portforwarding. Von außen kommt eine Anfrage und die soll ins Lan weitergeleitet werden. Das heißt du willst DNAT machen. Du willst das Ziel der Daten ändern. Warum du aber auch die Quelladresse der Daten änder willst kann ich, aufgrund feldender Infos nicht nachvollziehen. Wenn das netfilter Howto richtig gelesen hättest (hast du doch bevor du hier gepostet hast, oder?) dann wüsstest du warum Masqurading in der Prerouting Chain nicht wirklich gut funktioniert. ;-) Have a nice DaY [bRAIN2fast] Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
sYnTaxx Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 hm so wie ich das verstanden habe will er net pat also port adress translation sondern er will sozusagen nat ^^ also die adresse "umdrehen". warum er das will weis ich auch net nach innen aber wen interresierts ^^ nach außen is es ja verständlich... Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bRAIN2fast Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 Originally posted by pAnBytE [...] oder ich verstehe hier was total falsch ja! Er benutzt iptables wie es sehr gut leserlich im Subject steht. Also dir empfehle ich auch mal www.netfilter.org && man iptables wenn das nicht hilft dann /dev/null (siehe sig) Have a nice DaY [bRAIN2fast] Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bRAIN2fast Geschrieben 26. März 2003 Teilen Geschrieben 26. März 2003 Originally posted by pAnBytE hm so wie ich das verstanden habe will er net pat also port adress translation sondern er will sozusagen nat ^^ also die adresse "umdrehen". warum er das will weis ich auch net nach innen aber wen interresierts ^^ nach außen is es ja verständlich... Ist ganz schön anstrengend dir zu folgen. wieso ist es nicht verstänlich wenn jemand anfragen von _aussen_ nach innen weiterleigen möchte? Was machst du wenn du einen httpd von _aussen_ anstprechen möchtest der sich z.B. in einer DMZ befindet die einen privaten IP Adressen bereich hat? Das was noch nicht ganz geklärt ist, ist warum er den die _äussere_ adresse masquieren möchte. Was technisch gesehen keine Probleme machen würde. Nur warum? Bitte mehr Infos. Glasskugel grade kaputt. ;-) Have a nice DaY [bRAIN2fast] Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Herr-der-Mails Geschrieben 27. März 2003 Autor Teilen Geschrieben 27. März 2003 Okay, ich versuche nochmal mein Szenario genauer zu beschreiben: ------------------------ | 192.168.0.2-10 | | | | LAN | ------------------------ | | ------------ |SWITCH | ------------ | | ------------------------ eth0 192.168.0.1 | | | | | File,HTTP Server | ------------------------ eth1 192.168.10.1 | | | ----------------------- eth0 192.168.10.2 | | | | | Firewall PC | | | ----------------------- eth1 192.168.10.10 | | | | ----------------------- | Feindliches LAN | | bzw. | | Internet | ----------------------- Es geht mir jetzt nur um den Firewall PC. Die IP von seinem Interface eth1 gebe ich nach außen bekannt. Das heißt wenn einer von außen auf den Webserver zugreifen will, muss er im Browser trotzdem die IP der Firewall angeben. Also muss ich ja alle Port80 Anfragen auf eth1 maskieren und über eth0 zum Server geben, oder nicht? Die PCs im LAN müssen gar nicht nach draußen können, die brauchen nur Zugriff auf die File und HTTP Dienste des Servers. Wichtig ist nur, daß eben Rechner von draußen auch auf den HTTP Dienst des Servers zugreifen können. Wie realisier ich das nun? Die ganze Doku hilft mir nicht weiter, weil ich ja gar nicht gezielt suchen kann. Lieben Gruß Herr-der-Mails Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
bRAIN2fast Geschrieben 27. März 2003 Teilen Geschrieben 27. März 2003 Hi, wieso musst du die Anfragen die von aussen kommen maskieren? Also nochmal: Masquerading ist SNAT das heißt die Quelladresse wird geändert. Warum möchtest du diese ändern? Schließlich muss der httpd dem Anfragenden doch antworten können. Alles was du ändern mußt ist die Zieladresse. Und zwar (bezogen auf dein Beispiel) von 192.168.10.10 zu 192.168.10.1. Wie du das realisiern kannst? Wie ich in meinem ersten Posting geschrieben habe möchest du Porforwarding machen. Das wäre auch ein Begriff mit dem du _gezielt_ in der Doku suchen könntest. Abgesehen davon solltest du das NAT Howto erst mal lesen bevor du sowas machst. Einfach um eine gewisse Grundlage zu schaffen die ja offensichtlich nicht vorhanden ist. Hier der Link: http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO.html Nein, vorlesen werde ich es dir nicht. ;-) Der Vollständigkeit halber: Natürlich könntest du die Anfrage von aussen auch noch maskieren nur ist das nicht erforderlich. Im Gegenteil du hast dann sogar ein paar Nachteile. Denn dann scheinen alle Anfrage an den httpd von deinem "Firewall PC" zu kommen. Bestimme Analysen oder Statistiken wäre damit nicht möglich. Have a nice DaY [bRAIN2fast] Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.