Zum Inhalt springen

Empfohlene Beiträge

Geschrieben

Hallo zusammen,

normalerweise verwendet man Masquerading (SNAT,DNAT) ja um die internen IP Adressen mit der des Routers zu ersetzen um nach außen nur eine einzige IP zu haben.

In meinem Szenario muß es aber genau anders herum aussehen.

Also alles was durch die Firewall durchgelassen wird, soll mit Masquerading auf die IP der Firewall geändert werden und dann ins interne Netz.

Nur wie geht das?

Und die Antworten vom internen Netz müssen ja beim passieren der Firewall ebenfalls wieder umgesetzt werden. Also der dport von Firewall auf den Rechner außerhalb.

Hat mich noch jemand verstanden?? ;-)

Gruß@community

Herr-der-Mails

Geschrieben

hm ich würde sagen das geht doch genau so ? du musst doch nur der firewall sagen ( unterschiedlich je firewall ) das alles was reingeht mit der adresse weitergehn soll und auch so zurück geroutete werden muss... hmm

Geschrieben

hab probiert das analog zum normalen Masquerading zu machen, iptables meckert jetzt aber beim Prerouting rum und da kam ich auf die Idee ob das Ganze vielleicht gar nicht machbar ist.

Dachte also ehr an einen Fehler auf OSI Schicht 8, dem Menschen ;-)

Du meinst also, das das irgendwie technisch auf jeden Fall gehen müsste?

Geschrieben

na was hast den für ne firewall ? eine masquerading unterstützt dann kannst das alles bei der firewall eintragen...

Beachte bitte die Boardregeln. Dort v.a. diesen Punkt:

12. (...) Inhaltslose Postings zu fachlichen Fragestellungen sind zu vermeiden.

Desweiteren steht die verwendete Firewall iptables deutlich im Threadtitel. Wenn Du die verwendete Firewall nicht kennst, ist es besser nicht zu posten oder zumindest nachzufragen was iptables bedeutet.

editiert wegen OT, hades

Geschrieben

boar also du willst praktisch 2 mal die adresse umsetzen ^^ ui nun das haben wir hier bei uns auch schonmal gemacht aber das wurd schwer wegen antwortroute usw. hm aber technisch möglich dürfte es sein solange die firewall nicht gerade sehr alt ist...

oder ich verstehe hier was total falsch :D

Geschrieben

Hi,

also erstes solltest du mal hier ein bischen lesen. www.netfilter.org

$man iptables

ist auch ganz Informativ. Aber das hast du beides bestimmt schon gelesen.

Masquerading ist SNAT nicht DNAT! und beides erst recht nicht. ;-)

Ein paar mehr Infos was du eingentlich vorhast wäre ganz nett.

Ich versuche es aber trotzdem mal.

Was du machen willst ist Portforwarding. Von außen kommt eine Anfrage

und die soll ins Lan weitergeleitet werden. Das heißt du willst DNAT machen.

Du willst das Ziel der Daten ändern. Warum du aber auch die Quelladresse

der Daten änder willst kann ich, aufgrund feldender Infos nicht nachvollziehen.

Wenn das netfilter Howto richtig gelesen hättest (hast du doch bevor du hier

gepostet hast, oder?) dann wüsstest du warum Masqurading in der Prerouting

Chain nicht wirklich gut funktioniert. ;-)

Have a nice DaY

[bRAIN2fast]

Geschrieben

hm so wie ich das verstanden habe will er net pat also port adress translation sondern er will sozusagen nat ^^ also die adresse "umdrehen".

warum er das will weis ich auch net nach innen aber wen interresierts ^^

nach außen is es ja verständlich...

Geschrieben
Originally posted by pAnBytE

hm so wie ich das verstanden habe will er net pat also port adress translation sondern er will sozusagen nat ^^ also die adresse "umdrehen".

warum er das will weis ich auch net nach innen aber wen interresierts ^^

nach außen is es ja verständlich...

Ist ganz schön anstrengend dir zu folgen.

wieso ist es nicht verstänlich wenn jemand anfragen von _aussen_ nach innen

weiterleigen möchte? Was machst du wenn du einen httpd von _aussen_

anstprechen möchtest der sich z.B. in einer DMZ befindet die einen privaten

IP Adressen bereich hat?

Das was noch nicht ganz geklärt ist, ist warum er den die _äussere_

adresse masquieren möchte. Was technisch gesehen keine Probleme machen

würde. Nur warum?

Bitte mehr Infos. Glasskugel grade kaputt. ;-)

Have a nice DaY

[bRAIN2fast]

Geschrieben

Okay, ich versuche nochmal mein Szenario genauer zu beschreiben:

------------------------

| 192.168.0.2-10 |

| |

| LAN |

------------------------

|

|

------------

|SWITCH |

------------

|

|

------------------------ eth0 192.168.0.1

| |

| |

| File,HTTP Server |

------------------------ eth1 192.168.10.1

|

|

|

----------------------- eth0 192.168.10.2

| |

| |

| Firewall PC |

| |

----------------------- eth1 192.168.10.10

|

|

|

|

-----------------------

| Feindliches LAN |

| bzw. |

| Internet |

-----------------------

Es geht mir jetzt nur um den Firewall PC.

Die IP von seinem Interface eth1 gebe ich nach außen bekannt. Das heißt wenn einer von außen auf den Webserver zugreifen will, muss er im Browser trotzdem die IP der Firewall angeben. Also muss ich ja alle Port80 Anfragen auf eth1 maskieren und über eth0 zum Server geben, oder nicht?

Die PCs im LAN müssen gar nicht nach draußen können, die brauchen nur Zugriff auf die File und HTTP Dienste des Servers. Wichtig ist nur, daß eben Rechner von draußen auch auf den HTTP Dienst des Servers zugreifen können.

Wie realisier ich das nun?

Die ganze Doku hilft mir nicht weiter, weil ich ja gar nicht gezielt suchen kann.

Lieben Gruß

Herr-der-Mails

Geschrieben

Hi,

wieso musst du die Anfragen die von aussen kommen maskieren?

Also nochmal: Masquerading ist SNAT das heißt die

Quelladresse wird geändert. Warum möchtest du diese ändern?

Schließlich muss der httpd dem Anfragenden doch antworten können.

Alles was du ändern mußt ist die Zieladresse. Und zwar (bezogen auf dein

Beispiel) von 192.168.10.10 zu 192.168.10.1.

Wie du das realisiern kannst?

Wie ich in meinem ersten Posting geschrieben habe möchest du Porforwarding

machen. Das wäre auch ein Begriff mit dem du _gezielt_ in der Doku suchen

könntest. Abgesehen davon solltest du das NAT Howto erst mal lesen bevor du

sowas machst. Einfach um eine gewisse Grundlage zu schaffen die ja offensichtlich

nicht vorhanden ist. Hier der Link:

http://www.netfilter.org/documentation/HOWTO/de/NAT-HOWTO.html

Nein, vorlesen werde ich es dir nicht. ;-)

Der Vollständigkeit halber: Natürlich könntest du die Anfrage von aussen auch noch maskieren nur ist das nicht erforderlich. Im Gegenteil du hast dann sogar ein paar

Nachteile. Denn dann scheinen alle Anfrage an den httpd von deinem "Firewall PC"

zu kommen. Bestimme Analysen oder Statistiken wäre damit nicht möglich.

Have a nice DaY

[bRAIN2fast]

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...