On Sat, Sep 16, 2000 at 11:43:44AM +0200, Jens Lorenz wrote:
Internet <-> Firewall <-> WebServer <-> Firewall <-> Internes Netz
Nun moechte ich aber schon bereits dem WebServer eine private IP Adresse geben, und den Firewall ins Internet ein Masquerading machen lassen (sowohl Verbindungen vom WebServer als auch ausgehende Verbindungen aus dem internen Netz, die ihrerseits schon ein Masquerading bei Firewall #2 hinter sich haben) ...
2 mal masquerading halte ich nicht fuer sehr sinnvoll. FW1 kommuniziert sowie nach innen nur mit FW2 und webserver. Faellt FW1 sind deren Adressen fuer den Angreifer sofort ersichtlich. Masquerading ist kein Sicherheitfeature sondern eine Notlösung wegen Adressmangel und sollte auch nur als soche Verwendung finden.
Die grosse Frage: Wie konfiguriere ich einen Kernel 2.2.x mit ipchains so, das er eingehende Anfragen aus dem Internet auf Port 80, zuerst maskiert, an den WebServer auf Port 8080 weiterschickt und die Antworten dann wieder demaskiert und an den originalen Absender im Internet schickt ... (so als waere er der Web-Server)
Ein einfaches Tool zum Portforwarding auf FW1 tut das z.B. rinetd Kann sein, dass das auch mit ipchains geht.
Es ist irgendwie eine Abart des Masquerading ... Aber saemtliche Doku die ich bis jetzt gefunden habe, bespricht immer nur den Fall Masquerading aus dem Internen Netz ins externe ... Ich
Von aussen klappt es auch nicht. Welche Ziel-IP sollte den der Nutzer des Webserveres angeben, wenn du auf FW1 NAT machst? Wenn du keine 2. IP-Adressse fuer den Webserver hast, laesst du www.domain.de auf FW1 auflösen und leitest - wie oben beschrieben - die Verbindung an den eigentlichen Webserver weiter.
Oder geht das garnicht mit Masquerading und ich brauch' so 'ne Art Proxy auf dem ersten Firewall ?
Das ist die andere Variante. Nur woher nimmt man so eine Teil -ich kenne kein geeigngnetes Tools dafuer. Ich wuerde fuer eingehende Webanfragen keinen Proxy nehmen.
Reinhard