Re: Firewall mit 3 NICs (LAN,WAN,DMZ)

André Brödner wrote:

Hi liebe LUG-DDler,

Leider bekomme ich keinerlei verbindung von oder zu den Servern der DMZ. Das Problem liegt nicht bei den Firewall-Regeln sondern wohl eher am Routing bei dem ich leider keinen wirklichen Durchblick habe :(

Du hast das Problem zumindest schon mal lokalisiert. :-)

AUFBAU:

ISP-Router(xxx.xxx.238.1)------eth0(xxx.xxx.238.221)-FIREWALL- eth1(192.168.0.221)---------LAN(192.168.0.0/24)

Das allein geht.

                                   |
                                  eth2(192.168.1.221) kann man hier 

diese private IP verwenden??

Nein. Die IP muß im 238er Netz liegen, wie auch der Rest der DMZ. Und hier sieht Du dann den Konflikt mit eth0.

                                   |
                                  DMZ 

(xxx.xxx.238.0/24)überschneidet sich dieses Subnet nicht mit dem ISP-Router?

Tut es. Und das geht nicht. s.u.

Lösungen: 1. Du kannst dem Router selbst eine IP geben(?):

Dann setze hier private IP's ein: Router 192.168.1.1 eth0 x.x.1.2 eth2 y.y.238.1

Routing: auf dem Router (nach innen): y.y.238.0/24 gw x.x.1.2 auf der Firewall (nach außen): default gw x.x.1.1

oder du splittest das öffentliche /24 in kleinere Subnetze auf und nimmst einen Teil davon zwischen Router und Firewall.

2. sie die vom Provider vorgegeben:

Laß dir noch ein Mininetz mit 2 IP's für Router+eth0 geben und setze das komplette /24 in die DMZ (wie oben). Hierbei ist wiederum egal, ob es private oder öffentliche IPs sind. Das Außenbein des Routers hat ohnehin eine andere IP, um vom Rest der Welt aus erreichbar zu sein.

Es ist nur die Frage wer den Router konfigurieren kann.

Routing-table:

Das kann nicht funktionieren.

192.168.1.0 0.0.0.0 255.255.255.254 U 0 0 0 eth2

Hier kann die Karte nur mit sich selbst reden. :-( .254 ist keine sinnvolle Netmask .252 ist das nächste sinnvolle, dann kannst Du die 1.1 auch noch ansprechen, aber nichts anderes. Also auch nicht y.y.238.z.

192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1

Das geht so ;-)

xxx.xxx.238.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0

Damit werden alle DMZ-Pakete nach eth0 geschickt. Der Router hat hier die gleiche Einstellung und weiß nicht, daß von außen kommende Pakete noch über die Firewall müssen. D.h. alle Pakete für die DMZ werden auf dieses Netzwerksegment geschickt, sowohl von inne wie auch außen.

0.0.0.0 xxx.xxx.238.1 0.0.0.0 UG 0 0 0 eth0

Das sorgt dafür, daß zumindest die unbekannten IPs über den Router gehen.

Gruß Rico