Heiko Schlittermann wrote:
Nun moechte ich aber schon bereits dem WebServer eine private IP Adresse geben, und den Firewall ins Internet ein Masquerading machen lassen (sowohl Verbindungen vom WebServer als auch ausgehende Verbindungen aus dem internen Netz, die ihrerseits schon ein Masquerading bei Firewall #2 hinter sich haben) ...
Nun, ob das notwendig ist, weiss ich nicht. Was versprichst Du Dir davon? Einziger Grund, der mir einfiele, waere, dass Du von Deinem Provider nur eine Adresse bekommen hast ...
Genau das ist der Fall. Jede weitere IP kostet bares Geld, und das habe ich nicht in rauhen Mengen ... Ausserdem reicht die eine IP auch voellig, da ja nur ein Web-Server (und andere Dienste wie DNS und Mail) zwischen den beiden Firewalls laufen sollen ...
Dein Webserver muss ja erreichbar sein -- und dann kannst Du den wohl so hinbekommen, dass er nach aussen lediglich den Port 80 zur Verfuegung stellt -- dazu kann/soll Dich ja Dein aeusserer Firewall unterstuetzen.
Genau. Ich wollte auf dem auesseren Firewall bei ipchains nur einkommende Verbindung fuer Port 80 zulassen ... Evtl. muss ich auch noch Port 53 UDP und TCP ausgehend aufmachen, weil ich ja hoechstwahrscheinlich einen internen DNS aufsetzen werde. Da ich nur eine IP habe, brauch' ich auch den DNS nicht nach draussen bekanntmachen. Und mit dem rinetd kann ich auch den Port 25 am Firewall zum Mail-Server durchstellen ...
Die grosse Frage: Wie konfiguriere ich einen Kernel 2.2.x mit ipchains so, das er eingehende Anfragen aus dem Internet auf Port 80, zuerst maskiert, an den WebServer auf Port 8080 weiterschickt und die Antworten dann wieder demaskiert und an den originalen Absender im Internet schickt ... (so als waere er der Web-Server)
rinetd ist ja irgendwo schon genannt worden. ipautofw waere vielleicht auch 'ne Variante.
Wie schon gesagt ... rinetd geht wunderbar ... Schade ist, dass ich mit dem kein Round-Robin machen kann, weil der IP-Adressen in seinem config file sehen will. (Falls soviel Traffic auf dem Web-Server anfaellt, das so eine Loesung Sinn macht)
Aber das kann man dem ja, wenn es denn soweit sein sollte, mit ein paar Zeilen C-Code beibringen kann ... (einfach mehrere IP's im config file und dann immer durchschalten)
Bye.
Jens