Hallo, Leute!
Ich bin dabei einen Server einzurichten. Dieser Server soll von allen 6 VLANs des Büros erreichbar sein, aber nicht alle Rechner der verschiedenen VLANs dürfen alle Dienste nutzen.
Ich habe deswegen gedacht, der Server in einem separaten VLAN zu konfigurieren, so daß alle Anfrage für ihn über der Gateway laufen müssen.
Nun muß der Server aber unbedingt unterscheiden, von welchem VLAN die Anfragen kommen (zB: weil nicht alle Samba-Shares für alle VLANs zu erreichen sind). Aber wenn ich auf dem Gateway ein MASQUERADE einrichte, werden alle IPs umgeschrieben, und der Server kriegt alle Anfragen vom Gateway.
Wie kann ich der Gateway einrichten, so daß der Server (der die IP 192.168.1.2 hat) alle Anfragen der VLANs (192.168.2.0/24, 192.168.3.0/24, usw.) mit den richtigen IPs der Rechner bekommt?
Besten Dank Luca Bertoncello (lucabert@lucabert.de)
Hallo Luca,
auf die Gefahr hin mich jetzt hier unbeliebt zu machen: Du bist angestellter Admin, und belebst mit Deinen Fragen die Gruppe hier so, dass ich in Deiner Rolle Angst davor hätte mein Chef könnte hier mitlesen?
Wie kann ich der Gateway einrichten, so daß der Server (der die IP
Über das würde ich mir keine Gedanken machen, sondern über den Server. Ich nehme an, Deine VLANS haben auch logisch unterschiedliche Netzte (192.1681.0/24, 192.168.2.0/24, ...). Dann gib doch dem Server (virtuell) entsprechend in jedem Netz eine Adresse. Das Gateway könnte den Traffic vorher filtern und Du stellst auf dem Server sicher, dass bestimmte Dienste nur an bestimmten Interfaces lauschen.
Mit freundlichen Grüßen / With kind regards Ronny Seffner -- OT Seeligstadt | web http://www.seffner.de Alter Viehweg 1 | mail ronny@seffner.de 01665 Triebischtal | fon/fax +49 35245 72-950/-9059 | mobiltelefon +49 174 9474439
Ronny Seffner ronny@seffner.de schrieb:
auf die Gefahr hin mich jetzt hier unbeliebt zu machen: Du bist angestellter Admin, und belebst mit Deinen Fragen die Gruppe hier so, dass ich in Deiner Rolle Angst davor hätte mein Chef könnte hier mitlesen?
Und wo wäre das Problem? Jedenfalls, bin ich angestellter Programmierer, und seit eine Woche oder so übernehme ich auch die Tätigkeit des SysAdmins. Aber man kann nicht ALLES wissen, und ich sehe kein Problem anderen zu fragen, wenn ich gerade was nicht weiß...
Wie kann ich der Gateway einrichten, so daß der Server (der die IP
Über das würde ich mir keine Gedanken machen, sondern über den Server. Ich nehme an, Deine VLANS haben auch logisch unterschiedliche Netzte (192.1681.0/24, 192.168.2.0/24, ...). Dann gib doch dem Server (virtuell) entsprechend in jedem Netz eine Adresse. Das Gateway könnte den Traffic vorher filtern und Du stellst auf dem Server sicher, dass bestimmte Dienste nur an bestimmten Interfaces lauschen.
Ja, die VLANs haben selbstverständlich unterschiedliche IP-Bereiche. Auf dem Gateway sind deswegen 6 VLAN-Schnittstellen eingerichtet worden.
Aktuell ist das gleiche auf dem Server auch, aber ich verstehe nicht wie ich, vom Gateway, verhindern kann, daß ein PC in dem Netz zB 192.168.2.0/24 den Server über seine IP 192.168.2.2 erreicht...
Anderes wäre, wenn der Server nur eine IP hätte, und den Verkehr über dem Gateway läuft. Da ist klar was passiert, aber dann wird der Server alle Anfragen sehen, mit SourceIP die IP des Gateways...
Oder habe ich deine E-Mail nicht verstanden? Kannst du mir ein Beispiel geben?
Danke Luca Bertoncello (lucabert@lucabert.de)
Und wo wäre das Problem?
Es gibt keins. Du fragst hier schon seit Monaten administratives Zeug, so dass ich dachte Du bist Admin. In letzter Zeit ist die Fragendichte eben auffällig hoch ... aber Du hast Recht, der Ort hier ist zum Fragen da und alles wissen kann man auch nicht.
Aktuell ist das gleiche auf dem Server auch, aber ich verstehe nicht wie ich, vom Gateway, verhindern kann, daß ein PC in dem Netz zB 192.168.2.0/24 den Server über seine IP 192.168.2.2 erreicht...
Ah. Der Server stecht nicht "hinter" dem Gateway (DMZ) sondern in den Netzen der VLAN's. Dadurch dass Du ein Gateway ins Spiel brachtest, dachte ich an eine lineare Topologie. Also entweder muss das GW zwischen Clients und Server oder der Server braucht für den Fall ein eigenes Regelwerk.
Anfragen sehen, mit SourceIP die IP des Gateways...
Es sei denn Du konfigurierst das GW für den Fall als Bridge. Oder aus Sicht der Clients wird das GW der Server und Du arbeitest mit Portforwarding ohne Maskierung.
Mit freundlichen Grüßen / With kind regards Ronny Seffner -- OT Seeligstadt | web http://www.seffner.de Alter Viehweg 1 | mail ronny@seffner.de 01665 Triebischtal | fon/fax +49 35245 72-950/-9059 | mobiltelefon +49 174 9474439
In response to Ronny Seffner :
Hallo Luca,
auf die Gefahr hin mich jetzt hier unbeliebt zu machen: Du bist angestellter Admin, und belebst mit Deinen Fragen die Gruppe hier so, dass ich in Deiner Rolle Angst davor hätte mein Chef könnte hier mitlesen?
Also, wenn ich da an meinen noch-Chef denke, also, dann hätte ich zumindest da keinerlei Angst...
Andreas
On Saturday 04 September 2010, Ronny Seffner wrote:
auf die Gefahr hin mich jetzt hier unbeliebt zu machen:
...eine sehr reell eingeschätzte Gefahr... ;-P
Du bist angestellter Admin, und belebst mit Deinen Fragen die Gruppe hier so, dass ich in Deiner Rolle Angst davor hätte mein Chef könnte hier mitlesen?
Die Fragen von Luca sind im Allgemeinen intelligent und gut. Wenn ich sein Chef wäre würde ich mir eher Sorgen machen wenn er keine Fragen stellt.
Diese Liste ist für Fragen und Diskussionen da, nicht um uns gegenseitig zu beleidigen. Bitte respektiere das.
Konrad
Hallo Liste,
u.a. Konrad hat Recht, ich kann heute selbst nicht mehr reflektieren, was ich eigentlich wollte. Ich möchte mich daher in aller Form bei Luca entschuldigen, seine Fragen belegen, dass er sich zuerst selbst mit der Materie beschäftigt, bevor er fragt "weils einfacher ist". Und wenn er umsattelt oder gar noch ganz andere Kernkompetenzen hat, ist das hier das richtige Pflaster ein etwaiges Defizit abzubauen.
Mit freundlichen Grüßen / With kind regards Ronny Seffner -- OT Seeligstadt | web http://www.seffner.de Alter Viehweg 1 | mail ronny@seffner.de 01665 Triebischtal | fon/fax +49 35245 72-950/-9059 | mobiltelefon +49 174 9474439
Am Montag, 6. September 2010, 09:12:10 schrieb Ronny Seffner:
Hallo Liste,
u.a. Konrad hat Recht, ich kann heute selbst nicht mehr reflektieren, was ich eigentlich wollte. Ich möchte mich daher in aller Form bei Luca entschuldigen, seine Fragen belegen, dass er sich zuerst selbst mit der Materie beschäftigt, bevor er fragt "weils einfacher ist". Und wenn er umsattelt oder gar noch ganz andere Kernkompetenzen hat, ist das hier das richtige Pflaster ein etwaiges Defizit abzubauen.
Mit freundlichen Grüßen / With kind regards Ronny Seffner
Schön, was und wie Du hier sagst. (Ob überhaupt nötig, ist eine ganz andere Frage. Ich denke aber ähnlich wie Konrad, das es besser so ist.)
Ich wünschte Luca und Du würdet euch mal treffen. Glaub mir: ihr könntet gut miteinander.
Kennst Du die? http://www.lucabert.de/
(Das mit den mitlesenden Chefs ist vermutlich ein _sehr_ weites Feld.)
Bernhard
-- OT Seeligstadt | web http://www.seffner.de Alter Viehweg 1 | mail ronny@seffner.de 01665 Triebischtal | fon/fax +49 35245 72-950/-9059
| mobiltelefon +49 174 9474439
Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
In response to Luca Bertoncello :
Hallo, Leute!
Ich bin dabei einen Server einzurichten. Dieser Server soll von allen 6 VLANs des Büros erreichbar sein, aber nicht alle Rechner der verschiedenen VLANs dürfen alle Dienste nutzen.
Ich habe deswegen gedacht, der Server in einem separaten VLAN zu konfigurieren, so daß alle Anfrage für ihn über der Gateway laufen müssen.
Nun muß der Server aber unbedingt unterscheiden, von welchem VLAN die Anfragen kommen (zB: weil nicht alle Samba-Shares für alle VLANs zu erreichen sind). Aber wenn ich auf dem Gateway ein MASQUERADE einrichte, werden alle IPs umgeschrieben, und der Server kriegt alle Anfragen vom Gateway.
Warum willst Du denn auf dem Gateway ein Masquerade machen? Das ist doch gar nicht nötig. Und falls doch: dann filtere auf dem Gateway. Wenn Du dort mit iptables Masquerade machst, dann kannst auch gleich filtern.
Wie kann ich der Gateway einrichten, so daß der Server (der die IP 192.168.1.2 hat) alle Anfragen der VLANs (192.168.2.0/24, 192.168.3.0/24, usw.) mit den richtigen IPs der Rechner bekommt?
Ohne Masquerading arbeiten, just routen. Easy, oder?
Andreas
Andreas Kretschmer andreas.kretschmer@schollglas.com schrieb:
Wie kann ich der Gateway einrichten, so daß der Server (der die IP 192.168.1.2 hat) alle Anfragen der VLANs (192.168.2.0/24, 192.168.3.0/24, usw.) mit den richtigen IPs der Rechner bekommt?
Ohne Masquerading arbeiten, just routen. Easy, oder?
Also, einfach Paketrouting aktivieren und Punkt?
Und dann kommen die Pakete mit der richtigen SourceIP? Ich werde probieren, besten Dank!
Luca Bertoncello (lucabert@lucabert.de)
In response to Luca Bertoncello :
Andreas Kretschmer andreas.kretschmer@schollglas.com schrieb:
Wie kann ich der Gateway einrichten, so daß der Server (der die IP 192.168.1.2 hat) alle Anfragen der VLANs (192.168.2.0/24, 192.168.3.0/24, usw.) mit den richtigen IPs der Rechner bekommt?
Ohne Masquerading arbeiten, just routen. Easy, oder?
Also, einfach Paketrouting aktivieren und Punkt?
Und dann kommen die Pakete mit der richtigen SourceIP?
Ja, Internet funktioniert so ;-)
Und, wie auch schon wohl gesagt: iptables zum filtern ist die allerletzte Bastion, die man aufbaut. Vorher konfiguriert man die Dienste so, daß diese sich nur in den erlaubten Netzen prostituieren.
Andreas
Andreas Kretschmer andreas.kretschmer@schollglas.com schrieb:
Ja, Internet funktioniert so ;-)
Und, wie auch schon wohl gesagt: iptables zum filtern ist die allerletzte Bastion, die man aufbaut. Vorher konfiguriert man die Dienste so, daß diese sich nur in den erlaubten Netzen prostituieren.
Und so geht es auch bei mir...
Kurzes Test mit einem VM bei mir und der PC meiner Frau (und mein PC als Gateway) und ich sehe die Anfragen auf dem VM mit der IP meiner Frau...
Also, ich habe mir unglaublich viele Probleme für umsonst gemacht.
Ich brauche URLAUB!!!! Und zwar DRINGEND!!!!! :)
Grüße und besten Dank Luca Bertoncello (lucabert@lucabert.de)
Andreas Kretschmer andreas.kretschmer@schollglas.com schrieb:
Und dann kommen die Pakete mit der richtigen SourceIP?
Ja, Internet funktioniert so ;-)
Und, wie auch schon wohl gesagt: iptables zum filtern ist die allerletzte Bastion, die man aufbaut. Vorher konfiguriert man die Dienste so, daß diese sich nur in den erlaubten Netzen prostituieren.
Hallo, nochmal!
Ich habe zu früh gejubelt...
Also, ich sehe mit ngrep, daß die Pakete die VM erreichen mit der IP des PCs meiner Frau. Und ich sehe auch, daß die VM die Antwort an die richtige IP schickt. Wenn ich von der VM ein ping an die IP meiner Frau (192.168.10.2) mache, werden die Antworten richtig kommen.
Aber wenn ich von der PC meiner Frau die VM (192.168.140.134) anpinge, kriegt der PC keine Antwort, obwohl ich genau sehe, daß sie geschickt worden ist.
Die Firewall ist DEAKTIVIERT.
Was mache ich noch falsch?
Danke Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de schrieb:
Was mache ich noch falsch?
Ich antworte mir selber: ich habe auf der VM eine falsche default Gateway eingerichtet... :( Richtige GW eingerichtet => alle Pakete gehen richtig hin und zurück!
Noch mal: **ICH** **BRAUCHE** **URLAUB**!!!!!!!
Danke an alle für eure Geduld! Luca Bertoncello (lucabert@lucabert.de)
In response to Luca Bertoncello :
Luca Bertoncello lucabert@lucabert.de schrieb:
Was mache ich noch falsch?
Ich antworte mir selber: ich habe auf der VM eine falsche default Gateway eingerichtet... :( Richtige GW eingerichtet => alle Pakete gehen richtig hin und zurück!
Noch mal: **ICH** **BRAUCHE** **URLAUB**!!!!!!!
Ich auch, bzw. eine Kur. Am Mittwoch begleite ich meine 3-jährige Tochter, Papa-Kind-Kur, 3 Wochen Ostsee ;-)
Und dann kann ich pünktlich (und erholt) zum 1. Oktober meinen neuen Job anfangen *g*
Hrm, muß mich dann wohl neu auf der Liste anmelden...
Andreas
Halo Luca,
Luca Bertoncello lucabert@lucabert.de (Fr 03 Sep 2010 21:04:34 CEST):
Hallo, Leute!
Ich bin dabei einen Server einzurichten. Dieser Server soll von allen 6 VLANs des Büros erreichbar sein, aber nicht alle Rechner der verschiedenen VLANs dürfen alle Dienste nutzen.
Ich habe deswegen gedacht, der Server in einem separaten VLAN zu konfigurieren, so daß alle Anfrage für ihn über der Gateway laufen müssen.
Nun muß der Server aber unbedingt unterscheiden, von welchem VLAN die Anfragen kommen (zB: weil nicht alle Samba-Shares für alle VLANs zu erreichen sind).
Ja, aber warum hängst Du den Server nicht an einen getaggten Switchport und konfigurierst auf dem Server für alle VLANs eigene Interfaces?
Dann kannst Du auch Iptables für alle ethX.Y ordentlich konfigurieren oder ggf. einzelne Dienste nur auf den Interfaces/Adressen starten, auf denen sie gebraucht werden.
Heiko Schlittermann hs@schlittermann.de schrieb:
Ja, aber warum hängst Du den Server nicht an einen getaggten Switchport und konfigurierst auf dem Server für alle VLANs eigene Interfaces?
Dann kannst Du auch Iptables für alle ethX.Y ordentlich konfigurieren oder ggf. einzelne Dienste nur auf den Interfaces/Adressen starten, auf denen sie gebraucht werden.
Hallo, Heiko!
Ja, klar! Da habe ich eigentlich schon gemacht, aber dann muß ich mit IPTables auch auf dem Server ein "mini-Firewall" einrichten.
Und die Idee gefällt mir nicht... Ich hätte lieber EIN Firewall, anstatt zwei... Ansonsten, jedes Mal, daß ich eine Änderung durchführen muß, muß ich an zwei Stellen das gleiche (oder fast) machen. Und das kann zur Fehler führen.
Grüße Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de (Sa 04 Sep 2010 21:07:17 CEST):
Heiko Schlittermann hs@schlittermann.de schrieb:
Ja, aber warum hängst Du den Server nicht an einen getaggten Switchport und konfigurierst auf dem Server für alle VLANs eigene Interfaces?
Dann kannst Du auch Iptables für alle ethX.Y ordentlich konfigurieren oder ggf. einzelne Dienste nur auf den Interfaces/Adressen starten, auf denen sie gebraucht werden.
Hallo, Heiko!
Ja, klar! Da habe ich eigentlich schon gemacht, aber dann muß ich mit IPTables auch auf dem Server ein "mini-Firewall" einrichten.
Was ja nicht so die große Aktion ist.
Und die Idee gefällt mir nicht... Ich hätte lieber EIN Firewall, anstatt zwei... Ansonsten, jedes Mal, daß ich eine Änderung durchführen muß, muß ich an zwei Stellen das gleiche (oder fast) machen. Und das kann zur Fehler führen.
Wieso, auf dem Server konfigurierst Du die Firewall doch nur soweit, wie es die Dienste des Servers erfordern. Also für den Selbstschutz. Ich denke, die Verwendung eines Gateways, nur um eine Firewall zu haben, ist in dieser Konstellation nicht notwendig.
Und an zwei Stellen mußt Du auch nicht das (fast) gleiche eintragen. Wenn der Server sich selbst schützt, mußt Du das auf einer anderen Firewall nicht mehr tun.
Heiko Schlittermann hs@schlittermann.de schrieb:
Und die Idee gefällt mir nicht... Ich hätte lieber EIN Firewall, anstatt zwei... Ansonsten, jedes Mal, daß ich eine Änderung durchführen muß, muß ich an zwei Stellen das gleiche (oder fast) machen. Und das kann zur Fehler führen.
Wieso, auf dem Server konfigurierst Du die Firewall doch nur soweit, wie es die Dienste des Servers erfordern. Also für den Selbstschutz. Ich denke, die Verwendung eines Gateways, nur um eine Firewall zu haben, ist in dieser Konstellation nicht notwendig.
Und an zwei Stellen mußt Du auch nicht das (fast) gleiche eintragen. Wenn der Server sich selbst schützt, mußt Du das auf einer anderen Firewall nicht mehr tun.
Du hast fast Recht... :)
Das Problem ist, daß die VLANs nicht miteinander sprechen müssen. Sie sind verschiedene Netze, für verschiedene Zwecke, mit verschiedenen Rechten. Also, der Gateway ist doch auch eine Firewall zwischen den VLANs. Und wenn es schon das macht, finde ich sinnvoller alles von ihm machen zu lassen.
Grüße Luca Bertoncello (lucabert@lucabert.de)
Luca Bertoncello lucabert@lucabert.de (So 05 Sep 2010 07:55:15 CEST):
Und die Idee gefällt mir nicht... Ich hätte lieber EIN Firewall, anstatt zwei... Ansonsten, jedes Mal, daß ich eine Änderung durchführen muß, muß ich an zwei Stellen das gleiche (oder fast) machen. Und das kann zur Fehler führen.
Wieso, auf dem Server konfigurierst Du die Firewall doch nur soweit, wie es die Dienste des Servers erfordern. Also für den Selbstschutz. Ich denke, die Verwendung eines Gateways, nur um eine Firewall zu haben, ist in dieser Konstellation nicht notwendig.
Und an zwei Stellen mußt Du auch nicht das (fast) gleiche eintragen. Wenn der Server sich selbst schützt, mußt Du das auf einer anderen Firewall nicht mehr tun.
Du hast fast Recht... :)
Das Problem ist, daß die VLANs nicht miteinander sprechen müssen. Sie sind verschiedene Netze, für verschiedene Zwecke, mit verschiedenen Rechten. Also, der Gateway ist doch auch eine Firewall zwischen den VLANs. Und wenn es schon das macht, finde ich sinnvoller alles von ihm machen zu lassen.
Solange Dein Server kein Forwarding macht, solltest Du Dir auch keine Gedanken machen müssen, daß die VLANs über ihn miteinander sprechen. Als passive Sicherheit: der Server ist ja sicher nicht als GW in den Clients eingetragen, von daher sollten sie auch nicht auf die Idee kommen, den Server als GW zu nutzen. Es spricht also nichts dagegen, den Server in alle VLANs zu hängen. Aus meiner bescheidenen Sicht. Und VLAN-Karten kosten nicht so viel :)
Heiko Schlittermann hs@schlittermann.de schrieb:
Solange Dein Server kein Forwarding macht, solltest Du Dir auch keine Gedanken machen müssen, daß die VLANs über ihn miteinander sprechen. Als passive Sicherheit: der Server ist ja sicher nicht als GW in den Clients eingetragen, von daher sollten sie auch nicht auf die Idee kommen, den Server als GW zu nutzen. Es spricht also nichts dagegen, den Server in alle VLANs zu hängen. Aus meiner bescheidenen Sicht. Und VLAN-Karten kosten nicht so viel :)
Hallo, Heiko!
Das Problem ist nicht, ob man den Server als GW missbrauchen kann, oder wie viel die VLAN-fähige Karten kosten.
Das Problem ist einfach, daß ich schon so sehr viel zu tun habe, und will den Aufwand der Administration minimieren. Wenn ich ZWEI Firewallskripte habe, muß ich sie beide ändern, wenn ich was machen will.
Ich will lieber alles auf einer Stelle haben.
Schöne Woche! Luca Bertoncello (lucabert@lucabert.de)
lug-dd@mailman.schlittermann.de
-
Andreas Kretschmer -
Bernhard Schiffner -
Heiko Schlittermann -
Konrad Rosenbaum -
Luca Bertoncello -
Ronny Seffner