Hi liebe LUG-DDler,
ich versuch gerade die oben beschriebene Konfiguration zum laufen zu bringen wobei die Server in der DMZ öffentliche IPs haben und das LAN einfach nur Maskiert wird. Das LAN ist soweit fertig und arbeitet mit den firewall regeln problemlos. Leider bekomme ich keinerlei verbindung von oder zu den Servern der DMZ. Das Problem liegt nicht bei den Firewall-Regeln sondern wohl eher am Routing bei dem ich leider keinen wirklichen Durchblick habe :(
AUFBAU:
ISP-Router(xxx.xxx.238.1)------eth0(xxx.xxx.238.221)-FIREWALL- eth1(192.168.0.221)---------LAN(192.168.0.0/24) | eth2(192.168.1.221) kann man hier diese private IP verwenden?? | | DMZ (xxx.xxx.238.0/24)überschneidet sich dieses Subnet nicht mit dem ISP-Router?
Routing-table:
192.168.1.0 0.0.0.0 255.255.255.254 U 0 0 0 eth2 192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1 xxx.xxx.238.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 xxx.xxx.238.1 0.0.0.0 UG 0 0 0 eth0
Vielen Dank im Voraus MfG André
P.S. ich ruf euch gern zurück lasst einfach 2 mal unter 0179/5322783 klingeln
André Brödner wrote:
Hi liebe LUG-DDler,
Leider bekomme ich keinerlei verbindung von oder zu den Servern der DMZ. Das Problem liegt nicht bei den Firewall-Regeln sondern wohl eher am Routing bei dem ich leider keinen wirklichen Durchblick habe :(
Du hast das Problem zumindest schon mal lokalisiert. :-)
AUFBAU:
ISP-Router(xxx.xxx.238.1)------eth0(xxx.xxx.238.221)-FIREWALL- eth1(192.168.0.221)---------LAN(192.168.0.0/24)
Das allein geht.
| eth2(192.168.1.221) kann man hierdiese private IP verwenden??
Nein. Die IP muß im 238er Netz liegen, wie auch der Rest der DMZ. Und hier sieht Du dann den Konflikt mit eth0.
| DMZ(xxx.xxx.238.0/24)überschneidet sich dieses Subnet nicht mit dem ISP-Router?
Tut es. Und das geht nicht. s.u.
Lösungen: 1. Du kannst dem Router selbst eine IP geben(?):
Dann setze hier private IP's ein: Router 192.168.1.1 eth0 x.x.1.2 eth2 y.y.238.1
Routing: auf dem Router (nach innen): y.y.238.0/24 gw x.x.1.2 auf der Firewall (nach außen): default gw x.x.1.1
oder du splittest das öffentliche /24 in kleinere Subnetze auf und nimmst einen Teil davon zwischen Router und Firewall.
2. sie die vom Provider vorgegeben:
Laß dir noch ein Mininetz mit 2 IP's für Router+eth0 geben und setze das komplette /24 in die DMZ (wie oben). Hierbei ist wiederum egal, ob es private oder öffentliche IPs sind. Das Außenbein des Routers hat ohnehin eine andere IP, um vom Rest der Welt aus erreichbar zu sein.
Es ist nur die Frage wer den Router konfigurieren kann.
Routing-table:
Das kann nicht funktionieren.
192.168.1.0 0.0.0.0 255.255.255.254 U 0 0 0 eth2
Hier kann die Karte nur mit sich selbst reden. :-( .254 ist keine sinnvolle Netmask .252 ist das nächste sinnvolle, dann kannst Du die 1.1 auch noch ansprechen, aber nichts anderes. Also auch nicht y.y.238.z.
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
Das geht so ;-)
xxx.xxx.238.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
Damit werden alle DMZ-Pakete nach eth0 geschickt. Der Router hat hier die gleiche Einstellung und weiß nicht, daß von außen kommende Pakete noch über die Firewall müssen. D.h. alle Pakete für die DMZ werden auf dieses Netzwerksegment geschickt, sowohl von inne wie auch außen.
0.0.0.0 xxx.xxx.238.1 0.0.0.0 UG 0 0 0 eth0
Das sorgt dafür, daß zumindest die unbekannten IPs über den Router gehen.
Gruß Rico
André Brödner (nfs@gmx.net) schrieb auf LUG-DD am Sam, 12 Jul, 2003; 18:47 +0200:
Hi,
Routing bei dem ich leider keinen wirklichen Durchblick habe :(
Vielleicht hilft Dir
ip route get $ZIEL_IP_ADRESSE
Damit siehst Du, auf welchem Interface eine IP-Adresse aus dem Router fällt.
Prüfe, ob cat /proc/sys/net/ipv4/ip_forward auf "1" steht.
Gruß,
Frank
lug-dd@mailman.schlittermann.de
-
André Brödner -
Frank Becker -
Rico Koerner