Beschränkung einer Firewall umgehen
Hallo zusammen, der Betreff ist vielleicht etwas irreführend: ich habe hier ein Netz mit LAN, WAN und DMZ. Ein Server, der in der DMZ steht, kann aus dem LAN unter seiner LAN-IP erreicht werden, aus dem WAN mit der WAN-IP der Firewall, die dann per Portforwarding die Pakete in die DMZ durchreicht. Was nicht funktioniert ist, daß der Server aus dem LAN mit der WAN-IP erreicht werden kann. Das checkt die Firewall nicht, und dafür brauche ich eine Lösung. Wie macht man es am besten? Ich dachte mir schon, daß ich einen bind aufsetze, der sich für die Domain zuständig erklärt, obwohl er es nicht ist. Wenn er dann von den LAN-Clients befragt wird, dann gibt er eben die LAN-IP zurück, während jeder andere DNS draußen die WAN-IP liefern würde. Weil mir das aber etwas unschön vorkommt, frage ich mich, ob man das auch eleganter lösen kann. Hat jemand eine Idee? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Hallo zusammen,
der Betreff ist vielleicht etwas irreführend: ich habe hier ein Netz mit LAN, WAN und DMZ. Ein Server, der in der DMZ steht, kann aus dem LAN unter seiner LAN-IP erreicht werden, aus dem WAN mit der WAN-IP der Firewall, die dann per Portforwarding die Pakete in die DMZ durchreicht.
Was nicht funktioniert ist, daß der Server aus dem LAN mit der WAN-IP erreicht werden kann. Das checkt die Firewall nicht, und dafür brauche ich eine Lösung.
Wie macht man es am besten? Ich dachte mir schon, daß ich einen bind aufsetze, der sich für die Domain zuständig erklärt, obwohl er es nicht ist. Wenn er dann von den LAN-Clients befragt wird, dann gibt er eben die LAN-IP zurück, während jeder andere DNS draußen die WAN-IP liefern würde.
Weil mir das aber etwas unschön vorkommt, frage ich mich, ob man das auch eleganter lösen kann.
Hat jemand eine Idee?
Moin Andre, ich befürchte, dass das eher eine Problematik des Nameservice ist als eine des Routing. Führ' Deine Anforderung nochmal ein bisschen aus. Wofür brauchst Du diesen Weg? Was für ein Router? Wir haben eine ähnliche Infrastruktur und betreiben Apache2-name-based-VirtualHosts auf dem Server. Auf unserem Linux-Router schreiben wir für jeden VHost einen Eintrag in die /etc/hosts. Gruß, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Servus Boris, Boris, Mittwoch 17 Februar 2010:
ich befürchte, dass das eher eine Problematik des Nameservice ist als eine des Routing.
Ich denke, mit dem Nameservice kann man das Routingproblem umgehen, aber primär ist es schon ein Problem der Firewall.
Führ' Deine Anforderung nochmal ein bisschen aus. Wofür brauchst Du diesen Weg? Was für ein Router?
Also, die Sache ist so, daß wir in unserer DMZ einen Mailserver stehen haben. Einige Mitarbeiter haben Notebooks, die mal drinnen und mal draußen in der weiten Welt sind. Wenn jetzt die inneren Clients auf den Mailserver wollen und dafür eine DNS-Abfrage machen, die die externe IP zurückliefert, dann kommen sie aus dem LAN nicht auf den in der DMZ stehenden Server, weil die Firewall (eine Sonicwall TZ 170) nicht peilt, wohin sie mit den Paketen soll. Wenn ich nun vom DNS die interne IP zurückliefern lasse, dann kommt logischerweise die weite Welt nicht mehr auf den Mailserver. Ergo habe ich mir gedacht, daß ich für draußen das DNS so einstelle, daß ganz normal die externe IP zurückgeliefert wird. Und für drinnen setze ich einen DNS auf, der für dieselbe Anfrage eine andere Adresse zurückliefert, nämlich die DMZ-IP. Das wird zwar wahrscheinlich funktionieren, aber ich finde es eben nicht schön, weil für ein und denselben Hostnamen zwei unterschiedliche Ergebnisse geliefert werden, je nachdem welchen Server man befragt. Hoffe, das war jetzt etwas besser verständlich. Danke+Gruß! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin Andre, Andre Tann schrieb:
Servus Boris,
Boris, Mittwoch 17 Februar 2010:
ich befürchte, dass das eher eine Problematik des Nameservice ist als eine des Routing.
Ich denke, mit dem Nameservice kann man das Routingproblem umgehen, aber primär ist es schon ein Problem der Firewall.
Führ' Deine Anforderung nochmal ein bisschen aus. Wofür brauchst Du diesen Weg? Was für ein Router?
Also, die Sache ist so, daß wir in unserer DMZ einen Mailserver stehen haben.
Da gehört er ja auch hin. Einige Mitarbeiter haben Notebooks, die mal drinnen und mal
draußen in der weiten Welt sind.
Ziemlich typisch. Womit ich gesagt haben will, dass Du kein exotisches Problem hast.
Wenn jetzt die inneren Clients auf den Mailserver wollen und dafür eine DNS-Abfrage machen, die die externe IP zurückliefert,
Das ist ja auch Käse. Der DNS für die LAN-Clients wird von Deinem Router (dieser Sonicwall, die ich nicht kenne) geliefert. Warum sollte der die WAN-IP zurückliefern? Der liefert die DMZ-IP und dorthin hat die Firewall für das LAN die entsprechenden Ports geöffnet. dann kommen sie
aus dem LAN nicht auf den in der DMZ stehenden Server, weil die Firewall (eine Sonicwall TZ 170) nicht peilt, wohin sie mit den Paketen soll.
Das wäre ja auch 'außenrum', also irgendwie ein Umweg....
Wenn ich nun vom DNS die interne IP zurückliefern lasse, dann kommt logischerweise die weite Welt nicht mehr auf den Mailserver.
Wieso das denn nicht? Die weite Welt bekommt von irgendeinem DNS (nicht Deine Box, sondern z.B. ein dyndns-Dienst) die WAN-IP. Zugriffe auf die Mail-spezifieschen Ports werden von dem Router in die DMZ auf Deinen Server geforwarded.
Ergo habe ich mir gedacht, daß ich für draußen das DNS so einstelle, daß ganz normal die externe IP zurückgeliefert wird.
Für außen stellst Du auf dem DNS Deiner Box gar nichts ein.
Und für drinnen setze ich einen DNS auf, der für dieselbe Anfrage eine andere Adresse zurückliefert, nämlich die DMZ-IP.
Das ist richtig.
Das wird zwar wahrscheinlich funktionieren, aber ich finde es eben nicht schön, weil für ein und denselben Hostnamen zwei unterschiedliche Ergebnisse geliefert werden, je nachdem welchen Server man befragt.
Das ist ganz normal. Wenn ich mit meinem Laptop in meinem LAN bin, bekomme ich für mail.cation.de eine 192.168.x.y aus der DMZ. Befinde ich mich auf hoher See, gibt es meine feste (WAN-)IP, die mir mein ISP verkauft hat und der er ebenfalls den Namen mail.cation.de zugewiesen hat. By the way: Für Mailserver ist es auch wichtig, dass die weite Welt weiß, dass sich unter der IP der entsprechende Name verbirgt, d.h. eine umgekehrte Namensauflösung. Grüße, Boris -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Boris, Donnerstag 18 Februar 2010:
aus dem LAN nicht auf den in der DMZ stehenden Server, weil die Firewall (eine Sonicwall TZ 170) nicht peilt, wohin sie mit den Paketen soll.
Das wäre ja auch 'außenrum', also irgendwie ein Umweg....
Finde ich eigentlich nicht, denn die Firewall kriegt die Pakete so oder so ab, und muß sie in die DMZ weiterleiten. Hatte mal ne Cisco in Betrieb, und die hat das problemlos kapiert. Aber egal, die Sonicwall kapierts nicht, und damit muß man eben leben.
Ergo habe ich mir gedacht, daß ich für draußen das DNS so einstelle, daß ganz normal die externe IP zurückgeliefert wird.
Für außen stellst Du auf dem DNS Deiner Box gar nichts ein.
Doch, muß ich schon. Ich hab auch den DNS für draußen selbst in Betrieb.
Das ist ganz normal. Wenn ich mit meinem Laptop in meinem LAN bin, bekomme ich für mail.cation.de eine 192.168.x.y aus der DMZ. Befinde ich mich auf hoher See, gibt es meine feste (WAN-)IP, die mir mein ISP verkauft hat und der er ebenfalls den Namen mail.cation.de zugewiesen hat.
Das ist genau wie bei meiner Situation. Aber gut, dann ist mein Lösungsweg jedenfalls mal kein Irrweg, und dann paßt es. Ich dachte nur, daß man vielleicht noch andere, bessere Tricks haben könnte. Vielen Dank für Dein Feedback! -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Andre Tann
-
Boris