Re: Problem mit Firewall (Denkfehler)
Hallo Oliver, danke, dass du so schnell auf meine beiden Postings geantowrtet hast.
Ich sitze im EXTRANET und öffne einen Browser und gebe dort die Adresse des Firewall-Rechners in die URL Zeile ein.
normalerweise gibt es keine verbindung durch die firewall aus dem extra- in das testnetz. soll heissen, es können aus dem extranet keine Verbindungen im testnetz hergestellt werden. es sei denn, du hast eine regel dafür oder der router aus dem extranet könnte in das testnetz routen. aber wenn du zwischen dem router und dem testnetz noch eine firewall hast, geht das nicht mehr.
verstehe...
Der Firewall Rechner bekommt die TCP/IP Pakete die an seine Adresse, > > aber an Port 80 gerichtet sind und weiss "Aha, das muss ich an den Web-Server-Rechner weiterleiten", ohne dass ich den Web-Server sonders gekennzeichnet habe... also keine besonderen Einstellungen in ipchains dafuer getroffen habe.
Ist das so richtig?????
nicht ganz. für das masquerading endet die arbeit, sobald der absender am externen device der firewall umgeschrieben wurde. was du brauchst ist eine redirekt-regel die besagt, daß anfragen aus dem extranet an ipadresse:80 an den testrechner port 80 weitergeleitet werden. private adressen sind aus dem internet nicht routbar und somit nicht erreichbar.
Und wie müsste so eine redirekt-Regel für ipchains aussehen? Vielleicht kann mir dies jemand anders sagen, falls du es nicht weisst. Aber ich stelle fest, dass falls sich mein Vorhaben so nicht realisieren läßt, ich dann auch kein Masquerading brauche. Wichtig ist für mich, dass ich mit den "Firewall-Rechner" zwischen den Test-LAN und den EXTRANET bestimmte Pakete filtern kann. Masquerading erschien für mich eine zusätzliche Sicherheitsmassnahme zu sein, die mich jetzt, wie es ausschaut, vor einen grossen Problem stellt. Kann ich dieses Problem "ausschalten, wenn ich nur ein einfaches "forwarding" von der einen IP (192.168.0.x) nach der anderen (182.22.122.x) vollziehe? Ich weiss, dass ich mich langsam dem Off-Topic nähere, aber irgendwie hängen diese Gedankengänge mit Linux bzw. ipchains zusammen ;)
--
gruß
oliver
MfG Robert
Am Donnerstag, 17. Mai 2001 13:19 schrieb robert-busch@nexgo.de:
Und wie müsste so eine redirekt-Regel für ipchains aussehen? Vielleicht kann mir dies jemand anders sagen, falls du es nicht weisst.
Aber ich stelle fest, dass falls sich mein Vorhaben so nicht realisieren läßt, ich dann auch kein Masquerading brauche. Wichtig ist für mich, dass ich mit den "Firewall-Rechner" zwischen den Test-LAN und den EXTRANET bestimmte Pakete filtern kann. Masquerading erschien für mich eine zusätzliche Sicherheitsmassnahme zu sein, die mich jetzt, wie es ausschaut, vor einen grossen Problem stellt. Kann ich dieses Problem "ausschalten, wenn ich nur ein einfaches "forwarding" von der einen IP (192.168.0.x) nach der anderen (182.22.122.x) vollziehe?
forwarding besagt nur, daß der rechner der als router fungieren soll überhaupt pakete von anderen rechnern weiterleiten soll. es besagt aber nicht, wer mit wem. wenn kein rechner aus dem testnetz in das extranet kommen soll oder alle rechner ausschließlich über einen proxy in das extranet kommen, brauchst du tatsächlich kein masquerading. was du dann brauchst sind paketfilter-regel. ich kann dir aber nicht sagen wie das mit ipchains erreicht wird, da ich mich damit nicht befasst habe. aber du solltest das recht einfach in den dokus finden. das was du willst ist eine der am meisten benutzten redirect-regeln und findet sich mit sicherheit in den beispielen.
Ich weiss, dass ich mich langsam dem Off-Topic nähere, aber irgendwie hängen diese Gedankengänge mit Linux bzw. ipchains zusammen ;)
off-topic sind hinweise wie: "windows ist besser als der liebe gott" auf linux-mailinglisten. nicht aber thematiken der systemsicherheit. -- gruß oliver
Moin robert-busch, * robert-busch@nexgo.de schrieb am 17 May 2001: bitte laß deine Vorredner stehen..
nicht ganz. für das masquerading endet die arbeit, sobald der absender am externen device der firewall umgeschrieben wurde. was du brauchst ist eine redirekt-regel die besagt, daß anfragen aus dem extranet an ipadresse:80 an den testrechner port 80 weitergeleitet werden. private adressen sind aus dem internet nicht routbar und somit nicht erreichbar.
Und wie müsste so eine redirekt-Regel für ipchains aussehen?
Das geht nicht mir ipchains, weil es keine lokale Umleitung ist. Schau dir mal man rinetd an.
Aber ich stelle fest, dass falls sich mein Vorhaben so nicht realisieren läßt, ich dann auch kein Masquerading brauche. Wichtig ist für mich, dass ich mit den "Firewall-Rechner" zwischen den Test-LAN und den EXTRANET bestimmte Pakete filtern kann. Masquerading erschien für mich eine zusätzliche Sicherheitsmassnahme zu sein, die mich jetzt, wie es ausschaut, vor einen grossen Problem stellt. Kann ich dieses Problem "ausschalten, wenn ich nur ein einfaches "forwarding" von der einen IP (192.168.0.x) nach der anderen (182.22.122.x) vollziehe?
Nein. Der interne Bereich besteht aus privaten IP-Adressen, die werden im Internet nicht geroutet, das solltest du auch nicht machen. Entweder du benutzt Masquerading oder statisches NAT.
Ich weiss, dass ich mich langsam dem Off-Topic nähere, aber
Nicht wirklich :-) Und keine Angst vor OT, es geht ja nicht darum, daß man mal (ausversehen) OT wird, sondern OT-Threads beginnt mit "Ich weiß ja, daß es OT ist, aber....".
irgendwie hängen diese Gedankengänge mit Linux bzw. ipchains zusammen ;)
Ja. Gruß, Sebastian -- Do not meddle in the affairs of Wizards, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/
participants (3)
-
Oliver Leue
-
robert-busch@nexgo.de
-
Sebastian Helms