Hallo, ich habe ein kleines Verständnisproblem bei Thema Firewall & Masquerading. Linux-System: Suse 7.0 , Kernel 2.4.2 Ausgangslage: Test-LAN FIREWALL EXTRANET | | | | 192.168.0.2 ---- 192.168.0.1 182.22.122.20 ---- 182.22.122.x eth1 eth0 Web-Server ipchains mit forwarding&masquerading Es geht mir um die Regel in ipchains die fuer das Masquerading verantwortlich ist: EXTERNAL_INTERFACE="eth0" LAN_1="192.168.0.0/24" . . . ipchains -A forward -i $EXTERNAL_INTERFACE -s $LAN_1 -j MASQ Ich versteh diese Masqeradingregel so, dass jede Anfrage aus den Test-LAN in das EXTRANET durch die Firewall "maskiert", also mit der 182er Adresse versehen wird. Aber wie verhält es sich, wenn ich mit einen Rechner aus den EXTRANET auf den Webserver im Test-LAN zugreifen möchte? Reicht da o.g. MASQ-Regel aus? Was ich nicht kapier ist, wie der Firewall Rechner es weiss, dass die Anfrage aus den EXTRANET fuer den Web-Server-rechner gedacht ist. Bisher habe ich mir das so vorgestellt: Ich sitze im EXTRANET und öffne einen Browser und gebe dort die Adresse des Firewall-Rechners in die URL Zeile ein. Der Firewall Rechner bekommt die TCP/IP Pakete die an seine Adresse, aber an Port 80 gerichtet sind und weiss "Aha, das muss ich an den Web-Server-Rechner weiterleiten", ohne dass ich den Web-Server besonders gekennzeichnet habe... also keine besonderen Einstellungen in ipchains dafuer getroffen habe. Ist das so richtig????? Irgendwie glaube ich das nicht so ganz und vermute, dass ich eventuell eine zweite MASQ Zeile in ipchains einfügen muss, die das ganze aus der anderen Richtung regelt. Wer von euch kann mir einen Tipp geben oder mir zumindest sagen wo mein Denkfehler liegt? MfG Robert
Am Donnerstag, 17. Mai 2001 11:55 schrieb robert-busch@nexgo.de:
Reicht da o.g. MASQ-Regel aus? Was ich nicht kapier ist, wie der Firewall Rechner es weiss, dass die Anfrage aus den EXTRANET fuer den Web-Server-rechner gedacht ist. Bisher habe ich mir das so vorgestellt:
Ich sitze im EXTRANET und öffne einen Browser und gebe dort die Adresse des Firewall-Rechners in die URL Zeile ein.
normalerweise gibt es keine verbindung durch die firewall aus dem extra- in das testnetz. soll heissen, es können aus dem extranet keine verbindungen im testnetz hergestellt werden. es sei denn, du hast eine regel dafür oder der router aus dem extranet könnte in das testnetz routen. aber wenn du zwischen dem router und dem testnetz noch eine firewall hast, geht das nicht mehr.
Der Firewall Rechner bekommt die TCP/IP Pakete die an seine Adresse, aber an Port 80 gerichtet sind und weiss "Aha, das muss ich an den Web-Server-Rechner weiterleiten", ohne dass ich den Web-Server besonders gekennzeichnet habe... also keine besonderen Einstellungen in ipchains dafuer getroffen habe.
Ist das so richtig?????
nicht ganz. für das masquerading endet die arbeit, sobald der absender am externen device der firewall umgeschrieben wurde. was du brauchst ist eine redirekt-regel die besagt, daß anfragen aus dem extranet an ipadresse:80 an den testrechner port 80 weitergeleitet werden. private adressen sind aus dem internet nicht routbar und somit nicht erreichbar. -- gruß oliver
participants (2)
-
Oliver Leue
-
robert-busch@nexgo.de