Hallo Oliver, danke, dass du so schnell auf meine beiden Postings geantowrtet hast.
Ich sitze im EXTRANET und öffne einen Browser und gebe dort die Adresse des Firewall-Rechners in die URL Zeile ein.
normalerweise gibt es keine verbindung durch die firewall aus dem extra- in das testnetz. soll heissen, es können aus dem extranet keine Verbindungen im testnetz hergestellt werden. es sei denn, du hast eine regel dafür oder der router aus dem extranet könnte in das testnetz routen. aber wenn du zwischen dem router und dem testnetz noch eine firewall hast, geht das nicht mehr.
verstehe...
Der Firewall Rechner bekommt die TCP/IP Pakete die an seine Adresse, > > aber an Port 80 gerichtet sind und weiss "Aha, das muss ich an den Web-Server-Rechner weiterleiten", ohne dass ich den Web-Server sonders gekennzeichnet habe... also keine besonderen Einstellungen in ipchains dafuer getroffen habe.
Ist das so richtig?????
nicht ganz. für das masquerading endet die arbeit, sobald der absender am externen device der firewall umgeschrieben wurde. was du brauchst ist eine redirekt-regel die besagt, daß anfragen aus dem extranet an ipadresse:80 an den testrechner port 80 weitergeleitet werden. private adressen sind aus dem internet nicht routbar und somit nicht erreichbar.
Und wie müsste so eine redirekt-Regel für ipchains aussehen? Vielleicht kann mir dies jemand anders sagen, falls du es nicht weisst. Aber ich stelle fest, dass falls sich mein Vorhaben so nicht realisieren läßt, ich dann auch kein Masquerading brauche. Wichtig ist für mich, dass ich mit den "Firewall-Rechner" zwischen den Test-LAN und den EXTRANET bestimmte Pakete filtern kann. Masquerading erschien für mich eine zusätzliche Sicherheitsmassnahme zu sein, die mich jetzt, wie es ausschaut, vor einen grossen Problem stellt. Kann ich dieses Problem "ausschalten, wenn ich nur ein einfaches "forwarding" von der einen IP (192.168.0.x) nach der anderen (182.22.122.x) vollziehe? Ich weiss, dass ich mich langsam dem Off-Topic nähere, aber irgendwie hängen diese Gedankengänge mit Linux bzw. ipchains zusammen ;)
--
gruß
oliver
MfG Robert