Hallo Fritz, morgen setze ich mich mal an ein paar Zeilen IPTABLES - quasi zur Selbstkasteiung. Heute ist Kindergeburtstag und da ist gleich das Haus voll. Cu - Bernd Fritz Mundtart wrote:
Hallo Bernd,
Bernd Glueckert schrieb:
[...] Damit ziehst Du also ganze Server um. Stimmt genau! Es ist fast wirklich so, wie wenn man sich die 19" Pizza-Server-Schachtel unter den Arm klemmt, von Hamburg nach Frankfurt fährt und dort das gute Stück wieder anschließt. Eine Woche später geht es dann wieder zurück ....
Warum änderst Du nicht einfach den DNS-Eintrag? Sind die Sachen zeitkritisch?
Das Problem ist, dass ich mir sparen möchte, in allen Konfigdatein rumzueditieren. Das ist fehlerträchtig und vorallem geht es halt nach ein paar Tagen wieder zurück. Das potenziert die Fehlerwahrscheinlichkeit. Hinzukommt, daß manche Dienste nur an die IPs gebunden sind. Zum Beispiel der MySQL-Cluster-Manager.
Wenn das mit dem DNS nicht klappt dann kannst Du eine sehr fein zu steuernde Umleitung via iptables bauen. Ist denn jetzt eine Firewall und ggf. auch iptables schon im Einsatz?
Ich hab die hauseigene SuSEFirewall im Einsatz. Hab dazu das Config-Script angepasst. Soviel ich weiß ist das ja wohl nur ein Frontend zu IPTables, oder? Aber letztendlich hab ich leider von dem IpTable Thema (noch) keinen Plan ... :( Wie lege ich wo Regeln an, wie greife ich darauf zu, etc? Ich hab mir vor einiger Zeit verschiedene man's angesehen, aber das hat mich auf den ersten Blick erschlagen :/
Damit kannst Du dann sehr exakt sagen, welcher Port von wo kommend wohin weitergeroutet wird.
Das klingt gut! Wäre das die FW_FORWARD Option im SuSEFirewall Script? Da hab ich nämlich schon definiert, daß man von 0.0.0.0 (überall) in das "interne" Netz kommen kann.
Da ich vermute, dass Du aussert TCP auch UDP brauchst Ja, ich denke schon - wäre besser, auch wenn es nur ein paar wenige sind.
- z.B. für die Zeitsynchronisation - fallen einige andere Tunnelprodukte weg, z.B. stunnel, der nur auf TCP baut.
Wie sähe es mit openvpn aus? Basiert der auch nur auf TCP?
Vielen Dank und viele Grüße Fritz