Re: iptables: Paketumleitung vom Netz wieder ins Netz
Harald ARNOLD schrieb:
Wie sollen zwei Protokolle von den anderen Protokollen (Ports) über Namensauflösungen getrennt werden ? Alle Protokolle sollen durch die Firewall ganz normal durchgehen. Nur die http/https sollen - wegen der Handies - bei internen Gebraucht über das WLAN an den intern Web-Server gehen. Sonst nixi!
wie jetzt ... welche Dienste laufen denn da noch lokal, die du dann *nicht* erreichen können willst (und für wieviele Geräte ) ?
Es geht doch nur darum, dass alle internen Rechner natürlich den Web-Server über einen "Namen" aufrufen - nona. Beim Handy gibt es aber nur eine Konfiguration. Diese muss in Indien, im Ami-Land, etc funktionieren - das tut es auch über die iptables- Regeln, wenn das Handy "extern" verwendet wird.
deswegen ja das "DNS-Spiel"
Wird das Handy intern verwendet, dann bleibt die Konfiguration am Handy natürlich die gleiche. Der Unterschied ist, dass sich das Handy aber über eine interne IP-Adresse einloggt (DHCP oder fix - egal). Laut der Konfiguration wählt sich das Handy ein, als ob es sich von "Extern" einwählen würde. Also "http:/fw-name".
welche Konfiguration ... zugeteilte IP ? wählt sich wo ein ?
Das Handy ist zwar ein "Hype" (sagen andere), aber es gibt eben nur eine Konfiguration. Somit schickt das Handy über WLAN (laut externer Konfiguration) ein Packet zuerst an die FW. Ist ja auch richtig so. Nur die FW muss dieses Paket wieder zurück an den Web-Server schicke. Das ist eigentlich das Grundproblem.
??? schon ein wenig heftig krude ausgedrückt :) *die* Firewall ist ein Stück Software, was (auch zusätzlich) irgenwo läuft... Und ein Netz (wie vorgeschlagen) funktioniert *so* nicht... und wieso zurückschicken ???? .. du hast also den Exkurs zum Thema Namensauflösung nicht gelesen hmmm
1) Extern: Die FW hat eine offiziellen Namen und eine IP-Adresse. D.h. von extern "http://fw-name", in der Firewall findet eine Umleitung auf den Web-Server statt
2) Intern: Die Konfiguration soll ja die gleiche sein, also wählt das Handy über das WLAN ebenfalls "http://fw-name". Damit wird das Paket auf die FW-geschickt und dort muss es dann wieder in das interne Netz, direkt zum Web-Server zurückgeschickt werden.
Dafür benötige ich die iptables-Regeln, da meine ja versagen.
brauchst du auch wieder nicht ... tut alles gehen tun.... wenn du über einen anderen DSL-Zugang rausgehst und dann kommst du von aussen wieder rein :)
Naja, wir versuchen schon effizient zu arbeiten. Und alles, was intern geht, sollte auch intern passieren.
Wenn wir von München nach Regensburg fahren, dann wollen wir nicht über Hamburg fahren. Genauso wenig, wollen wir ein Paket von München nach Regensburg über Hamburg schicken: Kosten/Zeit sollten in Unternehmen
ach Gott, ein Witzbold auch noch! Pakete vom München nach Regensburg gehen durchaus über Amsterdam ..oder wo auch immer... Wenn es dir auf den Transportweg ankommt, musst du selber fahren...ansonsten lass den Transporteur machen (und der macht sehr oft anders als du glaubst).. es soll schnell und kostengünstig ankommen....egal ob per Flugzeug oder berittenem Boten :)
kalkuliert werden.
lg Harald
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Samstag, den 18.12.2010, 07:50 +0000 schrieb Fred Ockert:
Harald ARNOLD schrieb:
Wie sollen zwei Protokolle von den anderen Protokollen (Ports) über Namensauflösungen getrennt werden ? Alle Protokolle sollen durch die Firewall ganz normal durchgehen. Nur die http/https sollen - wegen der Handies - bei internen Gebraucht über das WLAN an den intern Web-Server gehen. Sonst nixi!
Hallo Fred! Sorry! Ich habe einfach zu kompliziert gedacht. "Andre Tann" hat mir eh die Lösung geschrieben. Es kann auch einfach gehen, nur ich dachte zu kompliziert! Sorry, dass ich dich etwas schärfer angegangen bin, da *DU* "Ja, MEISTER" geschrieben hast. Actio est reactio. Natürlich habt ihr Recht. Natürlich werde ich es so machen. PS: Jetzt aber eine theoretisches Frage: Es müsste auch über die FW gehen, wie wären dort die Befehle ? Ich müsste nur auf der FW das LAN-eingehende Paket, wieder auf die LAN-Schnittstelle zurückschicken. Theoretisch müsste es funktionieren, es funktioniert aber nicht. Ich bin bezüglich "iptables" kein DAU - aber es gibt Situationen, bei denen man nicht weiter kommt! Danke und lg Harald -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (2)
-
Fred Ockert -
Harald ARNOLD