Hallo zusammen, meine Frage hat nur insofern was mit Linux zu tun, als die Dienste, die ich anbieten will, unter Linux laufen. Folgende Situation: Ein Server mit sagen wir smtp, pop, imap soll seine Dienste ins Internet anbieten. Er steht hier im LAN mit einer privaten IP. Also habe ich die Ports 25, 110 usw. der (statischen) öffentlichen IP auf die private IP der Servers geforwardet. Das Problem ist nun, daß der Zugriff auf den Server von draußen zwar einwandfrei funktioniert. Von innen aber klappt das nicht, und zwar deswegen, weil server.example.com auf die öffentliche IP auflöst. Die Firewall kapiert nun nicht, daß die Pakete zwar so aussehen, als müßten sie nach draußen, in Wahrheit aber doch nach drinnen gehören. Die Firewall kann ich nicht ohne weiteres austauschen. Wie löst man denn eine solche Situation normalerweise? Eine zweite IP würde helfen. Aber erstens ist das teuer, und zweitens will ich natürlich nicht den ganzen Verkehr durch die Leitung raus- und durch die andere gleich wieder reinschaufeln. Vielmehr sollen sich die Clients, wenn sie im Büro sind, auch übers LAN mit der Server unterhalten können. Was ist zu tun? -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Hallo zusammen,
meine Frage hat nur insofern was mit Linux zu tun, als die Dienste, die ich anbieten will, unter Linux laufen. Folgende Situation:
Ein Server mit sagen wir smtp, pop, imap soll seine Dienste ins Internet anbieten. Er steht hier im LAN mit einer privaten IP. Also habe ich die Ports 25, 110 usw. der (statischen) öffentlichen IP auf die private IP der Servers geforwardet.
schön
Das Problem ist nun, daß der Zugriff auf den Server von draußen zwar einwandfrei funktioniert. Von innen aber klappt das nicht, und zwar deswegen, weil server.example.com auf die öffentliche IP auflöst.
mit eigenem Nameserver ?
Die Firewall kapiert nun nicht, daß die Pakete zwar so aussehen, als müßten sie nach draußen, in Wahrheit aber doch nach drinnen gehören.
muss sie auch nicht
Die Firewall kann ich nicht ohne weiteres austauschen. Wie löst man denn eine solche Situation normalerweise? Eine zweite IP würde helfen. Aber erstens ist das teuer, und zweitens will ich natürlich nicht den ganzen Verkehr durch die Leitung raus- und durch die andere gleich wieder reinschaufeln. Vielmehr sollen sich die Clients, wenn sie im Büro sind, auch übers LAN mit der Server unterhalten können.
erstens .. versteh ich nicht.. dein interner Nameserver ist doch immer (?) der erste der gefragt wird - der löst alles nach innen auf! hindert dich doch kein Mensch server.example.com auf (weiss der Fuchs..) na ja auf 192.168.123.8 oder so aufzulösen! und da alle anderen Clients bissel doof sind, glaube sie das ohne weiteres... ( hier dnsmasq, der aus einer /etc/hosts seine Weisheit bezieht..) der Portforward kann auch (bleiben wir beim Beispiel) auf 192.168.124.8 gehen ( die zweite Adresse der Netzwerkkarte).. aber eigentlich ist das schon unnütz!
Was ist zu tun?
du kannst auch (probier mal) einen /etc/hosts Eintrag machen: 127.0.0.1 www.google.de na ja oder eine beliebige andere gültige IP-Nummer der löst immer (!) zuerst local auf, eh er Nameserver fragen geht! Ist bei WinXP nervig ..da kommt noch der Cache dazu - nervig immer dann, wenn der Provider ein Problem hat und vorübergehend auf eine Fehlerseite leitet ! Damit könnte dein problem schon "erschlagen" sein ?! Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Fred Ockert, Dienstag, 2. September 2008 15:26:
erstens .. versteh ich nicht.. dein interner Nameserver ist doch immer (?) der erste der gefragt wird - der löst alles nach innen auf!
hindert dich doch kein Mensch server.example.com auf (weiss der Fuchs..) na ja auf 192.168.123.8 oder so aufzulösen! und da alle anderen Clients bissel doof sind, glaube sie das ohne weiteres... ( hier dnsmasq, der aus einer /etc/hosts seine Weisheit bezieht..)
OK, verstehe. Dein Ansatz ist, daß von draußen anders aufgelöst wird als von innen. Dann ist es natürlich auch kein Routingproblem mehr. Da ich intern sowieso einen named am laufen habe ist das auch kein Problem. Das probier ich mal so. Danke. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Andre Tann schrieb:
Fred Ockert, Dienstag, 2. September 2008 15:26:
erstens .. versteh ich nicht.. dein interner Nameserver ist doch immer (?) der erste der gefragt wird - der löst alles nach innen auf!
hindert dich doch kein Mensch server.example.com auf (weiss der Fuchs..) na ja auf 192.168.123.8 oder so aufzulösen! und da alle anderen Clients bissel doof sind, glaube sie das ohne weiteres... ( hier dnsmasq, der aus einer /etc/hosts seine Weisheit bezieht..)
OK, verstehe. Dein Ansatz ist, daß von draußen anders aufgelöst wird als von innen. Dann ist es natürlich auch kein Routingproblem mehr. Da ich intern sowieso einen named am laufen habe ist das auch kein Problem. Das probier ich mal so. Danke.
hier tut es nur ein dnsmasq ...bei Bind hast du zusätzlich noch reverse Auflösung zum "überlisten"... aber das ist Jahre her . Hab ich mal gemacht - ging- weiss aber heute nicht mehr warum ? ;-) Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Fred Ockert, Mittwoch, 3. September 2008 10:39:
hier tut es nur ein dnsmasq ...bei Bind hast du zusätzlich noch reverse Auflösung zum "überlisten"... aber das ist Jahre her . Hab ich mal gemacht - ging- weiss aber heute nicht mehr warum ? ;-)
Da sehe ich jetzt kein Problem. Wenn ich die Vorwärts-Auflösung verbiege, dann kann ich es auch mit der Rückwärts-Auflösung tun. Aber vielleicht hängt das dann doch an einem Detail, das ich jetzt nicht sehe. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Wed, 3 Sep 2008 11:33:19 +0200 Andre Tann <atann@gmx.net> wrote:
Fred Ockert, Mittwoch, 3. September 2008 10:39:
hier tut es nur ein dnsmasq ...bei Bind hast du zusätzlich noch reverse Auflösung zum "überlisten"... aber das ist Jahre her . Hab ich mal gemacht - ging- weiss aber heute nicht mehr warum ? ;-)
Da sehe ich jetzt kein Problem. Wenn ich die Vorwärts-Auflösung verbiege, dann kann ich es auch mit der Rückwärts-Auflösung tun. Aber vielleicht hängt das dann doch an einem Detail, das ich jetzt nicht sehe.
Schwierigkeiten kann es bei der Verwendung von SSL-Zertifikaten geben, wenn die auf eine statische IP-Adresse ausgestellt wurden, die dann natürlich die private Adresse ist, solange kein SSL-Gateway auf der Firewall läuft. Ansonsten nein, im Prinzip das läuft (nicht nur) hier genauso. Intern ein bind, der noch dazu komplett eigenständig, also ohne Benutzung der "Firewall" als DNS-forwarder auflöst und für die lokal erreichbaren Hosts private Adressen verwendet. Je nach "Firewall" kann man ihr auch beibringen, ebenfalls den internen named zu nutzen. Bei meinem IPCOP geht das. Ansonsten kann man auch intern eine eigene, nicht-registrierte Domain verwenden, um beim debugging nicht durch die unterschiedlichen Sichtweisen verwirrt zu werden. Am ehesten dürfte das ein Problem bei Websites im LAN sein, die als virtual hosts nach Domainnamen arbeiten. Bei POP/IMAP ist es wohl eher egal. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Tobias Crefeld schrieb:
On Wed, 3 Sep 2008 11:33:19 +0200 Andre Tann <atann@gmx.net> wrote:
Fred Ockert, Mittwoch, 3. September 2008 10:39:
hier tut es nur ein dnsmasq ...bei Bind hast du zusätzlich noch reverse Auflösung zum "überlisten"... aber das ist Jahre her . Hab ich mal gemacht - ging- weiss aber heute nicht mehr warum ? ;-) Da sehe ich jetzt kein Problem. Wenn ich die Vorwärts-Auflösung verbiege, dann kann ich es auch mit der Rückwärts-Auflösung tun. Aber vielleicht hängt das dann doch an einem Detail, das ich jetzt nicht sehe.
Schwierigkeiten kann es bei der Verwendung von SSL-Zertifikaten geben, wenn die auf eine statische IP-Adresse ausgestellt wurden, die dann natürlich die private Adresse ist, solange kein SSL-Gateway auf der Firewall läuft.
kann man aber umgehen, indem man Namen verwendet...
Ansonsten nein, im Prinzip das läuft (nicht nur) hier genauso. Intern ein bind, der noch dazu komplett eigenständig, also ohne Benutzung der "Firewall" als DNS-forwarder auflöst und für die lokal erreichbaren Hosts private Adressen verwendet. Je nach "Firewall" kann man ihr auch beibringen, ebenfalls den internen named zu nutzen. Bei meinem IPCOP geht das.
zum Beipiel... ich habe mir die Mühe nicht gemacht mit Bind... die 10..15 Server kenne ich noch per IP-Nummer... 2 Jahre nur über /etc/hosts (mein "primärer" DNS) und sonst sekundärer DNS ein IPCop ( da werkelt wohl auch dnsmasq) Bind hat natürlich den Vorteil .. ich kann jedem "einen vom Pferd" erzählen! also ein paar WorldWide-Maschinen lokal auflösen/umleiten..andere wieder nicht... und (!) DHCP kann da mitmischen... die Simpel-Varianten setzen eine feste IP voraus.
Ansonsten kann man auch intern eine eigene, nicht-registrierte Domain verwenden, um beim debugging nicht durch die unterschiedlichen Sichtweisen verwirrt zu werden. Am ehesten dürfte das ein Problem bei Websites im LAN sein, die als virtual hosts nach Domainnamen arbeiten. Bei POP/IMAP ist es wohl eher egal.
hmmm sicher schlecht "geraten" bei heissen die local.lan (oder so..) weiss nicht ... lan schon als TLD vergeben in letzter Zeit ? aber eigentlich können die heissen, wie sie wollen Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Wed, 03 Sep 2008 15:32:44 +0200 Fred Ockert <m.ockert@bss-services.de> wrote:
Tobias Crefeld schrieb:
Schwierigkeiten kann es bei der Verwendung von SSL-Zertifikaten geben, wenn die auf eine statische IP-Adresse ausgestellt wurden, die dann natürlich die private Adresse ist, solange kein
kann man aber umgehen, indem man Namen verwendet...
Bei anderen Diensten als http kann das schwierig werden.
Intern ein bind, der noch dazu komplett eigenständig, also ohne Benutzung der "Firewall" als DNS-forwarder auflöst und für die lokal erreichbaren Hosts private Adressen verwendet. Je nach "Firewall" kann man ihr auch beibringen, ebenfalls den internen named zu nutzen. Bei meinem IPCOP geht das.
zum Beipiel... ich habe mir die Mühe nicht gemacht mit Bind... die 10..15 Server kenne ich noch per IP-Nummer... 2 Jahre nur über /etc/hosts (mein "primärer" DNS) und sonst sekundärer DNS ein IPCop ( da werkelt wohl auch dnsmasq)
Letzteres ist richtig. Ansonsten lege ich grundsätzlich Wert auf einen gut gepflegten DNS. Es erleichtert nicht nur die Selbstdokumentation, sondern beschleunigt häufig Applikationen, wenn insbesondere gültige Pointer-Records existieren, die nach Möglichkeit auch noch zu den A-records passen. Das ist in ner Stunde erledigt. Wenn man das noch dazu als DDNS realisiert, ist es nur einmalig etwas Arbeit beim einrichten.
hmmm sicher schlecht "geraten" bei heissen die local.lan (oder so..) weiss nicht ... lan schon als TLD vergeben in letzter Zeit ? aber eigentlich können die heissen, wie sie wollen
So ist es. Deswegen wird in vielen Betrieben gerne auch der Firmenname als TLD verwendet. Da verwendet eine Firma im public Internet ".compaq.de" und intern ".cmpq" als TLD. Wenn der Name lang genug ist, dann ist die Wahrscheinlichkeit groß, dass der auch in absehbarer Zeit nicht mit einer registrierten TLD kollidiert. -- Gruß, Tobias. -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Die, 02 Sep 2008, Fred Ockert schrieb:
erstens .. versteh ich nicht.. dein interner Nameserver ist doch immer (?) der erste der gefragt wird - der löst alles nach innen auf!
Nein. Das ist konfigurationsabhängig.
na ja oder eine beliebige andere gültige IP-Nummer der löst immer (!) zuerst local auf, eh er Nameserver fragen geht!
Nein. Das hängt vom 'hosts:' Eintrag in der /etc/nsswitch.conf ab. Es hindert dich niemand, dort z.B.: hosts: dns nisplus nis files einzutragen.
Ist bei WinXP nervig ..da kommt noch der Cache dazu - nervig immer dann, wenn der Provider ein Problem hat und vorübergehend auf eine Fehlerseite leitet !
Der nscd läuft auch unter Linux meistens per default. -dnh -- "All mushrooms are edible. However, some of them only once" -- Ino!~ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller schrieb:
Hallo,
Am Die, 02 Sep 2008, Fred Ockert schrieb:
erstens .. versteh ich nicht.. dein interner Nameserver ist doch immer (?) der erste der gefragt wird - der löst alles nach innen auf!
Nein. Das ist konfigurationsabhängig.
ist aber standarmässig meist so ..
na ja oder eine beliebige andere gültige IP-Nummer der löst immer (!) zuerst local auf, eh er Nameserver fragen geht!
Nein. Das hängt vom 'hosts:' Eintrag in der /etc/nsswitch.conf ab. Es hindert dich niemand, dort z.B.:
hosts: dns nisplus nis files
einzutragen.
dann weiss ich aber, dann wäre die Ausgangsfrage gar nicht erst gekommen!
Ist bei WinXP nervig ..da kommt noch der Cache dazu - nervig immer dann, wenn der Provider ein Problem hat und vorübergehend auf eine Fehlerseite leitet !
Der nscd läuft auch unter Linux meistens per default.
hm.. da habe ich das aber nie so schlimm empfunden bei Win nach 24 Stunden mit einem "stauneden Anwender" schon " ...google geht nicht ! .."
-dnh
Fred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (4)
-
Andre Tann
-
David Haller
-
Fred Ockert
-
Tobias Crefeld