Re: AW: Routing und Firewall in DMZ
![](https://seccdn.libravatar.org/avatar/35218ebb3d4ee935b6bad072dca0f8aa.jpg?s=120&d=mm&r=g)
Aber ist das wirklich das Problem? Die Firewall weis das durch die routen und ipchains. Doch ich stelle mir das so vor, als wenn ich nach draussen eine Verbindung aufbaue: Da muss ich auch den Router/Gateway angeben. Muesste also nicht eine von draussen reinkommende Verbindung wissen, das meine Firewall eine Art Router ist fuer den mailhost in der DMZ? Gruss, HB On Thu, 13 Sep 2001, Rolf Varga wrote:
Hi,
Danke schon, wir planen z.z. das gleiche, Deine Firewall muss ja wissen wohin die anfragen geroutet werden sollen..
Hast du auch dem kernel gesagt der er hin und herr routen soll... und auch was wohin.. den das sollte ja beschrenkt sein.
mfg Rolf
-----Urspr�ngliche Nachricht----- Von: Holger Bleul [mailto:bleul@astro.ruhr-uni-bochum.de] Gesendet: Donnerstag, 13. September 2001 13:46 An: suse-linux@suse.com Betreff: Routing und Firewall in DMZ
Hallo Leute,
habe ein kleines Subnetz und eine Firewall eingerichtet, hinter der sich ein maskiertes Netz befindet. Soweit funktioniert dies.
Jetzt war die Idee, mit einer dritten Netzwerkkarte eine demilitarisierte Zone als drittes physikalisch getrennte Netz fuer den mail-Server zu erstellen, der auch eine oeffentliche Adresse aus demselben Subnetz besitzt.
Nun habe ich aber offensichtlich Probleme mit dem Routing, den von dem Mailhost komme ich durch den Firewall, doch der mailhost ist von aussen nicht erreichbar (liegt nicht an den ipchains).
Koennte das ein Routing-Problem sein, denn woher wissen eingehende Verbindungen, dass sie statt den mailhost zuerst die Firewall ansprechen muessen?
Danke fuer Eure Hilfe HB
-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verf�gbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com
![](https://seccdn.libravatar.org/avatar/02bd3b8e3a436c5b5dac0042a9a9fa6b.jpg?s=120&d=mm&r=g)
Hi Holger ich hab den thread nicht verfolgt ... On Thu, Sep 13, 2001 at 02:25:53PM +0200, Holger Bleul wrote:
Aber ist das wirklich das Problem? Die Firewall weis das durch die routen und ipchains. Doch ich stelle mir das so vor, als wenn ich nach draussen eine Verbindung aufbaue: Da muss ich auch den Router/Gateway angeben.
Muesste also nicht eine von draussen reinkommende Verbindung wissen, das meine Firewall eine Art Router ist fuer den mailhost in der DMZ? Gruss,
es kommt drauf an ob du eine offizielle ip in der dmz benutzt oder eine maskierte, bei einer offiziellen ip, weis dein Provider(sollte er) das der Rechner hinter der firewall über die firewall zu erreichen ist und setzt eine entsprechnde route auf den fw. bei masquerading denkt der aussenliegende Partner er redet mit der ip die er sieht, in dem Fall die des fw, eine portforwardregel leitet dann die Anfrage, die an die ip des fw port 25 geht, an die inoffizielle ip port 25 in der dmz weiter. Ich hoffe ich konnte dich jetzt vollends verwirren. ;-) -- MfG. Falk
![](https://seccdn.libravatar.org/avatar/ed55e6c4befaf1cb285ab7a3128e7b4a.jpg?s=120&d=mm&r=g)
Am Donnerstag, 13. September 2001 14:46 schrieb Falk Sauer:
Hi Holger
ich hab den thread nicht verfolgt ...
On Thu, Sep 13, 2001 at 02:25:53PM +0200, Holger Bleul wrote:
Aber ist das wirklich das Problem? Die Firewall weis das durch die routen und ipchains. Doch ich stelle mir das so vor, als wenn ich nach draussen eine Verbindung aufbaue: Da muss ich auch den Router/Gateway angeben.
Muesste also nicht eine von draussen reinkommende Verbindung wissen, das meine Firewall eine Art Router ist fuer den mailhost in der DMZ? Gruss,
es kommt drauf an ob du eine offizielle ip in der dmz benutzt oder eine maskierte,
bei einer offiziellen ip, weis dein Provider(sollte er) das der Rechner hinter der firewall über die firewall zu erreichen ist und setzt eine entsprechnde route auf den fw.
bei masquerading denkt der aussenliegende Partner er redet mit der ip die er sieht, in dem Fall die des fw, eine portforwardregel leitet dann die Anfrage, die an die ip des fw port 25 geht, an die inoffizielle ip port 25 in der dmz weiter.
Ich hoffe ich konnte dich jetzt vollends verwirren. ;-)
Bei nicht-masquierendem NAT nimmt Deine F/W einfach mehr als nur die eigene IP an und leitet entsprchende (mit veränderter source) an Deinen MX weiter.
![](https://seccdn.libravatar.org/avatar/02bd3b8e3a436c5b5dac0042a9a9fa6b.jpg?s=120&d=mm&r=g)
Hi Denis On Thu, Sep 13, 2001 at 02:46:16PM +0200, Denis Hoyer wrote:
Am Donnerstag, 13. September 2001 14:46 schrieb Falk Sauer:
Bei nicht-masquierendem NAT nimmt Deine F/W einfach mehr als nur die eigene IP an und leitet entsprchende (mit veränderter source) an Deinen MX weiter.
stimmt, auch ne Möglichkeit, vermutlich die einzige in seiner Konstellation, läuft aber in dem Fall auf NAT hinaus, der fw zeigt sich nach aussen hin mit der offiziellen ip und bedient innen eine private ip in der dmz. DMZ Modem -----+---ip1--+-fw--+--Server1 /Router +---ip2--+ | +--Server2 +---ip3--+ | +--Server3 +-----Inneres Netz So sähe dann imho die Minimalkonfig aus. Wobei von diesem Konzept ohne int. Firewall eigentlich nur abzuraten ist. -- MfG. Falk
![](https://seccdn.libravatar.org/avatar/35218ebb3d4ee935b6bad072dca0f8aa.jpg?s=120&d=mm&r=g)
Hallo Falk,
Aber ist das wirklich das Problem? Die Firewall weis das durch die routen und ipchains. Doch ich stelle mir das so vor, als wenn ich nach draussen eine Verbindung aufbaue: Da muss ich auch den Router/Gateway angeben.
Muesste also nicht eine von draussen reinkommende Verbindung wissen, das meine Firewall eine Art Router ist fuer den mailhost in der DMZ? Gruss,
es kommt drauf an ob du eine offizielle ip in der dmz benutzt oder eine maskierte, es ist eine offizielle IP-Adresse desselben Subnetzes (8 IPs).
bei einer offiziellen ip, weis dein Provider(sollte er) das der Rechner hinter der firewall �ber die firewall zu erreichen ist und setzt eine entsprechnde route auf den fw.
Darin liegt der Hund begraben. Der Provider-Router ist ein DSL-Modem, dass der Provider konfigurieren kann. Da aber ein Firewall-Konzept nicht vertraglich vereinbart ist, waere dies wahrscheinlich mit Mehrkosten verbunden...
bei masquerading denkt der aussenliegende Partner er redet mit der ip die er sieht, in dem Fall die des fw, eine portforwardregel leitet dann die Anfrage, die an die ip des fw port 25 geht, an die inoffizielle ip port 25 in der dmz weiter.
Ich hoffe ich konnte dich jetzt vollends verwirren. ;-)
Jawoll. Nein, Konzept ist grundsaetzlich klar. Masquerading laueft ja auch schon fuer ein drittes, privates Netz, ebenfalls ueber Firewall. Probleme gibt es halt nur mit der DMZ, in der Rechner mit offizeller IP-Adresse liegen.. > --
MfG. Falk
Gruss, Holger
![](https://seccdn.libravatar.org/avatar/ec33c9849de6f3db4f3b1f7f464b958d.jpg?s=120&d=mm&r=g)
* Holger Bleul
Diese Nachricht enthält Zeichen, die vom Internet-Dienst nicht unterstützt werden. Zum Lesen doppelklicken Sie auf die beigefügte Anlage. Falls der Text inkorrekt angezeigt wird, speichern Sie die Anlage (Datei, Speichern unter) auf der Festplatte und öffnen Sie sie mit einem Programm, das die Zeichen darstellen kann. <
>
Received: from nrz71.dillinger.de (nrz71cl2.dillinger.de [172.31.2.71]) by nt03.dillinger.de with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21) id SY7N9DGG; Thu, 13 Sep 2001 15:22:00 +0200 Received: (from fwtk@localhost) by nrz71.dillinger.de (8.9.3/8.9.3/SuSE Linux 8.9.3-0.1) id PAA23474 for
; Thu, 13 Sep 2001 15:10:05 +0200 Received: from nrz73(193.158.76.233) by nrz71 via smap (V2.1)
Ähem, könntest du mal dein Pine so einstellen, daß Otto Normalbürger deinen Text auch npch findest? flo -- Übrigens- Wo liegt der Ort HTML? [WoKo in dag°]
![](https://seccdn.libravatar.org/avatar/70d125cf81e645e15602758d54f21ef0.jpg?s=120&d=mm&r=g)
Hallo,
* On Thu, Sep 13, 2001 at 03:18:50PM +0200, Holger Bleul wrote:
Also, diese Liste ist nochmal ein Stueck unlesbarer geworden als
sie es vor meiner kleinen Pause war.
WARUM muesst iohr denn ALLES quoten???
Doppelter suse-footer, nichtmal das al[te "Hallo" oder die
signature wird geloescht. Alles weg und andere duerfen es ja
fetchen. Toll.
Macht kein Spass. Wir halten deswegen extra die Etikette bereit um
auch jeden Teilnehmer an die Gegenheiten fuer spez. dieser Liste
heranzufuehren.
Manche Leute duerfen sich wirklich _nicht_ wundern wenn keiner
antwortet. Es ist so schon enorm Zeitaufwendig.
... und alle machen das hier kostenlos/in der Freizeit!
participants (5)
-
Clemens Wohld
-
Denis Hoyer
-
Falk Sauer
-
Florian Gross
-
Holger Bleul