Am Donnerstag, 13. September 2001 14:46 schrieb Falk Sauer:

Hi Holger

ich hab den thread nicht verfolgt ...

On Thu, Sep 13, 2001 at 02:25:53PM +0200, Holger Bleul wrote:

...

Aber ist das wirklich das Problem? Die Firewall weis das durch die routen und ipchains. Doch ich stelle mir das so vor, als wenn ich nach draussen eine Verbindung aufbaue: Da muss ich auch den Router/Gateway angeben.

Muesste also nicht eine von draussen reinkommende Verbindung wissen, das meine Firewall eine Art Router ist fuer den mailhost in der DMZ? Gruss,

es kommt drauf an ob du eine offizielle ip in der dmz benutzt oder eine maskierte,

bei einer offiziellen ip, weis dein Provider(sollte er) das der Rechner hinter der firewall über die firewall zu erreichen ist und setzt eine entsprechnde route auf den fw.

bei masquerading denkt der aussenliegende Partner er redet mit der ip die er sieht, in dem Fall die des fw, eine portforwardregel leitet dann die Anfrage, die an die ip des fw port 25 geht, an die inoffizielle ip port 25 in der dmz weiter.

Ich hoffe ich konnte dich jetzt vollends verwirren. ;-)

Bei nicht-masquierendem NAT nimmt Deine F/W einfach mehr als nur die eigene IP an und leitet entsprchende (mit veränderter source) an Deinen MX weiter.

Hallo Falk,

...

Aber ist das wirklich das Problem? Die Firewall weis das durch die routen und ipchains. Doch ich stelle mir das so vor, als wenn ich nach draussen eine Verbindung aufbaue: Da muss ich auch den Router/Gateway angeben.

Muesste also nicht eine von draussen reinkommende Verbindung wissen, das meine Firewall eine Art Router ist fuer den mailhost in der DMZ? Gruss,

es kommt drauf an ob du eine offizielle ip in der dmz benutzt oder eine maskierte, es ist eine offizielle IP-Adresse desselben Subnetzes (8 IPs).

bei einer offiziellen ip, weis dein Provider(sollte er) das der Rechner hinter der firewall �ber die firewall zu erreichen ist und setzt eine entsprechnde route auf den fw.

Darin liegt der Hund begraben. Der Provider-Router ist ein DSL-Modem, dass der Provider konfigurieren kann. Da aber ein Firewall-Konzept nicht vertraglich vereinbart ist, waere dies wahrscheinlich mit Mehrkosten verbunden...

bei masquerading denkt der aussenliegende Partner er redet mit der ip die er sieht, in dem Fall die des fw, eine portforwardregel leitet dann die Anfrage, die an die ip des fw port 25 geht, an die inoffizielle ip port 25 in der dmz weiter.

Ich hoffe ich konnte dich jetzt vollends verwirren. ;-)

Jawoll. Nein, Konzept ist grundsaetzlich klar. Masquerading laueft ja auch schon fuer ein drittes, privates Netz, ebenfalls ueber Firewall. Probleme gibt es halt nur mit der DMZ, in der Rechner mit offizeller IP-Adresse liegen.. > --

MfG. Falk

Gruss, Holger

Hallo, * On Thu, Sep 13, 2001 at 03:18:50PM +0200, Holger Bleul wrote: Also, diese Liste ist nochmal ein Stueck unlesbarer geworden als sie es vor meiner kleinen Pause war. WARUM muesst iohr denn ALLES quoten??? Doppelter suse-footer, nichtmal das al[te "Hallo" oder die signature wird geloescht. Alles weg und andere duerfen es ja fetchen. Toll. Macht kein Spass. Wir halten deswegen extra die Etikette bereit um auch jeden Teilnehmer an die Gegenheiten fuer spez. dieser Liste heranzufuehren. Manche Leute duerfen sich wirklich _nicht_ wundern wenn keiner antwortet. Es ist so schon enorm Zeitaufwendig. ... und alle machen das hier kostenlos/in der Freizeit! Gruss Clemens -- dump it: sig_31 Inhalt eines Bildschirms speichern in dem file 'inhalt': $ setterm -dump <term-nummer> -file ~/inhalt [man setterm ] *Xpage* => http://urlz.de/xpage ---------------------------------------------------------