Moin robert-busch, * robert-busch@nexgo.de schrieb am 17 May 2001: bitte laß deine Vorredner stehen..
nicht ganz. für das masquerading endet die arbeit, sobald der absender am externen device der firewall umgeschrieben wurde. was du brauchst ist eine redirekt-regel die besagt, daß anfragen aus dem extranet an ipadresse:80 an den testrechner port 80 weitergeleitet werden. private adressen sind aus dem internet nicht routbar und somit nicht erreichbar.
Und wie müsste so eine redirekt-Regel für ipchains aussehen?
Das geht nicht mir ipchains, weil es keine lokale Umleitung ist. Schau dir mal man rinetd an.
Aber ich stelle fest, dass falls sich mein Vorhaben so nicht realisieren läßt, ich dann auch kein Masquerading brauche. Wichtig ist für mich, dass ich mit den "Firewall-Rechner" zwischen den Test-LAN und den EXTRANET bestimmte Pakete filtern kann. Masquerading erschien für mich eine zusätzliche Sicherheitsmassnahme zu sein, die mich jetzt, wie es ausschaut, vor einen grossen Problem stellt. Kann ich dieses Problem "ausschalten, wenn ich nur ein einfaches "forwarding" von der einen IP (192.168.0.x) nach der anderen (182.22.122.x) vollziehe?
Nein. Der interne Bereich besteht aus privaten IP-Adressen, die werden im Internet nicht geroutet, das solltest du auch nicht machen. Entweder du benutzt Masquerading oder statisches NAT.
Ich weiss, dass ich mich langsam dem Off-Topic nähere, aber
Nicht wirklich :-) Und keine Angst vor OT, es geht ja nicht darum, daß man mal (ausversehen) OT wird, sondern OT-Threads beginnt mit "Ich weiß ja, daß es OT ist, aber....".
irgendwie hängen diese Gedankengänge mit Linux bzw. ipchains zusammen ;)
Ja. Gruß, Sebastian -- Do not meddle in the affairs of Wizards, for they are subtle and quick to anger. Sebastian Helms - http://www.helms.sh - mailto:mail@helms.sh (PGP welcome) SuSE-Linux-Mailinglisten-FAQ: http://www.helms.sh/faq/