|
LANrena Neustetten e.V. >> HelpDesk! > Firewall einrichten |
Antwort erstellen |
|
|
||||
|
NEW Clan: LANrena Postings: 932 |
 Ich hab ein Problem mit einer Firewall und zwar folgendes: Ich hab ein DMZ Netzwerk jetzt mal angenommen mit der ip: 10.0.0.0/8 In der DMZ befindet sich folgende Server:
Es exsestiert ein Portforwarding von der externen Ip 192.168.0.3 mit dem Port 25 zu 10.0.0.3:25. Und ein SNAT von 10.0.0.3:25 zu der externen IP 192.168.0.3:25. So weit so gut, der MTA ist von extern erreichbar und verschickt auch über die gleiche externe IP Addresse. Da es keine extra Zone auf dem Nameserver für die DMZ gibt. Wird der eintrag mail-in auf die externe ip (192.168.0.3) aufgelöst. Problem ist das dabei keine Verbindung zustande kommt. Also kein System in der DMZ kann auf die externe IP des MTAs schicken. Ob das jetzt aber Port 25 ist oder per SSh (22) spielt keine Rolle. Funktioniert beides nicht. Weiß jemand ob ich noch eine Route hinzufügen muss oder nicht? Nomalerweiße rafft das die Firewall doch selber oder? Danke schon mal! Gruß Matze __________________ #LANrena Neustetten e.V. - 1. Vorsitzender #LANrena Neustetten e.V. - Freizeitkompetenzteamleiter #LANrena 11 - Projektleiter Catering |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 187 |
Problem ansich ist ja der DNS Record,der auf die 192er Adresse auflöst. Wäre es eine option einen 2ten DNS eintrag(müsste ja MX sein) aufem DNS zu erstellen mit dem selben Namen aber einer geringeren Prio ? __________________ #LANrena Neustetten e.V. - bnL #LANrena 6 - Team Server This is Linux land. In silent nights you can hear the Windows machines rebooting. |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 932 |
Also bis her hab ich das Problem eigendlich gelöst. Das heißt auf meiner Testumgebung hab ich es gelöst nur auf der Produktiven funktioniert meine Lösung nicht. Hab eine SNat Regel erstellt. Die alles von der DMZ das in die DMZ will auf die äusere IP Natet. Ich weiß komische Regel aber sie funktioniert;-) Hab mich aber schon den Support kontaktiert und die haben gemeint das Problem ist bekannt. Also irgend ein mega bug von denen. Warum es aber auf der auf unsrem produktiven net funzt kp. __________________ #LANrena Neustetten e.V. - 1. Vorsitzender #LANrena Neustetten e.V. - Freizeitkompetenzteamleiter #LANrena 11 - Projektleiter Catering |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 496 |
 (1) die PREROUTING-Kette wird angeguckt, bevor entschieden wird, wohin die Reise hingehen soll. Hier wird die Zieladresse umgeschrieben. (Das Ziel der Kette nennt sich hier DNAT, Destination-NAT. Hier wird auch meist die eingehende Schnittstelle angegeben) ((2) Bin ich fuer das Paket selber zustaendig --> INPUT Kette, wenn nein, dann FORWARD-Kette. Sende ich das Paket selber aus, dann OUTPUT-Kette.) (3) die POSTROUTING-Kette wird angeguckt, wenn schon laengst raus ist, wohin die Reise weitergeht. Hier wird die Quelladresse umgeschrieben. (Das Ziel der Kette nennt sich hier Masquerading. Hier wird die ausgehende Schnittstelle angegeben) in deinem Fall kommt ein Paket fuer den Port 25 auf der 192.168.0.3 an der Schnittstelle ausserhalb der DMZ an. Die Firewall schaut in die PREROUTING Kette und schreibt die Zieladresse um. In deinem Fall 10.0.0.2. Damit ist der Fall von ausserhalb der DMZ nach innen in die DMZ abgedeckt. Umgekehrt, wenn der Mailserver antwortet, kommt ein Paket DMZ-seitig an, es wird entschieden, dass die Firewall nicht dafuer zustaendig ist, es geht ausserhalb der DMZ weiter, hier greift die POSTROUTING-Kette, die sagt, schreibe bitte die Quelladresse um. Fuer den Fall, dass ein Paket aus der DMZ raus will, weil der DNS auf IP ausserhalb der DMZ aufloest, ist das Routing bereits abgeschlossen. Ausserdem schlaegt das Paket aus Sicht der Firewall auf der falschen Schnittstelle auf. Das Verhalten ist fuer jede linuxbasierte Firewall so (no bug, designed as intended, layer8-problem). Welchen Befehlssatz kommerzielle Softwarelieferanten in ihrem fancy webinterface davon abdecken vermag ich nicht zu sagen. BSD basierende Firewalls funktionieren etwas anders. Aber auch hier gilt: du solltest angeben, auf welchem Interface das Paket aufschlaegt und wo es hin will. (das hast du glaube ich mit deiner SNAT Regel schon gebaut). Ich hab das notgedrungen bei mir mit einem internen DNS geloest, der die DMZ beruecksichtigt und die vorhandenen Eintraege, die irgendwie aus der DMZ herausfuehren umgeht bzw ueberdeckt (jenachdem, was man machen will, bei mir habe ich das Problem umgangen). Das erspart einem den Brainfuck und das Kopf-Blutig-Kratzen beim Firewall-Regelwerk erstellen. Falls es sich nicht gerade um einen Rechner handelt, der unbedingt Mails verschicken will, bei dem man keinen Smarthost eintragen kann/will/darf, und wenn die Anzahl der Hosts in der DMZ gering bleibt, dann tut es auch erstmal eine lokale hosts-Datei. Wichtig: dokumentiert das. Das erspart stundenlange Fehlersuche, wenn was nicht funktioniert. (Glaub mir, ich hatte den Spass schonmal) Gruss Nicolas Quellen: Linux-Kompendium: Linux-Firewall mit IP-Tables [Editiert von |LR|DevNiv am 13.Nov.2012 um 02:12] __________________ "of course, everything that goes wrong here is your fault, it says so in your contract..." -- Quark, Startrek DS9, Heart of Stone #LANrena 8-Bit Teamleiter Dienste |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 2995 |
 __________________ Gruss&Keks =uǝɥɔʇuǝǝɥɔsʇǝınb= ツ #LANrena Neustetten e.V. - Mitglied 信息系统部 "The Rubber Duck knows no frontiers, it doesn't discriminate people and doesn't have a political connotation." -Florentijn Hofman- |
||||
|
|
||||
|
Moderator
NEW Clan: LANrena Postings: 3258 |
 @takky: Mal schauen ob wir sowas einbauen können @Outi: Like Button für Dotlan Forum machbar? @Cooper: Wenns klappt darfst ein Like Button erstellen  __________________ #LANrena Neustetten e.V. - Mitglied |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 1279 |
AAAAHHHHHH.... Ich will hier kein FACEBOOK LIKE BUTTON....  Lieber nen Turniersystem das Funktioniert und die Zeiten nicht falsch berechnet :PBack2Topic  Niv danke für die Erklärung. Fand ich auch recht interessant (*KEINLIKEBUTTONDRÜCK* *MICHPERSÖNLICHBEDANK*)Mfg Rattle __________________ #LANrena Neustetten e.V. - Mitglied und Berater #LANrena 11 - Projektleiter Technik |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 932 |
Die Firewall bassiert auf IpCop, also ein Nachfolger davon. Endian Firewall sagt dir sicherlich was. Die SNat Regel hat so weit funktioniert. Doch irgend wie will die Firewall jetzt nicht mehr, so wie ich will;-) Da ich ja nicht nur ein Protokoll umleiten muss, hab ich eine zweite SNat Regel für ein anderes Protokoll erstellt. Seit dem funktioniert die Umleitung von DMZ auf eine öffentliche IP in die DMZ nicht. Da spackt die Firewall grad bissle rum. Ich glaub ich werd das mal mit einem DNS eintrag testen. Problem ist das der DNS Server der in der DMZ steht auch der DNS Server nach ausen ist. Der muss dann ja unterscheiden ob er die externe IP oder die Interne DMZ IP raus gibt. Gruß Matze __________________ #LANrena Neustetten e.V. - 1. Vorsitzender #LANrena Neustetten e.V. - Freizeitkompetenzteamleiter #LANrena 11 - Projektleiter Catering |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 496 |
http://serverfault.com/questions/33...requests-subnet [Editiert von |LR|DevNiv am 15.Nov.2012 um 17:58] __________________ "of course, everything that goes wrong here is your fault, it says so in your contract..." -- Quark, Startrek DS9, Heart of Stone #LANrena 8-Bit Teamleiter Dienste |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 932 |
werd das mal testen, ist glaub ich die saubere lösung. __________________ #LANrena Neustetten e.V. - 1. Vorsitzender #LANrena Neustetten e.V. - Freizeitkompetenzteamleiter #LANrena 11 - Projektleiter Catering |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 932 |
Da die Interzone Traffic Firewall nur Ip´s aus den Internen Zonen zulässt, wird die SNat Regel so zu sagen geblockt. Da die SNat Regel eine "externe" IP in die Interne Zone bringt, lässt das die Inter Zone Traffic Firewall nicht zu. Die SNat Regel ist ja dafür da das die Antwort der Anfrage über die "externe" Ip zurück kommt und das lässt die Interzone Firewall nicht zu. Schaltet man die Interzone Firwall ab, funktioniert es wunder bar. Aber Danke noch mal für die Hilfe!!! Hat mir sehr geholfen, das alles mal besser zu verstehen. ;-) Gruß Matthias __________________ #LANrena Neustetten e.V. - 1. Vorsitzender #LANrena Neustetten e.V. - Freizeitkompetenzteamleiter #LANrena 11 - Projektleiter Catering |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 496 |
__________________ "of course, everything that goes wrong here is your fault, it says so in your contract..." -- Quark, Startrek DS9, Heart of Stone #LANrena 8-Bit Teamleiter Dienste |
||||
|
|
||||
|
NEW Clan: LANrena Postings: 932 |
__________________ #LANrena Neustetten e.V. - 1. Vorsitzender #LANrena Neustetten e.V. - Freizeitkompetenzteamleiter #LANrena 11 - Projektleiter Catering |
||||
| Antwort erstellen | |||||
LAN-Party
LANrena 12
- Frei:
- 161
- Angemeldet:
- 89
- Bezahlt:
- 43 / 204
Forum
-
09:55
[N] Neuer Termi...
0
LastPoster: wind1g
Zeitpunkt: 25.12 09:55 -
06:36
Manli Nvidia RT...
0
LastPoster: |LR|Turtle_rulz
Zeitpunkt: 03.07 06:36 -
09:36
Altes PC Netzteil
2
LastPoster: |LR|NiceSpace
Zeitpunkt: 17.06 09:36 -
11:28
Team für LANren...
0
LastPoster: value
Zeitpunkt: 03.06 11:28 -
19:39
Kennt jemand Fr...
3
LastPoster: |LR|Quad
Zeitpunkt: 07.11 19:39 -
12:27
Feedback - LANr...
2
LastPoster: zool
Zeitpunkt: 23.10 12:27
Umfragen
Derzeit gibt es keine aktuellen Umfragen.
Partner
