Public IPs und die DMZ

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Public IPs und die DMZ

      Hallo,

      wir testen gerade die 2.3 als Alternative, mir persönlich sagt die eigentlich zu - nur irgendwie komme ich nicht weiter da ich nicht weiss, ob DNAT, SNAT oder Routed incoming traffic das Richtige ist...

      Wir haben 1/8 Class-C-Netz, also 30 fixe Public IPs, eine hat die endian, in der Konfig habe ich das komplette Subnetz der roten Adresse zugeteilt (aa.bbb.ccc.0/27)
      Orange/DMZ beherbergt die einzelnen Webserver. Bis auf ein bischen Portfiltern soll die efw auch (erstmal) nicht viel mehr machen.

      Das Rote Netz würde ich gerne komplett auf das Orangene mappen.
      Beispiel:

      www>> aa.bbb.ccc.5 >> efw >> geht automatisch auf 192.162.3.5 (mein DMZ-Netz)
      www>> aa.bbb.ccc.6 >> efw >> geht automatisch auf 192.162.3.6 (mein DMZ-Netz)
      www>> aa.bbb.ccc.7 >> efw >> geht automatisch auf 192.162.3.7 (mein DMZ-Netz)
      etc.

      Was muss ich dafür einrichten? SNAT? DNAT...?
      Gibt es eine generelle Lösung oder muss ich für jede IP in der DMZ eine Regel einrichten?

      Habe aus meiner Sicht alle Möglichkeiten bereits ausprobiert, aber vielleicht verstehe ich dieses Quelle/Ziel/Map/Zone-Prinzip falsch.

      Was ich bereits versucht habe:

      (Jeweils immer die anderen FW-Regeln disabled)

      Destination NAT:
      Quelle: RED, Ziel: ORANGE, Allow, all/all, und dann alles unter "übersetze zu:" ausprobiert:
      map network: 192.168.1.0/27
      und ip-> NAT, Kein NAT..
      kein connect auf einen DMZ-Rechner über rot

      Nächster Versuch:
      Quelle Nat
      Quelle aa.bbb.ccc.0/27 (unsere Public IPs)
      Ziel 192.168.1.0/27
      Service/Port: all/TCP+UDP
      NAT:
      - NAT->Auto
      - No Nat
      - Map Network to: 192.168.1.0/27
      egal was ausprobiert, kein erfolg

      nächster versuch:
      Incoming routed Traffic
      Quelle: RED, Ziel ORANGE
      Service/Port All/TCP+UDP
      auch kein erfolg

      Die (um Beispiele oder Musterkonfigs leider etwas dürftige) Doku habe ich gelesen, ich verstehe auch die Wörter, nur evtl. nicht was die meinen :)
      kleiner Tipp irgendjemand?
      dankedanke!
      gruß
      timo
    • Re: Public IPs und die DMZ

      Hallo bienkt,
      ja du musst für alle IP- Adressen eine Regel anlegen, versuche es mal damit:

      Als Ziel müsste auch deine Orange Zone auftauchen, dann „Zone Orange – IP:Alle bekannten“
      unter „IP einfügen“ deine Ips von dem Rechner im Orangen Netz eintragen.
      Dann die nächste Regel mit der nächsten IP erstellen.


      Habe zur zeit keine 2.3 zur Hand, deshalb mal hier ein Screenshot aus dem Forum.

      Gruß Sabine
      Bilder
      • port80.gif

        45,5 kB, 950×910, 312 mal angesehen
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Public IPs und die DMZ

      Hallo Sabine,

      Danke für die Antwort, das hatte ich auch schon versucht - ohne Erfolg, es gibt immer noch kein Connect von aussen auf Orange.

      BTW: Wenn ich bei Destination NAT nur ROT als Quelle eingebe - woher soll die efw wissen, welche öffentliche IP jetzt auf welchen internen Server weitergeleitet wird? So könnte ich ja nur einen Rechner mit Port 80 einrichten... habe es mit der IP und mit dem subnetz der öffentlichen IPs versucht als Quelle - auch nüscht...

      gruß
      timo
    • Re: Public IPs und die DMZ

      Hallo bienkt,
      ich weiß nicht was du auf den Rechner laufen hast, wenn du Z.b. 3 Webserver am laufen hast lässt du den ersten auf Port 80 laufen,
      beim zweiten gibst du als Service Port den Port 81 ein und als Ziel Port gibst du Port 81 an und lässt den Webserver auf Port 81 Laufen.
      Beim 3. Server gibst du den Port 82 als Quelle an und als Ziel Port nimmst du Port 82 und lässt den Server auf Port 82 laufen.
      Wenn du jetzt die einzelnen Server erreichen willst gibst du deine IP vom Provider ein mit :80 oder :81 oder :82 ein und schon bist du auf deinen verschiedenen servern.

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final
    • Re: Public IPs und die DMZ

      Hallo Sabine,

      ok, verstanden. Das würde bedeuten, dass ich nur eine Public IP nach "aussen" habe und alles über Portverbiegen hinbekomme.
      www/80 ist ja nicht das Einzige, das ist erstmal natürlich das wichtigste aber das würde sonst ein endloses Durcheinander
      bei den Port-Verschiebe-Orgien geben befürchte ich wenn da die anderen Dienste noch zu kommen (FTP, mail, ....und das ganze auf mehreren Kisten).
      Es muss aber unter den jeweils verschiedenen Public-IPs ein anderer Server in der DMZ angesprochen werden.
      Also die efw "nimmt" sich alle Public IPs auf ROT und setzt das intern auf ORANGE um.
      So kenn ich das auch von der alten Astaro-Möhre die wir austauschen wollen/müssen.

      Der Beschreibung nach verstehe ich das so, dass efw das auch kann: mappe ein Netz (in dem Fall meins mit den Public IPs)
      von ROT auf mein Netz in ORANGE.

      Nur wie?

      So schwierig kann das ja eigentlich nicht sein, ich befürchte dass ich entweder verschiedene Regeln gleichzeitig geändert habe oder
      es irgendwo nur ein "banaler" Denkfehler meineseits ist...

      Bis jetzt hat es noch Spass gemacht, was neues zu lernen, langsam steigt kalte Verweiflung hoch :)

      Danke erstmal für deine sofortige Antworten und Tipps, super Forum!

      gruß
      timo
    • Re: Public IPs und die DMZ

      Hallo bienkt,
      ich weiß natürlich nicht wie viele Öffentliche Ips du da hast, wenn du mehre hast kannst du natürlich je eine Öffentlichen IP auf einen einzelnen Rechner leiten.
      Ja, du musst für jeden Port eine eigene Regel anlegen, aber ich gehe mal davon aus das du nicht 3 Server hast die alle als Webserver, Mailserver und FTP- Server fungieren.

      Gruß Sabine
      EFW Version im Einsatz:
      2 x Endian UTM Enterprise Software Appliance 3.0.5
      1 x Endian Community 3.2.4
      2 x 2.5.1
      8 x 2.2 Final