Hi!
Ich habe hinter meiner Firewall ein Mailserver mit fester IP(MX-Record). Wie sage ich jetzt der Firewall, dass alle Anfragen für den Mailserver an die entsprechende IP-Adresse des Mailservers weiterzuleiten sind? Ich möchte allerdings keine Änderung am MX-Record machen. Als Firewall benutze ich Smoothwall(baut auf RED HAT auf).
Gruß
Mike
Firewall und Mailserver
-
Rossi
Re: Firewall und Mailserver
Du hast also zwei "offizielle" IP Adressen ? Eine für die FW und eine für den Mailserver ? Liegen die beide im gleichen Subnetz ?
Oder hat die Firewall eine dynamische zugewiesene IP Adresse und Du Dir eine "feste" gekauft, die dahinter liegt ? Auch hier - beide im gleichen Subetzt ?
Oder hat die Firewall eine dynamische zugewiesene IP Adresse und Du Dir eine "feste" gekauft, die dahinter liegt ? Auch hier - beide im gleichen Subetzt ?
-
Mike
Re: Firewall und Mailserver
>Du hast also zwei "offizielle" IP Adressen ? Eine für die FW und eine für den Mailserver ?
Ja, genau genommen ein halbes Klasse C-Netz, welches in verschieden Subnetze unterteilt ist.
>Liegen die beide im gleichen Subnetz ?
Eigentlich werden alle IP-Adressen im Internet geroutet.
eth1 ist die Verbindung zum Cisco-Router der Telekom.
eth1 liegt allerdings NICHT im gleichen Subnet wie der Mailserver.
Die zweite Netzwerkkarte der Firewall(eth0) liegt natürlich im selben subnet wie die des Mailservers.
z.B.:
Cisco-Router
Ethernetschnittstelle 194.200.100.121 subnet 255.255.255.248
und eine statische route auf die Firewall (eth1)194.200.100.122 195.200.100.0 Subnet 255.255.255.192
| |
| |eth1 194.200.100.122 subnet 255.255.255.248
| |
Firewall-------
| |
| |eth0 194.200.100.1 subnet 255.255.255.192
| |
| |
|
Mailserver 194.200.100.6(MX-Record) und Lan(restlichen IP-Adressen) subnet 255.255.255.192
Der Mailserver soll jetzt direkt mit seiner IP-Adresse 194.200.100.6 angesprochen werden können.
Gruß und Dank
Mike
Ja, genau genommen ein halbes Klasse C-Netz, welches in verschieden Subnetze unterteilt ist.
>Liegen die beide im gleichen Subnetz ?
Eigentlich werden alle IP-Adressen im Internet geroutet.
eth1 ist die Verbindung zum Cisco-Router der Telekom.
eth1 liegt allerdings NICHT im gleichen Subnet wie der Mailserver.
Die zweite Netzwerkkarte der Firewall(eth0) liegt natürlich im selben subnet wie die des Mailservers.
z.B.:
Cisco-Router
Ethernetschnittstelle 194.200.100.121 subnet 255.255.255.248
und eine statische route auf die Firewall (eth1)194.200.100.122 195.200.100.0 Subnet 255.255.255.192
| |
| |eth1 194.200.100.122 subnet 255.255.255.248
| |
Firewall-------
| |
| |eth0 194.200.100.1 subnet 255.255.255.192
| |
| |
|
Mailserver 194.200.100.6(MX-Record) und Lan(restlichen IP-Adressen) subnet 255.255.255.192
Der Mailserver soll jetzt direkt mit seiner IP-Adresse 194.200.100.6 angesprochen werden können.
Gruß und Dank
Mike
Re: Firewall und Mailserver
du must auf deiner firewall eine route zum mailserver (bzw. dein internes netz setzen) setzen und das forwarding auf deiner firewall einschalten.
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/ip_forward
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
Mike
Re: Firewall und Mailserver
ip forwarding ist eingeschaltet!
route add -host 194.200.100.6 gw 194.200.100.??? wenn ich probiere netmask 255.255.255.192 mit anzugeben meldet er mir immer:
route: netmask 0000003f doesn't make sense with host route.
Wie müßte der Befehl den aussehen oder bin ich völlig auf dem Holzweg?
Gruß
Mike
route add -host 194.200.100.6 gw 194.200.100.??? wenn ich probiere netmask 255.255.255.192 mit anzugeben meldet er mir immer:
route: netmask 0000003f doesn't make sense with host route.
Wie müßte der Befehl den aussehen oder bin ich völlig auf dem Holzweg?
Gruß
Mike
Re: Firewall und Mailserver
du sollst nicht dein Mailrechner als gateway eintragen, sondern eine route dorthin setzen.
Die Syntax kenn ich jetzt auch nicht auswendig, deswegen:
man route
Die Syntax kenn ich jetzt auch nicht auswendig, deswegen:
man route
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
-
Rossi ?
Re: Firewall und Mailserver
Wenn Du eine Route auf einen HOST setzt, kannst Du keine NETZmaske angeben, (bzw. die Netzmaske für einen einzelnen Host ist 255.255.255.255).
Ansonsten höre auf Lutz, und lege eine Route an und keinen Gateway - das muß aber keine Host-Route sein, es geht auch eine Route, die alle Anfragen an das Netz 194.200.100.0/26 an eth0 sendet. Ist sogar zu empfehlen - so können die anderen Rechner auch angesprochen werden.
P.S.: nach außen - also aus Sicht des Internet - liegen beide Rechner im gleichen Subnetz (194.200.100.0 - 194.200.100.127), oder ?
Ansonsten höre auf Lutz, und lege eine Route an und keinen Gateway - das muß aber keine Host-Route sein, es geht auch eine Route, die alle Anfragen an das Netz 194.200.100.0/26 an eth0 sendet. Ist sogar zu empfehlen - so können die anderen Rechner auch angesprochen werden.
P.S.: nach außen - also aus Sicht des Internet - liegen beide Rechner im gleichen Subnetz (194.200.100.0 - 194.200.100.127), oder ?