Hallo zusammen
Hoffentlich kann mir jemand von euch bei meinem Problem helfen.
Ich habe folgendes Problem. Ich soll eine Firewall mit iptables aufsetzen, was ich auch gemacht habe und auch funktioniert. Nun zum eigentlichen Problem
Die Firewall hat eine öffentliche IP 62.16.154.17
Hinter der Firewall sollen noch vier weitere Server aus dem Internet erreichbar sein. Die vierte Server haben auch öffentlich IP`s.
Die Firewall hat zwei Netzwerkkarten.
Einer der Server ist der eMail Server und die weiteren drei sind WebServer.
WebServer1 62.16.154.20
WebServer2 62.16.154.22
WebServer3 62.16.154.28
eMail Server 62.16.154.30
Ich habe gehört das die Firewall die Packete nicht verändern soll.
Weiss jemand wie ich das realisieren kann.
Ich danke euch schon mal im vorraus
ciao slkzone
Firewall im Firmennetz
-
slartibartfas
- Posts: 38
- Joined: 02. Jun 2000 14:49
Re: Firewall im Firmennetz
Das wirst du ohne NAT (Das meinst du warscheinlich mit Pakete verändern) nur hinbekommen indem du einen der Server zu einem Gateway zum privaten Netz machst. In diesem priv. Netz befindet sich ebenfalls das innere Interface des Firewallrouters. Nun legst du dedizierte Routen zu den Servern auf der Firewall an, die durch das priv. Netz gehen. D.h. das Ziel der Routen zu den Servern ist die IP des inneren Interfaces des Servergateways. Die Defaultroute der Server ist das Servergateway und dessen Defaultroute ist die innere IP der Firewall.
Konntest du mir folgen?
Konntest du mir folgen?
--
Wie funktioniert Routing? www.e-bits.de
Wie funktioniert Routing? www.e-bits.de
-
Gunnar
Re: Firewall im Firmennetz
Du müßtest nach meiner Meinung folgenden Aufbau machen:
| | Firewall mit NAT -> Netz mit privaten IP's dahinter
Internet |Firewall ohne NAT | 3 Webserver
| | E-Mail-Server
Natürlich könnte man die Webserver/den Emailserver auch direkt ans Internet hängen oder auf jedem eine Fireall installieren, aber der Aufbau oben bringt Dir das was Du willst mit einer vernünftigen Sicherheit und mit vertretbarem Aufwand. Lies Dir mal was über DMZ durch, da werden solche Netzstrukturen behandelt.
Du solltest Dir aber unbedingt von jemandem helfen lassen der so etwas schon mal aufgebaut hat. Man kann da viel falsch machen bei Firewalls.
| | Firewall mit NAT -> Netz mit privaten IP's dahinter
Internet |Firewall ohne NAT | 3 Webserver
| | E-Mail-Server
Natürlich könnte man die Webserver/den Emailserver auch direkt ans Internet hängen oder auf jedem eine Fireall installieren, aber der Aufbau oben bringt Dir das was Du willst mit einer vernünftigen Sicherheit und mit vertretbarem Aufwand. Lies Dir mal was über DMZ durch, da werden solche Netzstrukturen behandelt.
Du solltest Dir aber unbedingt von jemandem helfen lassen der so etwas schon mal aufgebaut hat. Man kann da viel falsch machen bei Firewalls.
-
Gunnar
Re: Firewall im Firmennetz
Shit, das Board ht meine Leerzeichen gefressen, deshalb das ganze jetzt noch mal mit * statt Leerzeichen
*********|******************| Firewall mit NAT -> dahinter Netz mit privaten IP's
Internet |Firewall ohne NAT | 3 Webserver
*********|******************| E-Mail-Server
*********|******************| Firewall mit NAT -> dahinter Netz mit privaten IP's
Internet |Firewall ohne NAT | 3 Webserver
*********|******************| E-Mail-Server
-
Rossi
Re: Firewall im Firmennetz
Wie ist denn die zweite IP der Firewall ?
Ich gehe davon aus, das die 62.16.154.17 (riodata ?) die Schnitstelle sein wird, an der das Internet "hängt". Damit hast Du ein Problem, weil die anderen Rechner per se erstmal im gleichen Subnetz sind - Du kannst also nicht routen und damit auch nicht filtern (oder ?).
Eine Möglichkeit wäre, ein Subnetz von 255.255.255.252 zu nehmen und auf die interne Netzwerkarte mehrere IP Adresen zu legen. Dann kannst Du problemlos Routen anlegen - die .17 wäre in einem anderen Subnetz als der Rest. Allerdings wären die 20 und die 22 auch in einem anderen Subnetz also die 28 und die 30. Geht auch nicht, stelle ich gerade fest, da die 62.16.154.20 únd .28 dann Netzadressen wären.
Es bleibt also das Problem, ein Subnetz in zwei logisch und physikalisch getrennte Netze zu zerlegen. Bridgefirewall - irgendjemand ?
Am elegantesten ist es, die anderen Server einfach lokal abzusichern (per iptables und vernünftigen Berechtigungen, etc) und so ins Netz zu stellen - eine DMZ ist eh nicht realisierbar. Dann kann die Firewall auch problemlos NATten.
==============
===Internet===
=======|======
=======|======
---------------------
| | | | |
FW SV1 SV2 SV3 SV4
|
|
-----------
| | |
**Clients**
Gibt natürlich genau dann Probleme, wenn die Internetverbindung eine Punkt-zu-Punkt Verbindung (z.B. DSL) ist und Du einen PC als Gateway hast/nehmen willst/mußt. Z.B. die Firewall.
Hat Dein Provider Dir aber einen Routerhingestellt, stöpsel Deine Rechner einfach in einen Hub, in dem auch "das Kabel aus dem Internet" (vom Router) hängt. Bei ersterem hat ansonsten Dein Provider/Logistiker scheiße gebaut oder ich hab was essentielles übersehen. Letzteres kann natürlich auch gut sein.
Du könntest natürlich noch versuchen zu tricksen, in dem Du die einzelnen Server als Punkt-zu-Punkt Verbindung ansprichst (255.255.255.255) - allerdings bräuchtest Du dann auf jeden Fall eine weitere öffentliche IP Adresse für die interne Karte - vorzugsweise aus dem Bereich 62.16.154.x. Dann könntest Du sogar eine DMZ realisieren, indem Du zwischen der Firewall und den Servern ein privates Netz einflechtest und dort transparent durchroutest.
Spannend ist Nebenher die Frage, wie und ob sich statische Routen mit NAT auf einem Rechner vertragen
Ich gehe davon aus, das die 62.16.154.17 (riodata ?) die Schnitstelle sein wird, an der das Internet "hängt". Damit hast Du ein Problem, weil die anderen Rechner per se erstmal im gleichen Subnetz sind - Du kannst also nicht routen und damit auch nicht filtern (oder ?).
Eine Möglichkeit wäre, ein Subnetz von 255.255.255.252 zu nehmen und auf die interne Netzwerkarte mehrere IP Adresen zu legen. Dann kannst Du problemlos Routen anlegen - die .17 wäre in einem anderen Subnetz als der Rest. Allerdings wären die 20 und die 22 auch in einem anderen Subnetz also die 28 und die 30. Geht auch nicht, stelle ich gerade fest, da die 62.16.154.20 únd .28 dann Netzadressen wären.
Es bleibt also das Problem, ein Subnetz in zwei logisch und physikalisch getrennte Netze zu zerlegen. Bridgefirewall - irgendjemand ?
Am elegantesten ist es, die anderen Server einfach lokal abzusichern (per iptables und vernünftigen Berechtigungen, etc) und so ins Netz zu stellen - eine DMZ ist eh nicht realisierbar. Dann kann die Firewall auch problemlos NATten.
==============
===Internet===
=======|======
=======|======
---------------------
| | | | |
FW SV1 SV2 SV3 SV4
|
|
-----------
| | |
**Clients**
Gibt natürlich genau dann Probleme, wenn die Internetverbindung eine Punkt-zu-Punkt Verbindung (z.B. DSL) ist und Du einen PC als Gateway hast/nehmen willst/mußt. Z.B. die Firewall.
Hat Dein Provider Dir aber einen Routerhingestellt, stöpsel Deine Rechner einfach in einen Hub, in dem auch "das Kabel aus dem Internet" (vom Router) hängt. Bei ersterem hat ansonsten Dein Provider/Logistiker scheiße gebaut oder ich hab was essentielles übersehen. Letzteres kann natürlich auch gut sein.
Du könntest natürlich noch versuchen zu tricksen, in dem Du die einzelnen Server als Punkt-zu-Punkt Verbindung ansprichst (255.255.255.255) - allerdings bräuchtest Du dann auf jeden Fall eine weitere öffentliche IP Adresse für die interne Karte - vorzugsweise aus dem Bereich 62.16.154.x. Dann könntest Du sogar eine DMZ realisieren, indem Du zwischen der Firewall und den Servern ein privates Netz einflechtest und dort transparent durchroutest.
Spannend ist Nebenher die Frage, wie und ob sich statische Routen mit NAT auf einem Rechner vertragen
-
Rossi
Re: Firewall im Firmennetz
Abgesehen davon, das dieses Mistboard meine Leerzeichen frisst, hat sich da auch ein inhaltlicher Fehler eingeschlichen im letzten Absatz: Die zusätzliche Adresse 62.16.154.x ist natürlich nicht für die zweite, interne schnittstelle der Firewall, sondern für den dahintergeschalteten "privaten" Router:
==========###########################---###########################
internet->#62.16.154.17-192.168.10.1#-->#192.168.10.2->62.16.154.x#->Server1,2,3,4 als peer
==========###########################---###########################
============eth0==Firewall==eth1==========eth0=privaterRouter=eth1=
Da die 62.16.154.17 in diesem Fall eine Peeradresse ist, können Anfragen an die 62.16.154.20/22/28/30 an eth1 geroutet werden und eth0 vom "privaten router" kann dann an die einzelnen Maschinen routen. (route add -host ?)
Solltest Du keine weitere IP Adresse bekommen, solltest Du Dir überlegen, ob Du nicht zwei Server konsolidieren kannst. Wobei es bei dieser Konstellation halt spannend ist, wie und wo NAT eingebaut werden kann. Vermutlich bräuchtest Du eine dritte Netzwerkarte in der Firewall für das "Clientnetz", damit NAT nur auf diese Schnittstelle wirkt.
==========###########################---###########################
internet->#62.16.154.17-192.168.10.1#-->#192.168.10.2->62.16.154.x#->Server1,2,3,4 als peer
==========###########################---###########################
============eth0==Firewall==eth1==========eth0=privaterRouter=eth1=
Da die 62.16.154.17 in diesem Fall eine Peeradresse ist, können Anfragen an die 62.16.154.20/22/28/30 an eth1 geroutet werden und eth0 vom "privaten router" kann dann an die einzelnen Maschinen routen. (route add -host ?)
Solltest Du keine weitere IP Adresse bekommen, solltest Du Dir überlegen, ob Du nicht zwei Server konsolidieren kannst. Wobei es bei dieser Konstellation halt spannend ist, wie und wo NAT eingebaut werden kann. Vermutlich bräuchtest Du eine dritte Netzwerkarte in der Firewall für das "Clientnetz", damit NAT nur auf diese Schnittstelle wirkt.