Hinweis: Das Forum wird geschlossen! Neue Registrierungen sind nicht mehr möglich!

 Zurück zu Pro-Linux   Foren-Übersicht   FAQ     Suchen    Mitgliederliste
Wie muß das routing aussehen?

 
Neuen Beitrag schreiben   Auf Beitrag antworten    Pro-Linux Foren-Übersicht -> Netzwerk
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 19. März 2002 18:48   Titel: Wie muß das routing aussehen?

Hallo,

leider wurde nun der kleinen Niederlassung Deutschland von der großen Mutter ein neues FW System vorgesetzt ...
Die Implementierung sieht wie folgt aus (auch wenn es meines Erachtens nach Schwachsinnig ist!!):
code:


----------
LAN ---- | Proxy |
| |-----------
| |
| ------------ ----------
- | Firewall | -- | Router | -- Internet
------------ ----------
| |
| | --------------
| |- | FTP Server |
| --------------
|
| -------------
|- | Viruswall |
-------------


Wobei folgende Grunddaten gelten:

LAN = 10.104.10.0/24
Proxy = 10.104.10.210/24 (Ja, der soll nur eine NIC haben ....)
Firewall = 10.104.10.249/24 (5 NICs: LAN / cross-over zu Proxy / cross-over zu Viruswall / cross-over zu FTP / Router)
Viruswall = 10.104.254.2/24 (DMZ1; MS Proxy 2)
FTP Server = 10.104.253.2/24 (DMZ2; SuSE Linux 7.3)

Die Clients haben als Proxyserver den Proxy angegeben (10.104.10.210).

Der Proxy hat bis heute morgen als "normaler" Proxyserver (Squid 2.3) gewirkt, eth0 war ans LAN angeschlossen, eth1 zum Router.
Nun muß der Proxy aber den Umweg über den MS Proxy gehen .... und das will nicht so ganz funzen.
Habe auf dem Proxy die FW als Gateway angegeben.
IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.

Wie muß der Proxyserver konfiguriert werden, damit Squid DNS Anfragen an einen anderen Proxy weiterleitet?
Die Angabe: "peer_cache viruswall parent 8080 7 proxy-only" (viruswall kann aufgelöst werden) scheint das Problem nicht zu lösen.

Danke & Gruß
(Bitte keine Kommentare zu dem schwachsinningen Aufbau .... habe schon bald ein Magengeschwür ...)
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)


Zuletzt bearbeitet von Stormbringer am 19. März 2002 18:48, insgesamt 1-mal bearbeitet
 
Benutzer-Profile anzeigen Private Nachricht senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 19. März 2002 21:03   Titel: Re: Wie muß das routing aussehen?

Hi Stormbringer

peer_cache viruswall parent 8080 7 proxy-only
^

Es kann es sein, dass du den icp_port in ein paar Zeilen darüber auch noch richtig setzen musst (mit 0).
Zudem darf auf deiner Viruswall kein Programm installiert sein, dass UDP-Anfragen verwirft (zumindest dürfewn die Anfragen von Squid nicht verworfen werden).
Du kannst auch versuchen, ob du statt des namens viruswall nicht lieber die IP-Adresse verwendest (wobei du ja die NAmensauflösung bereits als Fehlerquelle ausgeschlossen hast).

>Habe auf dem Proxy die FW als Gateway angegeben.
>IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.

Na das macht jetzt aber gar keinen Sinn. Der Proxy wird nicht durch die FW blockiert und darf direkt ins Internet?
Aus welchem Grund, sollte Squid DNS Anfragen auflösen? Das sollte der (MS)-Proxy übernehmen.

Je länger ich über euer Konzept nachdenke, desto mehr Probleme habe ich es zu verstehen.

Ich habe noch eine Frage zu eurem FW aufbau:
Wenn der Proxy nur eine Netzwerkkarte hat, wie kann er dann über ein(!) Cross-Over-Kabel gleichzeitig mit dem LAN und mit der FW verbunden sein?

Kannst du evtl. auch mal die Fehlermeldungen posten, die zurück an den Browser geliefert werden und auch die Fehler, die in die log Datei geschrieben werden.

PS: läuft dein Script jetzt?
PPS: ich habe das mit der Netzwerkadresse als Hostadresse getestet. Leider ist dieser Versuch fehlgeschlagen. Mangels BSD kann ich es nicht mit dem Original Stack testen (wäre bestimmt interessant).
Allerdings habe ich in den RFC´s keinen Hinweis gefunden, dass man die Netzadresse nicht als Hostadresse verwenden darf. Falls du zufällig mal über sowas stolperst: Mein Dank wäre dir gewiss

Gruß
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 19. März 2002 21:50   Titel: Re: Wie muß das routing aussehen?



Wenn der Proxy nur eine Netzwerkkarte hat, wie kann er dann über ein(!) Cross-Over-Kabel gleichzeitig mit dem LAN und mit der FW verbunden sein?


Mein Fehler ... ist selbstredend ein normales Kabel ....



>Habe auf dem Proxy die FW als Gateway angegeben.
>IP-Adressen kann ich nun auch per ping erreichen, aber leider funzt die Namensauflösung nicht.
Na das macht jetzt aber gar keinen Sinn. Der Proxy wird nicht durch die FW blockiert und darf direkt ins Internet?
Aus welchem Grund, sollte Squid DNS Anfragen auflösen? Das sollte der (MS)-Proxy übernehmen.


Auf der FW (läuft im Stealth Mode) ist die Viruswall als GW eingetragen, und dort schlußendlich der Router zum Internet.



Es kann es sein, dass du den icp_port in ein paar Zeilen darüber auch noch richtig setzen musst (mit 0).


Das kann durchaus sein .... habe ich zumindest nicht kontrolliert.



PS: läuft dein Script jetzt?


Nein - da aber zwischenzeitlich auch eine neue HylaFAX Version erschienen ist, welche nicht abwärtskompatibel zu VErsion 4.1 ist, werde ich es mit einer kompletten Neuinstallation der neuen Version probieren. (SuSE wird diese wohl erst in 8.1 oder 8.2 integrieren ..



PPS: ich habe das mit der Netzwerkadresse als Hostadresse getestet. Leider ist dieser Versuch fehlgeschlagen. Mangels BSD kann ich es nicht mit dem Original Stack testen (wäre bestimmt interessant).


Also, ich werde nun bestimmt nicht die einzelnen Dokus von Intel, 3COM, Cisco, u. a. durchforsten (), es aber im Hinterkopf behalten.

Das mit den Verständnisproblemen kann ich nur unterstreichen ..... doppelt unterstreichen. Ist auch mit ein Grund, warum ich heute abend eigentlich nur einige Bewerbungsanschreiben formuliert habe ... wer weis schon, wo dies noch enden wird.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

trinity



Anmeldungsdatum: 12.10.2001
Beiträge: 821

BeitragVerfasst am: 20. März 2002 11:24   Titel: Re: Wie muß das routing aussehen?


Auf der FW (läuft im Stealth Mode) ist die Viruswall als GW eingetragen, und dort schlußendlich der Router zum Internet.


Worauf ich aber hinaus wollte, war der ping vom proxy (squid) ins Internet. Das sollte IMHO nicht erlaubt sein. Der squid soll und muss auf jeden Fall über den MS-Proxy. Eine andere route ins Internet sollte es für den squid nicht geben. Aus diesem Grund kann und darf squid auch keine namensauflösung vornehmen.
_________________
"Korrekt, Freundlich, Kostenfrei", wähle genau zwei. (Lutz Donnerhacke in dcsf)
 
Benutzer-Profile anzeigen Private Nachricht senden

Stormbringer



Anmeldungsdatum: 11.01.2001
Beiträge: 1570
Wohnort: Ruhrgebiet

BeitragVerfasst am: 20. März 2002 13:16   Titel: Re: Wie muß das routing aussehen?

Das haben die Fachleute heute auch nach einigen Stunden des telefonierens etwas anders gelöst - der Squid Proxy ist abgeschaltet worden, da sie es nicht hinbekommen haben ...
Anstelle von 2 Linux Systemen laufen jetzt nun 4 W2K Systeme, mit denen sie wohl eher klarkommen - naja, habe auch ssofort die Zuständigkeiten gereglt, die Systeme befinden sich nun ein einem abgeschlossenen 19" Schrank, und der Schlüssel ging mit ihnen.

Gruß
_________________
Continuum Hierarchy Supervisor:
You have already been assimilated.
(Rechtschreibungsreformverweigerer!)
 
Benutzer-Profile anzeigen Private Nachricht senden

Beiträge vom vorherigen Thema anzeigen:   
     Pro-Linux Foren-Übersicht -> Netzwerk Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehen Sie zu:  

Powered by phpBB © phpBB Group
pro_linux Theme © 2004 by Mandaxy