|
| Problemer med Cisco og egen firewall serve~ Fra : Søren |
Dato : 25-01-03 14:51 |
|
Jeg har forsøgt en hel masse med nedenstående konfiguration, men jeg kan
ikke helt få det til at fungere! Jeg har tilladt mig at poste de i disse to
områder, da jeg ikke helt kan placere hvor det høre mest hjemme.
Mit opsæt er følgende:
Jeg har en Cisco 677 som p.t. har et rigtigt IP nummer og tildeler interne
IP numre til lokalnettet.
Jeg har fået en FreeBSD server skal være tilkoblet routeren direkte.
Det andet netkort i FreeBSD skal så være tilsluttet LAN nettet.
Jeg kan simpelthen ikke finde ud af at konfigurere den router og/eller
FreeBSD - skal jeg
disable NAT på dén eller skal der være NAT på både routeren og FreeBSD'en?
"Grafisk" ser der sådan ud:
INET --> Cisco --> FBSD --> LAN
Jeg har forsøgt:
Cisco LAN = 192.168.1.1 / 255.255.255.0
FBSD "WAN" = 192.168.1.10 / 255.255.255.0
FBSD LAN = 192.168.2.10 / 255.255.255.0
Det jeg er interesseret i er, at få min FreeBSD til at fungere som
firewall - den kender jeg da til dels, fremfor Cisco'en men jeg er ret
forvirret over dét med at det er interne IP numre. Det ville være "nemt",
hvis man kunne undvære Cisco routeren og dermed få public IP nummer direkte
på FreeBSD'en men ehh.. ??
Nogen der har nogle gode foreslag? Hvad skal jeg skrive i routeren og
hvordan skal FreeBSD sættes op? Kunne det ikke løses, hvis Cisco kunne
brigde det hele videre til FreeBSD'en (men det kan den vel ikke)?
Søren
| |
Ivar Madsen (25-01-2003)
| Kommentar Fra : Ivar Madsen |
Dato : 25-01-03 18:06 |
|
Søren skrev Lørdag den 25. januar 2003 14:51 i dk.edb.system.unix:
> Jeg har en Cisco 677 som p.t. har et rigtigt IP nummer og tildeler
> interne IP numre til lokalnettet.
Hvis jeg husker ret, så er 677 en af dem med ADSL modem indbygget, så du
ikke kan droppe routeren?
> Jeg har fået en FreeBSD server skal være tilkoblet routeren direkte.
> Det andet netkort i FreeBSD skal så være tilsluttet LAN nettet.
Hvorfor ikke lade routeren om at lave alt arbejdet?
> Jeg kan simpelthen ikke finde ud af at konfigurere den router og/eller
> FreeBSD - skal jeg
> disable NAT på dén eller skal der være NAT på både routeren og
> FreeBSD'en?
Du skal have alt trafik igennem din router, urørt, til din FreeBSD.
Nu kender jeg ikke 677'eren, men hvis den har en DMZ zone, så sæt den
til at pege på din FreeBSD.
Hvis den ikke har, så NAT de porte du skal bruge til din FreeBSD, og
igen NAT din FreeBSD til den maskine trafikken skal til, alså hvis ikke
den er den selv.
--
Med venlig hilsen
Ivar Madsen
| |
Søren (25-01-2003)
| Kommentar Fra : Søren |
Dato : 25-01-03 18:23 |
|
> > Jeg har en Cisco 677 som p.t. har et rigtigt IP nummer og tildeler
> > interne IP numre til lokalnettet.
>
> Hvis jeg husker ret, så er 677 en af dem med ADSL modem indbygget, så du
> ikke kan droppe routeren?
Korrekt - min FreeBSD kan ikke erstatte routeren (øv).
> > Jeg har fået en FreeBSD server skal være tilkoblet routeren direkte.
> > Det andet netkort i FreeBSD skal så være tilsluttet LAN nettet.
>
> Hvorfor ikke lade routeren om at lave alt arbejdet?
Fordi der ikke er nogen firewall i routeren. Der er portforwarding men det
er ikke nok sikkerhed for mig.
> > Jeg kan simpelthen ikke finde ud af at konfigurere den router og/eller
> > FreeBSD - skal jeg
> > disable NAT på dén eller skal der være NAT på både routeren og
> > FreeBSD'en?
>
> Du skal have alt trafik igennem din router, urørt, til din FreeBSD.
> Nu kender jeg ikke 677'eren, men hvis den har en DMZ zone, så sæt den
> til at pege på din FreeBSD.
> Hvis den ikke har, så NAT de porte du skal bruge til din FreeBSD, og
> igen NAT din FreeBSD til den maskine trafikken skal til, alså hvis ikke
> den er den selv.
Der er ikke DMZ i routeren. Dvs. at jeg skal have 2xNAT - både på router og
FreeBSD (jeg kan forestille mig at det kan give besvær med diverse.. f.eks.
FTP). Men jeg skal NAT alt trafik (port 1-65000 tcp/udp) fra router til
FreeBSD?
Søre
| |
Ivar Madsen (25-01-2003)
| Kommentar Fra : Ivar Madsen |
Dato : 25-01-03 18:33 |
|
Søren skrev Lørdag den 25. januar 2003 18:23 i dk.edb.netvaerk:
> Der er ikke DMZ i routeren.
Det tænkte jeg nok, men hvis nu,,,
> Dvs. at jeg skal have 2xNAT - både på
> router og FreeBSD (jeg kan forestille mig at det kan give besvær med
> diverse.. f.eks. FTP). Men jeg skal NAT alt trafik (port 1-65000
> tcp/udp) fra router til FreeBSD?
Det er sikkert nemt nok at lave en NAT entry for port 1-65000 for både
tcp og udp, men hvorfor ikke lade routeren lave sin del af arbejdet, og
nøjes med at route de porte du faktisk skal bruge?
Jeg kan ikke se hvorfor det skulle give problemmer med noget så simpelt
som FTP? Men mere advancerede protokoller som div. spilserver, icq og
sådan noget, kan jeg godt forstille mig er lidt mere kryptisk?
--
Med venlig hilsen
Ivar Madsen
| |
Søren (25-01-2003)
| Kommentar Fra : Søren |
Dato : 25-01-03 19:15 |
|
> > Dvs. at jeg skal have 2xNAT - både på
> > router og FreeBSD (jeg kan forestille mig at det kan give besvær med
> > diverse.. f.eks. FTP). Men jeg skal NAT alt trafik (port 1-65000
> > tcp/udp) fra router til FreeBSD?
>
> Det er sikkert nemt nok at lave en NAT entry for port 1-65000 for både
> tcp og udp, men hvorfor ikke lade routeren lave sin del af arbejdet, og
> nøjes med at route de porte du faktisk skal bruge?
Fordi jeg nu en gang ønsker en FreeBSD som firewall fremfor Ciscos
portforwarding (indtil videre som forsøg)?
> Jeg kan ikke se hvorfor det skulle give problemmer med noget så simpelt
> som FTP? Men mere advancerede protokoller som div. spilserver, icq og
> sådan noget, kan jeg godt forstille mig er lidt mere kryptisk?
Det kan der selvfølgelig være noget om, men jeg vil nu alligevel forsøge.
Søren
| |
Dennis Pedersen (25-01-2003)
| Kommentar Fra : Dennis Pedersen |
Dato : 25-01-03 19:14 |
|
"Søren" <ghost@nowheres.com> wrote in message
news:yDwY9.44775$Hl6.5366482@news010.worldonline.dk...
> Jeg har forsøgt en hel masse med nedenstående konfiguration, men jeg kan
> ikke helt få det til at fungere! Jeg har tilladt mig at poste de i disse
to
> områder, da jeg ikke helt kan placere hvor det høre mest hjemme.
> Mit opsæt er følgende:
>
> Jeg har en Cisco 677 som p.t. har et rigtigt IP nummer og tildeler interne
> IP numre til lokalnettet.
> Jeg har fået en FreeBSD server skal være tilkoblet routeren direkte.
> Det andet netkort i FreeBSD skal så være tilsluttet LAN nettet.
>
> Jeg kan simpelthen ikke finde ud af at konfigurere den router og/eller
> FreeBSD - skal jeg
> disable NAT på dén eller skal der være NAT på både routeren og FreeBSD'en?
>
> "Grafisk" ser der sådan ud:
> INET --> Cisco --> FBSD --> LAN
>
> Jeg har forsøgt:
> Cisco LAN = 192.168.1.1 / 255.255.255.0
> FBSD "WAN" = 192.168.1.10 / 255.255.255.0
> FBSD LAN = 192.168.2.10 / 255.255.255.0
Sæt din router op til at redirecte alt til din FreeBSD kasses externe
netkort.
Start natd på maskinen og brug -redirect_port til det som du vil have videre
til dit lan (man natd)
sæt gateway_enable="yes" i rc.conf samt firewall_type="open" indtil du har
fået styr på dine regler :)
/Dennis
| |
Søren (25-01-2003)
| Kommentar Fra : Søren |
Dato : 25-01-03 19:17 |
|
> Sæt din router op til at redirecte alt til din FreeBSD kasses externe
> netkort.
Jo, men med NAT på routeren? Det er vel den eneste måde den kan redirecte
på?
> Start natd på maskinen og brug -redirect_port til det som du vil have
videre
> til dit lan (man natd)
> sæt gateway_enable="yes" i rc.conf samt firewall_type="open" indtil du har
> fået styr på dine regler :)
Den har jeg nogenlunde styr på nu (FreeBSD). Var bare ikke klar over om mn
skulle have NAT enablet på den eller ej, men det skal man jo så, selv om det
er interne IP numre på begge sider af FreeBSD's netkort.
Søren
| |
Dennis Pedersen (25-01-2003)
| Kommentar Fra : Dennis Pedersen |
Dato : 25-01-03 19:25 |
|
"Søren" <ghost@nowheres.com> wrote in message
news:vwAY9.44937$Hl6.5392611@news010.worldonline.dk...
> > Sæt din router op til at redirecte alt til din FreeBSD kasses externe
> > netkort.
>
> Jo, men med NAT på routeren? Det er vel den eneste måde den kan redirecte
> på?
Du kan ikke slå nat fra i din karseholder , derfor sender du alt videre til
FreeBSD boxen.
> > Start natd på maskinen og brug -redirect_port til det som du vil have
> videre
> > til dit lan (man natd)
> > sæt gateway_enable="yes" i rc.conf samt firewall_type="open" indtil du
har
> > fået styr på dine regler :)
>
> Den har jeg nogenlunde styr på nu (FreeBSD). Var bare ikke klar over om mn
> skulle have NAT enablet på den eller ej, men det skal man jo så, selv om
det
> er interne IP numre på begge sider af FreeBSD's netkort.
Det nemmeste er bare at lade BSD boxen natte og blot sige til dig selv det
er et rigtigt routbar IP-nr du har på din wan side.
/Dennis
| |
Ivar Madsen (25-01-2003)
| Kommentar Fra : Ivar Madsen |
Dato : 25-01-03 19:41 |
|
Søren skrev Lørdag den 25. januar 2003 19:16 i dk.edb.netvaerk:
> Var bare ikke klar over om mn
> skulle have NAT enablet på den eller ej, men det skal man jo så, selv
> om det er interne IP numre på begge sider af FreeBSD's netkort.
Din router ved ikke at det er en router den router til.
Din FreeBSD ved ikke er det er en på internettet ikke routbar IP den får
på dens WAN side.
--
Med venlig hilsen
Ivar Madsen
| |
Asbjorn Hojmark (26-01-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 26-01-03 00:09 |
|
On Sat, 25 Jan 2003 19:16:56 +0100, "Søren" <ghost@nowheres.com>
wrote:
> Var bare ikke klar over om mn skulle have NAT enablet på den eller
> ej, men det skal man jo så, selv om det er interne IP numre på begge
> sider af FreeBSD's netkort.
Nej, det behøver man ikke, med mindre det er en begrænsning i den
firewall-software du bruger, at den *skal* køre NAT.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Asbjorn Hojmark (26-01-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 26-01-03 00:09 |
|
On Sat, 25 Jan 2003 14:51:24 +0100, "Søren" <ghost@nowheres.com>
wrote:
> Jeg kan simpelthen ikke finde ud af at konfigurere den router og/eller
> FreeBSD - skal jeg disable NAT på dén eller skal der være NAT på både
> routeren og FreeBSD'en?
Hvis det skal være så simpelt som muligt, skal du slå NAT fra på
din FreeBSD og så blot route hen over den. Du kan ikke slå NAT
fra på routeren, for så vil trafik fra Internet ikke blive routet
til dig (pga. dine 192.168.1.0/24-adresser).
Husk at lave en static route til 192.168.2.0/24 på routeren med
next hop 192.168.1.10, og husk at konfigurere den til at køre NAT
for dette netværk.
> Det ville være "nemt", hvis man kunne undvære Cisco routeren og dermed
> få public IP nummer direkte på FreeBSD'en men ehh.. ??
Det kan man godt, men det kræver, at du sætter et ADSL-modem i
(eller til) FreeBSD-boxen.
> Kunne det ikke løses, hvis Cisco kunne brigde det hele videre til
> FreeBSD'en (men det kan den vel ikke)?
Routeren kan godt bridge (så det mere eller mindre ville se ud
som et ADSL-til-ethernet 'modem'), men det kræver (også)
ændringer på centralen, og det er ikke en løsning, som Tiscali
tilbyder.
En anden løsningsmodel er at få et lille registreret net til brug
på indersiden af Cisco'en. Det kræver dog (vist nok), at der er
tale om et erhvervsabonnement, når der er tale om Tiscali.
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Søren (26-01-2003)
| Kommentar Fra : Søren |
Dato : 26-01-03 01:43 |
|
> > Jeg kan simpelthen ikke finde ud af at konfigurere den router og/eller
> > FreeBSD - skal jeg disable NAT på dén eller skal der være NAT på både
> > routeren og FreeBSD'en?
>
> Hvis det skal være så simpelt som muligt, skal du slå NAT fra på
> din FreeBSD og så blot route hen over den. Du kan ikke slå NAT
> fra på routeren, for så vil trafik fra Internet ikke blive routet
> til dig (pga. dine 192.168.1.0/24-adresser).
Slå NAT fra på FreeBSD? Dvs. at jeg kun skal køre med "ipfw" og ikke
"ipdivert"?
> Husk at lave en static route til 192.168.2.0/24 på routeren med
> next hop 192.168.1.10, og husk at konfigurere den til at køre NAT
> for dette netværk.
Kan du uddybe? Hvorfor skal routeren vide at nexthop til 192.168.2.0/24 er
192.168.1.10? Alt bliver vel forwardet til 192.168.1.10 alligevel?
Søren
| |
Asbjorn Hojmark (26-01-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 26-01-03 14:53 |
|
On Sun, 26 Jan 2003 01:42:43 +0100, "Søren" <ghost@nowheres.com>
wrote:
>> Hvis det skal være så simpelt som muligt, skal du slå NAT fra på
>> din FreeBSD og så blot route hen over den. Du kan ikke slå NAT
>> fra på routeren, for så vil trafik fra Internet ikke blive routet
>> til dig (pga. dine 192.168.1.0/24-adresser).
> Slå NAT fra på FreeBSD?
Ja, der er ingen grund til at køre NAT to gange. Det kan det
nærmest kun blive værre af.
> Dvs. at jeg kun skal køre med "ipfw" og ikke "ipdivert"?
Unknown. FreeBSD er ikke min ting.
>> Husk at lave en static route til 192.168.2.0/24 på routeren med
>> next hop 192.168.1.10, og husk at konfigurere den til at køre NAT
>> for dette netværk.
> Kan du uddybe? Hvorfor skal routeren vide at nexthop til 192.168.2.0/24 er
> 192.168.1.10? Alt bliver vel forwardet til 192.168.1.10 alligevel?
Ja, men hvis 192.168.1.10 ikke kører NAT -- hvilket jo var, hvad
jeg foreslog -- så er routeren nødt til at vide, hvordan den skal
nå det pågældende net. Ellers vil den kunne stå med en pakke til
fx. 192.168.2.222, og hvis den ikke har en route til den, vil den
bare smide pakken væk. (Her vil den dog smide det tilbage over
din ADSL, fordi den har en gateway of last resort i den retning).
-A
--
Heroes: Vint Cerf & Bob Kahn, Leonard Kleinrock, Robert Metcalfe, Jon Postel
Links : http://www.hojmark.net/
FAQ : http://www.net-faq.dk/
| |
Michael Lyngbøl (26-01-2003)
| Kommentar Fra : Michael Lyngbøl |
Dato : 26-01-03 17:29 |
|
On Sun, 26 Jan 2003 14:53:09 +0100, Asbjorn Hojmark wrote:
[...]
>> Dvs. at jeg kun skal køre med "ipfw" og ikke "ipdivert"?
Korrekt. Laver din Cisco router NAT har du ikke brug for "ipdivert".
> Unknown. FreeBSD er ikke min ting.
ipfw bruges til pakkefiltrering, shaping mm.
options IPDIVERT ("ipdivert") er kun nødvendig i kernel hvis du vil lave
NAT vha. ipfw(8) og natd(8).
--
Michael Lyngbøl -- Opinions are mine[TM];
ZX-9R
| |
Søren (27-01-2003)
| Kommentar Fra : Søren |
Dato : 27-01-03 01:07 |
|
> >> Dvs. at jeg kun skal køre med "ipfw" og ikke "ipdivert"?
>
> Korrekt. Laver din Cisco router NAT har du ikke brug for "ipdivert".
> ipfw bruges til pakkefiltrering, shaping mm.
> options IPDIVERT ("ipdivert") er kun nødvendig i kernel hvis du vil lave
> NAT vha. ipfw(8) og natd(8).
Det køre nu næsten det hele, så indtil videre tak for hjælpen Der er dog
en lille enkelt ting jeg mangler at få på plads - når jeg ikke køre NAT på
BSD'en, hvordan får jeg så forwardet f.eks. WEB over på en intern server fra
BSD'en? Jeg går ikke ud fra, at jeg bare kan åbne for det i ipfw, for hvad
så hvis man har flere WEB servere? Det har jeg dog ikke, men HVIS nu?
Søren
| |
Thomas Corell (27-01-2003)
| Kommentar Fra : Thomas Corell |
Dato : 27-01-03 08:43 |
|
Søren wrote:
>
> Det køre nu næsten det hele, så indtil videre tak for hjælpen Der er dog
> en lille enkelt ting jeg mangler at få på plads - når jeg ikke køre NAT på
> BSD'en, hvordan får jeg så forwardet f.eks. WEB over på en intern server fra
> BSD'en? Jeg går ikke ud fra, at jeg bare kan åbne for det i ipfw, for hvad
> så hvis man har flere WEB servere? Det har jeg dog ikke, men HVIS nu?
http://httpd.apache.org/docs/mod/mod_proxy.html#proxypass
http://httpd.apache.org/docs/mod/mod_proxy.html#proxypassreverse
Hvis du altså har en Apache på din BSD.
Vi er dog ved at være off-topic, da der er en decideret
apache-nhedsgruppe.
--
Don't waste space
| |
Søren (27-01-2003)
| Kommentar Fra : Søren |
Dato : 27-01-03 08:59 |
|
> > Det køre nu næsten det hele, så indtil videre tak for hjælpen Der er
dog
> > en lille enkelt ting jeg mangler at få på plads - når jeg ikke køre NAT
på
> > BSD'en, hvordan får jeg så forwardet f.eks. WEB over på en intern server
fra
> > BSD'en? Jeg går ikke ud fra, at jeg bare kan åbne for det i ipfw, for
hvad
> > så hvis man har flere WEB servere? Det har jeg dog ikke, men HVIS nu?
>
> http://httpd.apache.org/docs/mod/mod_proxy.html#proxypass
> http://httpd.apache.org/docs/mod/mod_proxy.html#proxypassreverse
> Hvis du altså har en Apache på din BSD.
> Vi er dog ved at være off-topic, da der er en decideret
> apache-nhedsgruppe.
Nej, det er ikke Apache og det er nu ikke kun WEB server men alle services
jeg tænker på. F.eks. hvordan får jeg forwardet port 110 til en given intern
server m.v.? Jeg har forsøgt at åbne for det igennem firewall men der sker
ikke rigtigt noget og jeg vil da gætte på, at det har noget med at gøre at
BSD'en ikke ved hvad den skal gøre ved de pakker?
Søren
| |
Thomas Corell (27-01-2003)
| Kommentar Fra : Thomas Corell |
Dato : 27-01-03 09:02 |
|
Søren wrote:
>
> Nej, det er ikke Apache og det er nu ikke kun WEB server men alle services
> jeg tænker på. F.eks. hvordan får jeg forwardet port 110 til en given intern
> server m.v.? Jeg har forsøgt at åbne for det igennem firewall men der sker
> ikke rigtigt noget og jeg vil da gætte på, at det har noget med at gøre at
> BSD'en ikke ved hvad den skal gøre ved de pakker?
Ah. OK.
Nu har du selv nævnt ipfw. Fra man-siden til ipfw:
fwd | forward ipaddr[,port]
Change the next-hop on matching packets to ipaddr, which can be
an IP address in dotted quad format or a host name. The search
terminates if this rule matches.
--
Don't waste space
| |
Søren (27-01-2003)
| Kommentar Fra : Søren |
Dato : 27-01-03 12:38 |
|
> Nu har du selv nævnt ipfw. Fra man-siden til ipfw:
> fwd | forward ipaddr[,port]
> Change the next-hop on matching packets to ipaddr, which can be
> an IP address in dotted quad format or a host name. The search
> terminates if this rule matches.
Jeg har forsøgt:
${fwcmd} add 5700 fwd 192.168.2.100 tcp from 192.168.1.10 5900 to
192.168.1.10 keep-state
Men uden held? Det er til VNC på min interne server.
Cisco LAN = 192.168.1.1 (NATter alt videre til 1.10)
BSD WAN = 192.168.1.10
BSD LAN = 192.168.2.10
Server LAN = 192.168.2.100
Søren
| |
Thomas Corell (27-01-2003)
| Kommentar Fra : Thomas Corell |
Dato : 27-01-03 12:54 |
|
Søren wrote:
>
> Jeg har forsøgt:
> ${fwcmd} add 5700 fwd 192.168.2.100 tcp from 192.168.1.10 5900 to
> 192.168.1.10 keep-state
Mener du ikke:
.... fwd 192.168.2.100,5900 tcp from any to 192.168.1.10 5900
?
Ellers har jeg misforstået, hvad det er du vil opnå.
--
Don't waste space
| |
Søren (27-01-2003)
| Kommentar Fra : Søren |
Dato : 27-01-03 16:17 |
|
> > Jeg har forsøgt:
> > ${fwcmd} add 5700 fwd 192.168.2.100 tcp from 192.168.1.10 5900 to
> > 192.168.1.10 keep-state
>
> Mener du ikke:
> ... fwd 192.168.2.100,5900 tcp from any to 192.168.1.10 5900
> Ellers har jeg misforstået, hvad det er du vil opnå.
Jo, det ser rigtigt ud, men det virker nu ikke helt. Jeg er interesseret i
at få VNC dirigeret til min interne server. Jeg kan se på reglerne (ipfw
show), at der bliver opsamlet trafik på reglen, men kan det være fordi BSD
ikke ved hvad den skal gøre med returpakken fra min interne server? (og hvad
gør man så - forwarder den modsatte vej?)
Søren
| |
|
|