/ Forside / Teknologi / Operativsystemer / Linux / Nyhedsindlæg
Login
Glemt dit kodeord? 		Brugernavn

Kodeord


Reklame
Top 10 brugere
Linux
#NavnPoint
o.v.n. 11177
peque 7911
dk 4814
e.c 2359
Uranus 1334
emesen 1334
stone47 1307
linuxrules 1214
Octon 1100
10  BjarneD 875
FW og DMZ -flere adresser
Fra : CykelSmeden fra Aalb~

Dato : 08-10-01 19:50
Jeg har planer om at lægge nogle servere på et DMZ ben på en FW (pt.
smoothwall). Et eller andet er forbigået min forståelse:

det røde ben (mod internettet) har [naturligvis ?] en ipadresse/subnet.
konfigutrationstabben angiver mulighed for at videresende et portnummer/ny
ipadresse til dmz-benet.

vi taler eks. 5 servere, deraf de 3 med http på port 80. et par mail etc.

hvordan er den man fortæller at hvis det er ipadresse x.y.z.5:80 der kaldes
skal det på server i.j.k.100:80 og er dex x.y.x.12:80 der kaldes skal det på
i.j.k.105:80 ???

eller er det her man skal bruge en 50.000+ cisco-fyr?

finn



 
 
Kent Friis (08-10-2001)
Kommentar
Fra : Kent Friis

Dato : 08-10-01 21:38
Den Mon, 8 Oct 2001 20:49:42 +0200 skrev CykelSmeden fra Aalborg:
>Jeg har planer om at lægge nogle servere på et DMZ ben på en FW (pt.
>smoothwall). Et eller andet er forbigået min forståelse:
>
>det røde ben (mod internettet) har [naturligvis ?] en ipadresse/subnet.
>konfigutrationstabben angiver mulighed for at videresende et portnummer/ny
>ipadresse til dmz-benet.
>
>vi taler eks. 5 servere, deraf de 3 med http på port 80. et par mail etc.
>
>hvordan er den man fortæller at hvis det er ipadresse x.y.z.5:80 der kaldes
>skal det på server i.j.k.100:80 og er dex x.y.x.12:80 der kaldes skal det på
>i.j.k.105:80 ???

med iptables er det DNAT du skal kigge på.

Kører du stadig 2.2, så prøv at lede efter et program der hedder
"redirect". Det har vi brugt med helt til at forwarde port 80 på en
firewall til en proxy-server (noget internet-cafe agtigt der skulle
ud på internettet via et lokalnet der absolut ikke skulle være adgang
til).

>eller er det her man skal bruge en 50.000+ cisco-fyr?

No way.

Mvh
Kent
--
War does not determine who is right, only who is left.

CykelSmeden fra Aalb~ (09-10-2001)
Kommentar
Fra : CykelSmeden fra Aalb~

Dato : 09-10-01 00:00
Tak, men jeg fik vist ikke udtrykt mig klart! - jeg bruger en lidt bredere
pensel:
Hvis man nu vil flytte 10 servere over på DMZ, nogle wwwservere med stdport
80 andre smtp med stdport 25, skal jeg så ikke have fortalt FW'en at dens
indgående netkort har 10 forskellige adresser, og at adresse1-port80 skal gå
til server a port 80 osv. Det er det jeg ikke har kunnet se muligheden i de
low-cost/ freeware FW's jeg har set!
Jeg kan kun som du siger 'forwarde port 80 til en '-
Eller har jeg bare ikke forstået et eller andet?

finn

"Kent Friis" <kfr@fleggaard.dk> skrev i en meddelelse
news:9pt2qq$c4$3@sunsite.dk...
> Den Mon, 8 Oct 2001 20:49:42 +0200 skrev CykelSmeden fra Aalborg:
> >Jeg har planer om at lægge nogle servere på et DMZ ben på en FW (pt.
> >smoothwall). Et eller andet er forbigået min forståelse:
> >
> >det røde ben (mod internettet) har [naturligvis ?] en ipadresse/subnet.
> >konfigutrationstabben angiver mulighed for at videresende et
portnummer/ny
> >ipadresse til dmz-benet.
> >
> >vi taler eks. 5 servere, deraf de 3 med http på port 80. et par mail etc.
> >
> >hvordan er den man fortæller at hvis det er ipadresse x.y.z.5:80 der
kaldes
> >skal det på server i.j.k.100:80 og er dex x.y.x.12:80 der kaldes skal det

> >i.j.k.105:80 ???
>
> med iptables er det DNAT du skal kigge på.
>
> Kører du stadig 2.2, så prøv at lede efter et program der hedder
> "redirect". Det har vi brugt med helt til at forwarde port 80 på en
> firewall til en proxy-server (noget internet-cafe agtigt der skulle
> ud på internettet via et lokalnet der absolut ikke skulle være adgang
> til).
>
> >eller er det her man skal bruge en 50.000+ cisco-fyr?
>
> No way.
>
> Mvh
> Kent
> --
> War does not determine who is right, only who is left.



Claus Alboege (09-10-2001)
Kommentar
Fra : Claus Alboege

Dato : 09-10-01 00:12
CykelSmeden fra Aalborg <skrald@acnord.SLET.dk> writes:

> Tak, men jeg fik vist ikke udtrykt mig klart! - jeg bruger en lidt
> bredere pensel: Hvis man nu vil flytte 10 servere over på DMZ, nogle
> wwwservere med stdport 80 andre smtp med stdport 25, skal jeg så ikke
> have fortalt FW'en at dens indgående netkort har 10 forskellige
> adresser, og at adresse1-port80 skal gå til server a port 80 osv. Det
> er det jeg ikke har kunnet se muligheden i de low-cost/ freeware FW's
> jeg har set! Jeg kan kun som du siger 'forwarde port 80 til en '-
> Eller har jeg bare ikke forstået et eller andet?

Det kan goeres ved at enable IP forwarding og proxyarp.

sysctl -w net.ipv4.ip_forward=1
sysctl -w net.ipv4.conf.all.proxy_arp=1

Tilfoeje hostroutes til maskinerne i DMZ, samt opsaette de noedvendige
input/forward regler i din firewall.

route add -host <DMZ_IP_1> dev <DMZ_IFACE>

--
Mvh Claus Albøge

"Don't summarize. Don't abbreviate. Don't interpret."
      -- D. J. Bernstein

Jannic S. Jensen (09-10-2001)
Kommentar
Fra : Jannic S. Jensen

Dato : 09-10-01 11:45
> Det kan goeres ved at enable IP forwarding og proxyarp.
>
> sysctl -w net.ipv4.ip_forward=1
> sysctl -w net.ipv4.conf.all.proxy_arp=1
>
> Tilfoeje hostroutes til maskinerne i DMZ, samt opsaette de noedvendige
> input/forward regler i din firewall.
>
> route add -host <DMZ_IP_1> dev <DMZ_IFACE>

Ville det samme kunne lade sig gøre med hostnavne. Dvs. En "ægte" ip-adresse ud
ad til og dernæst hostname på samme port der skal til DMZ;

Dvs.
web01.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.1 port 80
web02.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.2 port 80
web03.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.3 port 80

Mvh
/Jannic

Kent Friis (09-10-2001)
Kommentar
Fra : Kent Friis

Dato : 09-10-01 15:49
Den Tue, 09 Oct 2001 12:45:17 +0200 skrev Jannic S. Jensen:
>> Det kan goeres ved at enable IP forwarding og proxyarp.
>>
>> sysctl -w net.ipv4.ip_forward=1
>> sysctl -w net.ipv4.conf.all.proxy_arp=1
>>
>> Tilfoeje hostroutes til maskinerne i DMZ, samt opsaette de noedvendige
>> input/forward regler i din firewall.
>>
>> route add -host <DMZ_IP_1> dev <DMZ_IFACE>
>
>Ville det samme kunne lade sig gøre med hostnavne. Dvs. En "ægte" ip-adresse ud
>ad til og dernæst hostname på samme port der skal til DMZ;
>
>Dvs.
> web01.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.1 port 80
> web02.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.2 port 80
> web03.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.3 port 80

Ikke direkte. Så skal du have gang i noget proxy.

Mvh
Kent
--
War does not determine who is right, only who is left.

CykelSmeden fra Aalb~ (09-10-2001)
Kommentar
Fra : CykelSmeden fra Aalb~

Dato : 09-10-01 21:28
OUPS! jeg troede lige at det var det sysctl-kommandoerne gjorde! - jeg havde
endnu ikke forsøgt at forstå manpages om det. Men det er egentligt den
funktion jeg efterlyser, helst i smoothwall!

finn

"Kent Friis" <kfr@fleggaard.dk> skrev i en meddelelse
news:9pv2oh$pc9$3@sunsite.dk...
> Den Tue, 09 Oct 2001 12:45:17 +0200 skrev Jannic S. Jensen:
> >> Det kan goeres ved at enable IP forwarding og proxyarp.
> >>
> >> sysctl -w net.ipv4.ip_forward=1
> >> sysctl -w net.ipv4.conf.all.proxy_arp=1
> >>
> >> Tilfoeje hostroutes til maskinerne i DMZ, samt opsaette de noedvendige
> >> input/forward regler i din firewall.
> >>
> >> route add -host <DMZ_IP_1> dev <DMZ_IFACE>
> >
> >Ville det samme kunne lade sig gøre med hostnavne. Dvs. En "ægte"
ip-adresse ud
> >ad til og dernæst hostname på samme port der skal til DMZ;
> >
> >Dvs.
> > web01.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.1 port 80
> > web02.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.2 port 80
> > web03.domæne.dk (xxx.xxx.xxx.xxx) -> 192.168.2.3 port 80
>
> Ikke direkte. Så skal du have gang i noget proxy.
>
> Mvh
> Kent
> --
> War does not determine who is right, only who is left.



Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888
Månedens bedste
Årets bedste
Sidste års bedste
Copyright © 2000-2024 kandu.dk. Alle rettigheder forbeholdes.