[linux-l] SuSE-Firewall2, IP-Tables, Masquerading, wie geht es wie=?ISO-8859-1?B?ZGVyIHp1cvxjayBpbnMgTEFOPw=
Peter Ross
Peter.Ross at alumni.tu-berlin.de
Mo Jul 14 13:10:47 CEST 2003
Hi Schlomo,
On Mon, 14 Jul 2003, Schlomo Schapiro wrote:
> das Problem ist nicht, daß der firewall das ohne SNAT nicht cached, sondern
> daß der webserver die Pakete sonst versucht, an den browser im LAN direkt
> zurückzuschicken. Der erkennt sie aber nicht als Antwort auf seine
> Requests, da sie ja nicht von der gleichen IP kommen, an die der Request
> ging. Das SNAT sorgt dafür, daß der webserver seine Antwort auch an den
> firewall zurückschickt und nicht an den browser direkt.
Entschuldigung, Du hast recht. Ich habe uebersehen, dass das SNAT fuer den
Fall, dass der Server im gleichen Subnetz wie der anfragende Browser
steht, notwendig ist.
Mittelfristig wuerde ich trotzdem raten, den Webserver in eine DMZ zu
transportieren. Ein externer Webserver im Firmennetz ist schon eine
Zeitbombe, besonders, wenn er nicht nur statisches HTML ausliefert.
Aber das wollte der Anfrager ja gar nicht wissen;-)
Es gruesst
Peter
----------
Wenn Du nicht weisst, was Du tust, tu's mit Eleganz.
Mehr Informationen über die Mailingliste linux-l