[linux-l] SuSE-Firewall2, IP-Tables, Masquerading, wie geht es wie=?ISO-8859-1?B?ZGVyIHp1cvxjayBpbnMgTEFOPw=

[Elmer Stöwer]

> -----Original Message-----
> From: Peter Ross [mailto:Peter.Ross at alumni.tu-berlin.de]
> Sent: Monday, July 14, 2003 1:11 PM
> 
> Hi Schlomo,
> 
> On Mon, 14 Jul 2003, Schlomo Schapiro wrote:
> 
> > das Problem ist nicht, daß der firewall das ohne SNAT nicht 
> cached, sondern
> > daß der webserver die Pakete sonst versucht, an den browser 
> im LAN direkt
> > zurückzuschicken. Der erkennt sie aber nicht als Antwort auf seine
> > Requests, da sie ja nicht von der gleichen IP kommen, an 
> die der Request
> > ging. Das SNAT sorgt dafür, daß der webserver seine Antwort 
> auch an den
> > firewall zurückschickt und nicht an den browser direkt.
Genau. Nachdem ich in SuSEfirewall2-custom folgende Regeln
eingetragen habe funzt auch der Zugriff von intern via extern:
iptables -t nat -A PREROUTING  -s 'LanNetz-IP' -d 'externe IP FW' \
-j DNAT --to-destination 'LAN IP Webserver'
iptables -t nat -A POSTROUTING -s 'LanNetz-IP' -d 'LAN IP Webserver' \
-j SNAT --to-source 'LAN IP FW' -p tcp

Sorry, daß ich das erst so spät berichte, hatte zwischendrin noch mit
Hardwareproblemen zu kämpfen

> Entschuldigung, Du hast recht. Ich habe uebersehen, dass das 
> SNAT fuer den
> Fall, dass der Server im gleichen Subnetz wie der anfragende Browser
> steht, notwendig ist.
Nachteil ist natürlich, daß man bei internen Zugriffen nicht die IP im
Web-Log hat... Nobody ist perfect:). Die DNS-Lösung will ich halt nicht.

> Mittelfristig wuerde ich trotzdem raten, den Webserver in eine DMZ zu
> transportieren. Ein externer Webserver im Firmennetz ist schon eine
> Zeitbombe, besonders, wenn er nicht nur statisches HTML ausliefert.
> 
> Aber das wollte der Anfrager ja gar nicht wissen;-)
Genau. Hab das auch eher kurzfristig, als mittelfristig vor. Aber im
Moment muß es halt leider so sein.

Vielen Dank Michael, Schlomo und Peter für die sehr hilfreichen
Hinweise.

Gruß

Elmer