[linux-l] SuSE-Firewall2, IP-Tables, Masquerading, wie geht es wie=?ISO-8859-1?B?ZGVyIHp1cvxjayBpbnMgTEFOPw=
Schlomo Schapiro
belug at schlomo.schapiro.org
Fr Jul 18 15:52:41 CEST 2003
Hello Elmer,
ja genau, und wenn die externe IP sich mal ändert, oder gar dynamisch ist,
dann musste das in die ip-up setzen (das PREROUTING) ...
Schlomo
Friday, July 18, 2003, 12:46:05 PM, you wrote:
>> -----Original Message-----
>> From: Peter Ross [mailto:Peter.Ross at alumni.tu-berlin.de]
>> Sent: Monday, July 14, 2003 1:11 PM
>>
>> Hi Schlomo,
>>
>> On Mon, 14 Jul 2003, Schlomo Schapiro wrote:
>>
>> > das Problem ist nicht, daß der firewall das ohne SNAT nicht
>> cached, sondern
>> > daß der webserver die Pakete sonst versucht, an den browser
>> im LAN direkt
>> > zurückzuschicken. Der erkennt sie aber nicht als Antwort auf seine
>> > Requests, da sie ja nicht von der gleichen IP kommen, an
>> die der Request
>> > ging. Das SNAT sorgt dafür, daß der webserver seine Antwort
>> auch an den
>> > firewall zurückschickt und nicht an den browser direkt.
> Genau. Nachdem ich in SuSEfirewall2-custom folgende Regeln
> eingetragen habe funzt auch der Zugriff von intern via extern:
> iptables -t nat -A PREROUTING -s 'LanNetz-IP' -d 'externe IP FW' \
> -j DNAT --to-destination 'LAN IP Webserver'
> iptables -t nat -A POSTROUTING -s 'LanNetz-IP' -d 'LAN IP Webserver' \
> -j SNAT --to-source 'LAN IP FW' -p tcp
> Sorry, daß ich das erst so spät berichte, hatte zwischendrin noch mit
> Hardwareproblemen zu kämpfen
>> Entschuldigung, Du hast recht. Ich habe uebersehen, dass das
>> SNAT fuer den
>> Fall, dass der Server im gleichen Subnetz wie der anfragende Browser
>> steht, notwendig ist.
> Nachteil ist natürlich, daß man bei internen Zugriffen nicht die IP im
> Web-Log hat... Nobody ist perfect:). Die DNS-Lösung will ich halt nicht.
>> Mittelfristig wuerde ich trotzdem raten, den Webserver in eine DMZ zu
>> transportieren. Ein externer Webserver im Firmennetz ist schon eine
>> Zeitbombe, besonders, wenn er nicht nur statisches HTML ausliefert.
>>
>> Aber das wollte der Anfrager ja gar nicht wissen;-)
> Genau. Hab das auch eher kurzfristig, als mittelfristig vor. Aber im
> Moment muß es halt leider so sein.
> Vielen Dank Michael, Schlomo und Peter für die sehr hilfreichen
> Hinweise.
> Gruß
> Elmer
> _______________________________________________
> linux-l mailing list
> linux-l at mlists.in-berlin.de
> https://mlists.in-berlin.de/mailman/listinfo/linux-l
--
Best regards,
Schlomo
Mehr Informationen über die Mailingliste linux-l