HTTP als einziges geht nicht?

Nein. Ich meine von ROT nach ORANGE.

Aua. Aua aua aua aua. Wer ist denn auf die geniale Idee gekommen, sowas unter Portforwarding einzunorden? Diese Schmerzen... Naja, danke für die Hilfe, dann klick ich jetzt alle DMZ Ports da rein. Diese Schmerzen.

Warum steht sowas nicht unter "Interzonen"-Dings? ORANGE ist rein netztechnisch direkt von ROT erreichbar (wenn ich nicht alles bewußt blockiere). Ich brauch da also kein Portforwarding, sondern nur die Freigabe/Blockade von Ports.

Oder anders: Wegen NAT sind Rechner im internen, GRÜNEN Netz direkt von außen nicht erreichbar. *Deswegen* braucht man *da* das Portforwarding, was einzelne Ports zu einzelnen(!!!!) Rechnern im GRÜNEN Netz durchleitet. Ich kann auch immer nur jeweils *genau* ein Port/Zielrechner-Paar verwalten. Ich kann (mit Portforwarding) nicht sagen: "Gib Port 80 eingehend frei, egal wo das hingeht". Wenn man z.B., so wie hier, drei (oder dreissig oder dreihundert) Webserver in der DMZ stehen hat braucht man das.

Für die drei Webserver brauch ich aber das: Erlaube in die DMZ (Netz 123.456.789.0/27) eingehend Port 80, egal zu welchem Rechner die Verbindung aufgebaut wird. Das hat mit Portforwarding genau *gar nichts* zu tun. Portforwarding ist nur ein Trick um über den Router/die FW das NAT auszutricksen und (einzelne) Verbindungen von ROT nach GRÜN zu erlauben.

Warum geht GRÜN -> ORANGE, ORANGE -> BLAU, aber nicht ROT -> irgendwas?

Mir ist schon klar, wozu eine DMZ gut ist. Genau *deswegen* verstehe ich ja nicht, warum man ROT -> ORANGE nicht unter Interzonen-Dings einordnet. Egal, ich hab die Doku gewälzt. Das wird also tatsächlich unter Portforwarding zusammengefasst, egal ob nach ORANGE oder GRÜN. So weit so schlecht. Und was mach ich mit mehr als 2 Rechnern, die auf demselben Port erreichbar sein sollen? Zwei Regeln? Bei Zwei Webservern (hier vorhanden) kann man ja noch zwei Regeln einbauen. Aber bei 50 Rechnern?

Ich geh jetzt meinen Kollegen würgen, der das Ding angeschleppt hat...

Drei Schritte von mir steht ne Uralt-Kiste unter Trustix 3.irgendwas. Da läuft eine selbstgestrickte iptables-Firewall. Und da gibts eine iptables-Regel, die zielunabhängig Port 80 in das DMZ-Netz rein (von außen) freigibt. Und Du willst mir jetzt sagen, das endian in einer Version von Mitte 2009 nicht das können soll, was ein fünf Jahre alter Rechner genauso lange schon kann und macht?

/sbin/iptables -A fwinedmz -m state --state NEW -p TCP --dport www -j ACCEPT

Das ist alles [1]. Und das reicht/funktioniert, weil es bei der DMZ keine "natürliche Grenze" gibt an der die Pakete abprallen (wie bei ROT -> Grün von öffentlichen zu privaten IPs), sondern die Pakete ohne Paketfilter die DMZ-Rechner einfach so erreichen, da ROT und ORANGE in jeweils öffentlichen IP-Ranges liegen. Man braucht also bei ROT -> ORANGE *keine* Port*weiterleitung* sondern eine Port*freigabe*. Selbst IPcop, auf dem Endian AFAIK basiert, kann das.

[1] OK, man muss irgendwo noch die Chain fwinedmz definieren...

Zitat von "wolfili"

Und wenn nun von außen jemand auf port 80 zugreifen will, dann schickt endian dieses in die DMZ Zone....

Richtiiiich.

Zitat von "wolfili"

Aber wer soll darauf antworten? Die Anfrage ist zwar in in der DMZ aber keiner kann Sie beantworten weils an niemanden geht.

Wie wäre es mit dem Webserver? Der hat eine öffentliche IP-Adresse. Und wenn Endian die Pakete in das DMZ-Netz durchlässt, dann schnappt der sich das schon. Kannste glauben. Der Switch, an dem die Kiste hängt sagt nämlich "Hey, wer hat IP 123" und der Webserver dann "Ich, her damit".

Zitat von "wolfili"

Verstehs ned falsch aber ich verstehs ned ist ja wie als wen du ne Telefonleitung von vor dein Haus legst und durch die Tür(Firewall) ins Haus in den Keller(DMZ) legst ... wo 5 Telefone stehen aber das Kabel liegt nur im Raum und ist an nix verbunden/angeschlossen.

Dieser Vergleich hinkt nicht nur, nein auch sein Rollstuhl ist verrostet und hat nur noch ein Rad.

Zitat von "Sabine"

Wenn du soviel Ahnung hast warum fragst du uns dann ? ?

Weil ich zwar in gewissen Bereichen "Ahnung" zu haben scheine, aber mich mit der konkreten Bedienung/Konfiguration der efw (die ich grds. sehr interessant und nützlich finde) noch nicht auskenne? Wenn Du weißt wie man ne Brücke baut machst Du trotzdem erst Fahrschule bevor Du mitm Auto da drüber bretterst .-)

Zitat von "Sabine"

Der Webserver hat keine Öffentliche IP !! Die hat die Roteschnittstelle und die efw reicht sie an den Webserver weiter.

Würdest Du 217.69.240.1xx nicht als öffentliche IP bezeichnen? Ich weiß ja nicht, wo Ihr so die efw einsetzt, aber es gibt da draußen noch paar mehr Szenarien als die drei Heimrechner, den WLAN-AP und das portforwarding für den Bittorent- und eDonkey-Client nach innen am 1&1 DSL 16.000...

Im konkreten Beispiel hat die Firewall die IP 217.69.228.xx (in einem /29), die DMZ befindet sich in 217.69.240.1xx/27, Grün hat 192.168.100.0/24 (und da gibts auch noch ein http://80.64.xx.xx/27-Netz was auch über die FW geroutet wird, aber das können wir ausklammern).

Und wie erlaube mit efw 2.2 nun Port 80 zielrechnerunabhängig in die DMZ? Mir würde ja auch genügen, wenn es heißt "Geht nicht", ich würds locker sehen Nur Bescheid zu wissen, wäre schon knorke.

Es geht nicht anders, wenn man ein Feld-Wald-und-Wiesen-DSL-Anschluß mit einer einzigen (ggf. noch dynamischen) öffentlichen IP hat. *Dann* funktioniert es *nur* so wie von Sabine und Wolfi beschrieben.

Es geht anders wenn man einen "richtigen" Internetanschluß hat und mehrere/genügend öffentliche IPs/Netze besitzt. In meinem Fall gibt es ein kleines /29 für die Firewall selber, ein /27 für die DMZ und das private /24 fürs Intranet.

*Dann* funktioniert die Erreichbarkeit der DMZ-Server automatisch (korrekte verkabelung vorausgesetzt) und ohne magische/spezielle Switches. Die Firewall zwischen Internet und DMZ kann dann dafür sorgen, das nur bestimmte Dienste/Ports in der DMZ erreichbar sind, muss es aber gar nicht.

So, glaubts oder nicht: Es geht jetzt. Mit 2.3rc1. Ich habe die in meinem Frust erneut installiert, das Backup Backup sein lassen und alles neu konfiguriert, Buff, alles geht. Und unter Firewall -> Portforwarding findet sich jetzt ein Reiter "Incoming routed traffic" der *genau* *das* macht was ich will: Freigabe von gesamten Diensten/Dienstgruppen von ROT eingehend an ORANGE etc...