Public IPs und die DMZ

Hallo,

wir testen gerade die 2.3 als Alternative, mir persönlich sagt die eigentlich zu - nur irgendwie komme ich nicht weiter da ich nicht weiss, ob DNAT, SNAT oder Routed incoming traffic das Richtige ist...

Wir haben 1/8 Class-C-Netz, also 30 fixe Public IPs, eine hat die endian, in der Konfig habe ich das komplette Subnetz der roten Adresse zugeteilt (aa.bbb.ccc.0/27)
Orange/DMZ beherbergt die einzelnen Webserver. Bis auf ein bischen Portfiltern soll die efw auch (erstmal) nicht viel mehr machen.

Das Rote Netz würde ich gerne komplett auf das Orangene mappen.
Beispiel:

www>> aa.bbb.ccc.5 >> efw >> geht automatisch auf 192.162.3.5 (mein DMZ-Netz)
www>> aa.bbb.ccc.6 >> efw >> geht automatisch auf 192.162.3.6 (mein DMZ-Netz)
www>> aa.bbb.ccc.7 >> efw >> geht automatisch auf 192.162.3.7 (mein DMZ-Netz)
etc.

Was muss ich dafür einrichten? SNAT? DNAT...?
Gibt es eine generelle Lösung oder muss ich für jede IP in der DMZ eine Regel einrichten?

Habe aus meiner Sicht alle Möglichkeiten bereits ausprobiert, aber vielleicht verstehe ich dieses Quelle/Ziel/Map/Zone-Prinzip falsch.

Was ich bereits versucht habe:

(Jeweils immer die anderen FW-Regeln disabled)

Destination NAT:
Quelle: RED, Ziel: ORANGE, Allow, all/all, und dann alles unter "übersetze zu:" ausprobiert:
map network: 192.168.1.0/27
und ip-> NAT, Kein NAT..
kein connect auf einen DMZ-Rechner über rot

Nächster Versuch:
Quelle Nat
Quelle aa.bbb.ccc.0/27 (unsere Public IPs)
Ziel 192.168.1.0/27
Service/Port: all/TCP+UDP
NAT:
- NAT->Auto
- No Nat
- Map Network to: 192.168.1.0/27
egal was ausprobiert, kein erfolg

nächster versuch:
Incoming routed Traffic
Quelle: RED, Ziel ORANGE
Service/Port All/TCP+UDP
auch kein erfolg

Die (um Beispiele oder Musterkonfigs leider etwas dürftige) Doku habe ich gelesen, ich verstehe auch die Wörter, nur evtl. nicht was die meinen
kleiner Tipp irgendjemand?
dankedanke!
gruß
timo

Hallo Sabine,

Danke für die Antwort, das hatte ich auch schon versucht - ohne Erfolg, es gibt immer noch kein Connect von aussen auf Orange.

BTW: Wenn ich bei Destination NAT nur ROT als Quelle eingebe - woher soll die efw wissen, welche öffentliche IP jetzt auf welchen internen Server weitergeleitet wird? So könnte ich ja nur einen Rechner mit Port 80 einrichten... habe es mit der IP und mit dem subnetz der öffentlichen IPs versucht als Quelle - auch nüscht...

gruß
timo

Hallo Sabine,

ok, verstanden. Das würde bedeuten, dass ich nur eine Public IP nach "aussen" habe und alles über Portverbiegen hinbekomme.
www/80 ist ja nicht das Einzige, das ist erstmal natürlich das wichtigste aber das würde sonst ein endloses Durcheinander
bei den Port-Verschiebe-Orgien geben befürchte ich wenn da die anderen Dienste noch zu kommen (FTP, mail, ....und das ganze auf mehreren Kisten).
Es muss aber unter den jeweils verschiedenen Public-IPs ein anderer Server in der DMZ angesprochen werden.
Also die efw "nimmt" sich alle Public IPs auf ROT und setzt das intern auf ORANGE um.
So kenn ich das auch von der alten Astaro-Möhre die wir austauschen wollen/müssen.

Der Beschreibung nach verstehe ich das so, dass efw das auch kann: mappe ein Netz (in dem Fall meins mit den Public IPs)
von ROT auf mein Netz in ORANGE.

Nur wie?

So schwierig kann das ja eigentlich nicht sein, ich befürchte dass ich entweder verschiedene Regeln gleichzeitig geändert habe oder
es irgendwo nur ein "banaler" Denkfehler meineseits ist...

Bis jetzt hat es noch Spass gemacht, was neues zu lernen, langsam steigt kalte Verweiflung hoch

Danke erstmal für deine sofortige Antworten und Tipps, super Forum!

gruß
timo