Beiträge von tarzun

So, glaubts oder nicht: Es geht jetzt. Mit 2.3rc1. Ich habe die in meinem Frust erneut installiert, das Backup Backup sein lassen und alles neu konfiguriert, Buff, alles geht. Und unter Firewall -> Portforwarding findet sich jetzt ein Reiter "Incoming routed traffic" der *genau* *das* macht was ich will: Freigabe von gesamten Diensten/Dienstgruppen von ROT eingehend an ORANGE etc...

Es geht nicht anders, wenn man ein Feld-Wald-und-Wiesen-DSL-Anschluß mit einer einzigen (ggf. noch dynamischen) öffentlichen IP hat. *Dann* funktioniert es *nur* so wie von Sabine und Wolfi beschrieben.

Es geht anders wenn man einen "richtigen" Internetanschluß hat und mehrere/genügend öffentliche IPs/Netze besitzt. In meinem Fall gibt es ein kleines /29 für die Firewall selber, ein /27 für die DMZ und das private /24 fürs Intranet.

*Dann* funktioniert die Erreichbarkeit der DMZ-Server automatisch (korrekte verkabelung vorausgesetzt) und ohne magische/spezielle Switches. Die Firewall zwischen Internet und DMZ kann dann dafür sorgen, das nur bestimmte Dienste/Ports in der DMZ erreichbar sind, muss es aber gar nicht.

Zitat von "Sabine"

Wenn du soviel Ahnung hast warum fragst du uns dann ? ?

Weil ich zwar in gewissen Bereichen "Ahnung" zu haben scheine, aber mich mit der konkreten Bedienung/Konfiguration der efw (die ich grds. sehr interessant und nützlich finde) noch nicht auskenne? Wenn Du weißt wie man ne Brücke baut machst Du trotzdem erst Fahrschule bevor Du mitm Auto da drüber bretterst .-)

Zitat von "Sabine"

Der Webserver hat keine Öffentliche IP !! Die hat die Roteschnittstelle und die efw reicht sie an den Webserver weiter.

Würdest Du 217.69.240.1xx nicht als öffentliche IP bezeichnen? Ich weiß ja nicht, wo Ihr so die efw einsetzt, aber es gibt da draußen noch paar mehr Szenarien als die drei Heimrechner, den WLAN-AP und das portforwarding für den Bittorent- und eDonkey-Client nach innen am 1&1 DSL 16.000...

Im konkreten Beispiel hat die Firewall die IP 217.69.228.xx (in einem /29), die DMZ befindet sich in 217.69.240.1xx/27, Grün hat 192.168.100.0/24 (und da gibts auch noch ein http://80.64.xx.xx/27-Netz was auch über die FW geroutet wird, aber das können wir ausklammern).

Und wie erlaube mit efw 2.2 nun Port 80 zielrechnerunabhängig in die DMZ? Mir würde ja auch genügen, wenn es heißt "Geht nicht", ich würds locker sehen Nur Bescheid zu wissen, wäre schon knorke.

Zitat von "wolfili"

Und wenn nun von außen jemand auf port 80 zugreifen will, dann schickt endian dieses in die DMZ Zone....

Richtiiiich.

Zitat von "wolfili"

Aber wer soll darauf antworten? Die Anfrage ist zwar in in der DMZ aber keiner kann Sie beantworten weils an niemanden geht.

Wie wäre es mit dem Webserver? Der hat eine öffentliche IP-Adresse. Und wenn Endian die Pakete in das DMZ-Netz durchlässt, dann schnappt der sich das schon. Kannste glauben. Der Switch, an dem die Kiste hängt sagt nämlich "Hey, wer hat IP 123" und der Webserver dann "Ich, her damit".

Zitat von "wolfili"

Verstehs ned falsch aber ich verstehs ned ist ja wie als wen du ne Telefonleitung von vor dein Haus legst und durch die Tür(Firewall) ins Haus in den Keller(DMZ) legst ... wo 5 Telefone stehen aber das Kabel liegt nur im Raum und ist an nix verbunden/angeschlossen.

Dieser Vergleich hinkt nicht nur, nein auch sein Rollstuhl ist verrostet und hat nur noch ein Rad.

Drei Schritte von mir steht ne Uralt-Kiste unter Trustix 3.irgendwas. Da läuft eine selbstgestrickte iptables-Firewall. Und da gibts eine iptables-Regel, die zielunabhängig Port 80 in das DMZ-Netz rein (von außen) freigibt. Und Du willst mir jetzt sagen, das endian in einer Version von Mitte 2009 nicht das können soll, was ein fünf Jahre alter Rechner genauso lange schon kann und macht?

/sbin/iptables -A fwinedmz -m state --state NEW -p TCP --dport www -j ACCEPT

Das ist alles [1]. Und das reicht/funktioniert, weil es bei der DMZ keine "natürliche Grenze" gibt an der die Pakete abprallen (wie bei ROT -> Grün von öffentlichen zu privaten IPs), sondern die Pakete ohne Paketfilter die DMZ-Rechner einfach so erreichen, da ROT und ORANGE in jeweils öffentlichen IP-Ranges liegen. Man braucht also bei ROT -> ORANGE *keine* Port*weiterleitung* sondern eine Port*freigabe*. Selbst IPcop, auf dem Endian AFAIK basiert, kann das.

[1] OK, man muss irgendwo noch die Chain fwinedmz definieren...

Mir ist schon klar, wozu eine DMZ gut ist. Genau *deswegen* verstehe ich ja nicht, warum man ROT -> ORANGE nicht unter Interzonen-Dings einordnet. Egal, ich hab die Doku gewälzt. Das wird also tatsächlich unter Portforwarding zusammengefasst, egal ob nach ORANGE oder GRÜN. So weit so schlecht. Und was mach ich mit mehr als 2 Rechnern, die auf demselben Port erreichbar sein sollen? Zwei Regeln? Bei Zwei Webservern (hier vorhanden) kann man ja noch zwei Regeln einbauen. Aber bei 50 Rechnern?

Ich geh jetzt meinen Kollegen würgen, der das Ding angeschleppt hat...

Warum steht sowas nicht unter "Interzonen"-Dings? ORANGE ist rein netztechnisch direkt von ROT erreichbar (wenn ich nicht alles bewußt blockiere). Ich brauch da also kein Portforwarding, sondern nur die Freigabe/Blockade von Ports.

Oder anders: Wegen NAT sind Rechner im internen, GRÜNEN Netz direkt von außen nicht erreichbar. *Deswegen* braucht man *da* das Portforwarding, was einzelne Ports zu einzelnen(!!!!) Rechnern im GRÜNEN Netz durchleitet. Ich kann auch immer nur jeweils *genau* ein Port/Zielrechner-Paar verwalten. Ich kann (mit Portforwarding) nicht sagen: "Gib Port 80 eingehend frei, egal wo das hingeht". Wenn man z.B., so wie hier, drei (oder dreissig oder dreihundert) Webserver in der DMZ stehen hat braucht man das.

Für die drei Webserver brauch ich aber das: Erlaube in die DMZ (Netz 123.456.789.0/27) eingehend Port 80, egal zu welchem Rechner die Verbindung aufgebaut wird. Das hat mit Portforwarding genau *gar nichts* zu tun. Portforwarding ist nur ein Trick um über den Router/die FW das NAT auszutricksen und (einzelne) Verbindungen von ROT nach GRÜN zu erlauben.

Warum geht GRÜN -> ORANGE, ORANGE -> BLAU, aber nicht ROT -> irgendwas?

Aua. Aua aua aua aua. Wer ist denn auf die geniale Idee gekommen, sowas unter Portforwarding einzunorden? Diese Schmerzen... Naja, danke für die Hilfe, dann klick ich jetzt alle DMZ Ports da rein. Diese Schmerzen.

Nein. Ich meine von ROT nach ORANGE.

Die DMZ ist *nicht* intern. Ich präzisiere mich: In der Zone ORANGE steht ein Rechner, welcher per Port 80 erreichbar sein soll. Wie erlaube ich, das Verbindungen zu Port 80 in die Zone ORANGE erlaubt werden?

OK. Wo genau erlaube ich folgendes: Zugriffe auf die DMZ-IP 123.456.789.1 und dort auf Port 80 sollen erlaubt sein. Das läuft doch nicht wirklich unter Portforwarding?

Sollte keine Kritik an 2.3rc1 sein. "Dienste freigeben" meint ganz einfach, das ein beliebiger Rechner in der DMZ auf Port 80 erreichbar ist. "Portforwarding" nutze ich, wenn ich von ganz außen zum (technisch dank NAT sonst nicht erreichbarem) ganz drinnen will (bspw. Weiterleitung zum HTTP-Port des Exchange-Servers).

In meinem Fall ist der Webserver aber technisch ja prinzipiell erreichbar, ich möchte halt aber, das in die DMZ rein nur die notwendig(s)ten Ports erlaubt und der Rest verboten sind. Also "ganz normal" halt

Also, der Install von 2.2 hat erstmal "geholfen" (für geringe Werte von Hilfe, denn ein Proboem mit Version X dadurch zu lösen einfach die ältere Version Y zu nehmen, naja...).

Neue Frage: Wo erlaube/verbiete ich in 2.2 Dienste der DMZ (ORANGE)? Link zu FAQ genügt oder so. Das ist doch nicht ernsthaft unter "Portforwarding"?

Liebe Sabine, selbstverständlich soll die efw nicht als Router "versauern". Aber alle schönen Funktionen nützen nix, wenn meine Kunden/Mitarbeiter keine bunten Bildchen im www aufrufen können

Ne, das Connection refused kommt vom Browser und dürfte "uninteressant" sein. Naja, nicht komplett uninteressant, im Chrome sagt er "Connection refused" in den Fehlerdetails und im IE sieht es ähnlich aus: Kann es sein, das der/ein Proxy-Dienst im Geheimen läuft?

Geht ein Downgrade auf die 2.2?

Nein, die ausgehende Firewall ist sogar komplett aus. Und als sie an war, war von GRÜN nach ROT alles komplett erlaubt.

Proxy is auf der efw aus und im Browser ist keiner eingetragen.

Ich als absoluter efw-Neuling stehe vor folgendem Phänomen: Eine 2.3rc1 wurde installiert, konfiguriert und soweit alles schick. ROT, ORANGE und GRÜN gibt es, alle Komponenten snid vorerst deaktiviert, damit das Teil als allerestes als popeliger Router agiert. Problem: Die Kiste funktioniert, ping geht, DNS-Auflösung geht, telnet zu Port 25 eines Mailservers geht.

Was nicht geht: HTTP. Da kommt im Browser "Connection refused", was alles mögliche bedeuten kann. HTTPS wiederum funktioniert. An welcher Ecke habe ich einen Haken oder eine Einstellung übersehen?