komm mit der "orangen" nicht so ganz zurecht

Berny

Frisch registriert
hallo leute,

leider werden die angriffe aus dem internet nicht weniger :( deshalb wirds zeit sich mit dem thema firewall auseinander zu setzten.

die installation der smoothwall war ja nicht weiter schwehr. wir verfügen über eine standleitungsanbindung und deshalb hab ich einfach 3 nics in die kiste reingesteckt. ich hab von unserem provider auch prompt eine splittung der ip adressen gekriegt und verfüge jetzt über 2 subnetze mit offiziellen ip adressen. eines lass ich ungeschützt direkt hinterm router (rot) und das zweite verwende ich für die dmz (orange). die früne hängt natürlich im internen lan mit ner internen ip.
zur zeit stehen meine web, ftp und mail server noch hinter dem router im ungeschützten netz. ich hab jetzt versucht einen webserver in der dmz zur verfügung zu stellen - irgendwie funzt das aber net so wie ich mir das vorstelle.
ich hab die portweiterleitung für port 80 eingetragen und auf die ip des in der dmz befindlichen web servers eingetragen. so weit so gut. das geht ja noch. aber was mach ich jetzt mit den anderen webservern die in der dmz stehen ?

kanns sein daß ich von dem teil etwas verlange was es nicht kann ?

vielen dank schon mal für eure hilfe

bernhard
 
Hi,

irgendwie verstehe ich was nicht. Also, Deine Firewall hat 3 Netzwerkkarten - grün geht ins Lan, rot zum Router und orange zur DMZ. Deine Server sollen alle in die DMZ, der Webserver steht schon drin und geht. Nun sollen die anderen Server auch noch rein.

Der Mailserver hat z.B. die IP 192.168.0.2, dann sieht die Sache so aus:

Source port = 25
Destination IP = 192.168.0.2
Destination port = 25
Enabled = "Checked"

Source port = 110
Destination IP = 192.168.0.2
Destination port = 110
Enabled = "Checked"

War es das was Du wissen wolltest oder wie oder was :eek:

Gruß Freeman
 
das mit dem mailserver is mir eigentlich klar. was mich interessieren würde wäre:
wie krieg ich nen zweiten und dritten webserver in die dmz - mein prob is daß ich ja nur 1 port 80 an der roten karte habe.
 
Hi,

Du schreibst, es existiert eine IP-Adresse für die DMZ. Werden die weiteren Webserver über die gleiche IP angesteuert? Eigentlich ist es doch so, dass für jeden Webserver eine IP Adresse exisitiert. Ich weiß zwar, dass man auch nach Domainnamen im Webserver weiterleiten kann, dies würde jedoch auch wiederum bedeuten, dass der erste Webserver der Kommunikationspartner ist.

Teil mir doch bitte Deine Konfiguration bzw. Deinen Zielwunsch mit, dann kann ich evtl. mehr dazu beisteuern :p
 
thx für die mühe freeman

ich hab 2 offizielle subnetze. eines davon (194.177.155.160 255.255.255.240) verwende ich für das 'exteren' netzt (rot)

das zweite (194.177.155.177 255.255.255.240) sollte die DMZ (orang) werden.

für die grüne verwende ich ein internes subnetz (192.168.x.x)

194.177.155.171 bis 174 sind zur zeit web server adressen (alle auf einer Maschine) - ich hab auf einem anderen pc einen webserver installiert um das ganze mal auszutesten - 194.177.155.186 hostet eine alte hp. die kann ich ja auch prima über die adresse der firewall (194.177.155.166 - port 80) erreichen.

das ganze über den host header name zu lösen wäre zwar möglich - aber nachdem wir hier auch webpages entwickeln und es einfach leichter ist eine in entwicklung befindlichen hp einfach nur ne ip adresse zu verpassen wollt ich das nach möglichkeit vermeiden. wenns keine andere lösung gibt dann muß ich mir halt mit einem internen dns server oder sogar host files behelfen.
 
Hi,

so, jetzt wird die Sache klarer :D

Also, ich will es nicht verschreien, aber dies funktioniert mit Smoothwall meines Wissens nach nicht. Das Problem ist einfach so, dass Smoothwall leider keine Filterung der IP Adresse vornimmt, evtl. so:

Ankommend Port 80 für IP 192.168.0.1 = Weiterleitung an Port 80 und IP 192.168.1.50
Ankommend Port 80 für IP 192.168.0.2 = Weiterleitung an Port 80 und IP 192.168.1.51

Jedoch handelt es sich dabei sicherlich nur um eine Beschränkung der Oberfläche von Smoothwall. Auf alle Fälle gibt es diese Lösungen, da Provider ja im Prinzip vor dem gleichen Problem stehen. Die müssten dann vor jedem Webserver eine Firwall schalten, was gewiss keiner macht. Evtl. kann die Commercial-Version von Smoothwall dies bzw. eine andere Firwall wie die von Mandrake oder Suse. Vielleicht weiß Heiko hier noch mehr.
 
Zurück
Oben