Ice
Well-Known Member
Hallo Leute,
ich habe hier aktuell ein LAN hinter einem OpenBSD-Gateway stehen. Nun soll ein Server mit einer eigenen öffentlichen IP in eine DMZ gestellt werden, der sowohl vom externen als auch internen Netz NUR per https erreichbar ist. Vorerst ist angedacht, das über eine weitere Netzwerkkarte im Gateway/Firewall zu erreichen. Ich denke mit der Firewallkonfiguration werde ich keine Probleme haben.
Ich bräuchte aber ein par Tips zum Routing:
- Soweit ich weiß, müsste ich ja nun auf dem externen Interface des Gateways einen ARP-Proxy einrichten, damit das Gateway Pakete, die für den DMZ-Server adressiert sind überhaupt annimmt. Aber wie läuft dann das Routing vom internen Interface auf den DMZ-Server?
- Oder ist es geschickter dem externen Interface die IP-Adresse des DMZ-Servers virtuell anzulegen und dann diesen Server darauf zu naten? Zusätzlich müsste ich dann wohl den https-Port auf den DMZ-Server forwarden, damit dieser von außern erreichbar ist.
Habt ihr vielleicht noch bessere Möglichkeiten oder Hinweise für mich, wie ich das am saubersten und zuverässigsten realisieren kann?
Thx,
Ice
ich habe hier aktuell ein LAN hinter einem OpenBSD-Gateway stehen. Nun soll ein Server mit einer eigenen öffentlichen IP in eine DMZ gestellt werden, der sowohl vom externen als auch internen Netz NUR per https erreichbar ist. Vorerst ist angedacht, das über eine weitere Netzwerkkarte im Gateway/Firewall zu erreichen. Ich denke mit der Firewallkonfiguration werde ich keine Probleme haben.
Ich bräuchte aber ein par Tips zum Routing:
- Soweit ich weiß, müsste ich ja nun auf dem externen Interface des Gateways einen ARP-Proxy einrichten, damit das Gateway Pakete, die für den DMZ-Server adressiert sind überhaupt annimmt. Aber wie läuft dann das Routing vom internen Interface auf den DMZ-Server?
- Oder ist es geschickter dem externen Interface die IP-Adresse des DMZ-Servers virtuell anzulegen und dann diesen Server darauf zu naten? Zusätzlich müsste ich dann wohl den https-Port auf den DMZ-Server forwarden, damit dieser von außern erreichbar ist.
Habt ihr vielleicht noch bessere Möglichkeiten oder Hinweise für mich, wie ich das am saubersten und zuverässigsten realisieren kann?
Thx,
Ice