die einzelnen Services auf verschiedene NICs aufteilen

Q

quarzsnoopy

[Free|Net]BSD - User
Hallo Leute,

hier mal ein sehr interessantes Problem!
Im Rechner sind zwei NICs (Netzwerkkarten) drin, die beide einen vollwertigen Zugang zum wilden weiten Web haben.

Wie kann ich das jetzt machen, wenn über die eine Karte alles gehen soll, nur kein FTP und über die andere nur FTP gehen soll?

Kann man das mit Firewallregeln hin bekommen oder macht man das sinnvollerweise noch anders?

Danke, schonmal für Eure Mühe! :D
 
Wenn beide NICs jeweils eine oeffentliche IP haben, koenntest Du einfach den FTP Daemon, sofern dieser das kann, an eine IP binden. Die anderen Dienste werden dann an die andere IP gebunden.
Falls die NICs keine oeffentlichen IP Adressen haben, wirst Du wohl um eine Firewall nicht herumkommen.

HTH
 
xbit schrieb:
Wenn beide NICs jeweils eine oeffentliche IP haben, koenntest Du einfach den FTP Daemon, sofern dieser das kann, an eine IP binden. Die anderen Dienste werden dann an die andere IP gebunden.
Falls die NICs keine oeffentlichen IP Adressen haben, wirst Du wohl um eine Firewall nicht herumkommen.

HTH
Zum Vergrößern anklicken....
Danke für die Antwort!
Das ganze ist "Client-Seitig" gedacht, es wird also kein FTP-Daemon laufen. Es sollen die FTP-Verbindungen sämmtlicher Programme, die eine FTP-Verbindung raus ins Internet aufbauen wollen, über die eine "FTP-NIC" gehen.

Wie würde dann soeine Firewall-Rule auf Deinem Lieblings-OS aussehen?
 
Ah, das macht die Sache schon interessanter. ;)

Die Firewall Regel kann ich Dir leider momentan nicht geben, da ich gerade meinen Linux Server auf FreeBSD umstellen will, aber eben noch nicht in der Umstellung bin und deswegen die Regeln nicht zur Hand habe. Und Linux Regeln will ich lieber schnell vergessen, die sehen mir zu unverstaendlich aus.

Ich wuerde so auf die schnelle behaupten, dass ein 'redirect' der Firewall helfen sollte. ;)

Aus meiner Sicht kommste um die Firewall nicht drumrum, es sei denn, Du erstellst Dir eine entsprechende Routing Tabelle. Das ist aber eher gebastelt, als ne gute Loesung.

HTH
 
xbit schrieb:
Ah, das macht die Sache schon interessanter. ;)

Die Firewall Regel kann ich Dir leider momentan nicht geben, da ich gerade meinen Linux Server auf FreeBSD umstellen will, aber eben noch nicht in der Umstellung bin ...
Zum Vergrößern anklicken....
Ich bin auch (nach 5 Jahren FreeBSD) mitten im Umstieg von FreeBSD auf NetBSD...

xbit schrieb:
... und deswegen die Regeln nicht zur Hand habe. Und Linux Regeln will ich lieber schnell vergessen, die sehen mir zu unverstaendlich aus.

Ich wuerde so auf die schnelle behaupten, dass ein 'redirect' der Firewall helfen sollte. ;)

Aus meiner Sicht kommste um die Firewall nicht drumrum, es sei denn, Du erstellst Dir eine entsprechende Routing Tabelle. Das ist aber eher gebastelt, als ne gute Loesung.

HTH
Zum Vergrößern anklicken....
Ja, gebastel wollen wir nicht... :D

Aber mal ne Fragen nebenbei => als Work-Around
Kennst Du einen FTP-Client, der gezielt über eine bestimmte NIC raus gehen kann?
 
quarzsnoopy schrieb:
Ich bin auch (nach 5 Jahren FreeBSD) mitten im Umstieg von FreeBSD auf NetBSD...
Zum Vergrößern anklicken....

Ich wollte damit ja auch nur erklaeren, warum ich Dir keine Firewall Config hinschreiben kann. ;)

quarzsnoopy schrieb:
Aber mal ne Fragen nebenbei => als Work-Around
Kennst Du einen FTP-Client, der gezielt über eine bestimmte NIC raus gehen kann?
Zum Vergrößern anklicken....

Nein, ich kenn leider keinen Client oder Proxy Server, der das kann.
 
xbit schrieb:
Ich wollte damit ja auch nur erklaeren, warum ich Dir keine Firewall Config hinschreiben kann. ;)

Nein, ich kenn leider keinen Client oder Proxy Server, der das kann.
Zum Vergrößern anklicken....
... schade ;'(


Kann vielleicht jemand anderer Helfen? Ich brauch nur einen Anstoss, keine fix-und-fertigen Geschichten.
 
Ideal wäre es ja, wenn man eine Route in Abhängigkeit von Ports erstellen könnte.... aber davon hab ich auch noch nix gehört.
 
Soweit ich weiss gibts nur source-based Routing, da werden allerdings die Quelladressen der IP Pakete genommen. Das duerfte Dir nicht weiterhelfen.

Aber laesst sich das nicht so machen? (Copy-and-Paste aus der FAQ)

Code: 
rdr on tl0 proto tcp from any to any port 21 -> 192.168.1.20

Wobei tl0 und 192.168.1.20 anzupassen sind. ;)

HTH
 
xbit schrieb:
Soweit ich weiss gibts nur source-based Routing, da werden allerdings die Quelladressen der IP Pakete genommen. Das duerfte Dir nicht weiterhelfen.

Aber laesst sich das nicht so machen? (Copy-and-Paste aus der FAQ)

Code: 
rdr on tl0 proto tcp from any to any port 21 -> 192.168.1.20

Wobei tl0 und 192.168.1.20 anzupassen sind. ;)

HTH
Zum Vergrößern anklicken....
Ja, das hört sich schon mal nicht schlecht an! :D

Wenn man (in diesem Fall) die default-route über "tl0" schickt und al stelle von "192.168.1.20" den Ziel-FTP-Server angibt. Leider soll das aber nicht immer nur ein und der selbe Server sein! Sondern ein beliebiger im wilden weiten Internet....

Man müsste an Stelle von "192.168.1.20" die zweite Netzwerkkarte als Weg angeben können, da wird aber ein Ziel angegeben....

Ich glaube so ganz ist das leider auch noch nicht die Lösung.... ;'(

Aber trotzdem Danke für Deinen Tipp! :D
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben