Firewall mit carp und ausgehende Verbindungen

crotchmaster

happy BSD user
Hallo,

ich habe folgendes Problem. Ich habe eine OpenBSD Firewall von 3.4 auf 3.5 gehoben. Nun möchte ich gerne die carp-Funktionalität nutzen.

Das funktioniert auch schon super. Ich habe nur ein Problem im Moment, zumindest hoffe ich, dass es nur für diesen Moment besteht und sich lösen lässt.

Ich greife auf einen externen Server, allerdings nicht mit der IP-Adresse des carp-Interfaces, sondern mit der IP-Adresse des echten, externes Interfaces.
Das wäre nicht so schlimm, wenn ich bzw. wir nicht auf Server zugreifen müssten, die eine Zugriffsbeschränkung über die IP-Adresse haben. :ugly:
Ungern möchte ich alle Kunden und Partner bitten, die IP-Adresse(n) zu ändern.

Meine Frage ist nun:

Kann man das irgendwie beheben, also z.b. die Ausgangs Ip-Adresse festlegen?

Ich bin für jeden Tipp dankbar.

Gruß crotchmaster
 
Welche Idioten machen eine Authetifizierung an ner IP fest? :rolleyes:

Ansonstein einfach dein Programm an das "echte" Interface binden. NAT waere auch ne Moeglichkeit.
 
MrFixit said:
Welche Idioten machen eine Authetifizierung an ner IP fest? :rolleyes:

Ansonstein einfach dein Programm an das "echte" Interface binden. NAT waere auch ne Moeglichkeit.

Hallo MrFixit,

der nat-Tipp war sehr hilfreich. Danke. Ich habe jetzt die nat-rule wie folgt umgeschrieben:

Code:
nat on $extIf inet from $intNet to any -> $extCarpIp
damit komme ich auf die Server.
Warum es aber funktioniert, ist mir nicht so ganz klar, wenn ich mir die Logfiles und die Ausgabe der phpinfo()-Seite auf unserem eigenen Server ansehe und die Verbindung mit tcpdump belausche. Da ist als Quell-IP immer noch die IP-Adresse des externen Interfaces und nicht des carp-Interfaces enthalten. Anyway, es funktioniert.

Das Ändern der IP-Adresse wollte ich ja gerade vermeiden.

Leute, die eine Zugriffsbeschränkung über IP-Adressen einrichten, würde ich nicht als Idioten bezeichnen.

Gruß c.
 
crotchmaster said:
Leute, die eine Zugriffsbeschränkung über IP-Adressen einrichten, würde ich nicht als Idioten bezeichnen.

Sondern? Mir wuerde noch 'unfaehig' einfallen. Da das aber kein Substantiv ist, bliebe nur die Moeglichkeit "unfaehige Idioten".
 
Back
Top