Server mit öffentlicher IP in DMZ ???

[Ice]

Hallo Leute,

ich habe hier aktuell ein LAN hinter einem OpenBSD-Gateway stehen. Nun soll ein Server mit einer eigenen öffentlichen IP in eine DMZ gestellt werden, der sowohl vom externen als auch internen Netz NUR per https erreichbar ist. Vorerst ist angedacht, das über eine weitere Netzwerkkarte im Gateway/Firewall zu erreichen. Ich denke mit der Firewallkonfiguration werde ich keine Probleme haben.
Ich bräuchte aber ein par Tips zum Routing:

- Soweit ich weiß, müsste ich ja nun auf dem externen Interface des Gateways einen ARP-Proxy einrichten, damit das Gateway Pakete, die für den DMZ-Server adressiert sind überhaupt annimmt. Aber wie läuft dann das Routing vom internen Interface auf den DMZ-Server?

- Oder ist es geschickter dem externen Interface die IP-Adresse des DMZ-Servers virtuell anzulegen und dann diesen Server darauf zu naten? Zusätzlich müsste ich dann wohl den https-Port auf den DMZ-Server forwarden, damit dieser von außern erreichbar ist.

Habt ihr vielleicht noch bessere Möglichkeiten oder Hinweise für mich, wie ich das am saubersten und zuverässigsten realisieren kann?

Thx,

Ice

 

[double-p]

Nein, beides "nix" ;-)

Durch die dritte NIC ist das DMZ Netz auch automatisch (als connected)
in der routing table. Kein NAT, kein proxyARP (ist eh evil :->), kein garnix.

Just do it. Und dann schoenes, normales Filtering im pf(4).

HTH,

 

[kith]

double-p
ich hab deinen post nicht so ganz verstanden... ich meine NAT brauchst du doch auf jedenfall, oder? also die dmz nic bekommt ja auch eine RFC1918 adresse, also kann sie ja gar nichts in die dmz routen was an eine offizielle ip adressiert ist? daher wuerde ich die zweite methode als die elegantere empfinden, bis auf das "extra forwarding" (einfach binat'ten).
also ich hab das so, dass ich auf der firewall saemtliche ip adressen konfiguriert habe, und die rechner in der dmz interne ips haben. falls sich da was aendert, brauch ich an der firewall nur bisserl am NAT rumschrauben. erspart mir dns-gewarte .

"proxy-arp" hoer ich immer nur in zusammenhang mit kaputten netzwerken

ps. ich glaube an NAT kommen wir erst mit ipv6 vorbei... oder ein atomkrieg schaltet das halbe internet aus .

 

[Ice]

Erstmal thx für die Anregungen bzw. Hilfestellungen!

Ich habe die ganze Sache jetzt nochmal ganz anders eingerichtet, nämlich mit 2 getrennten Firewall-Systemen:

Internet
FW1: extern Öffentliche IP -> intern 192.168.1.x
Ethernet-Switch -> DMZ
FW2: extern 192.168.x.x -> intern 10.1.1.x
LAN

Somit liegt meine DMZ im Subnetz 192.168.1.x und mein internes LAN im 10.1.1.x mit default gateway FW2
FW2 hat dann FW1 als default gateway
Auf FW1 festes Routing zum LAN über FW2 und NAT der 10.1.1.x Adressen auf die öffentliche IP
Außerdem auf FW1 eine virtuelle zweite öffentliche IP mit portforwarding https auf meinen DMZ-Server

Das scheint mir die sauberste Lösung zu sein!

Was meint ihr dazu?

Gruß,

Ice

 

[double-p]

kith: "ich" hab in DMZs normal keine RFC1918 adressen.

Allerdings dann auch "eine FW/3 NICs" und nicht so nen Konstrukt wie bei Ice.

Ice: jo, in der Art passt das

 

[Ice]

@double-p
Wie funktioniert das denn dann bei Dir, dass die äußere Firewall die Pakete für Deine Rechner in der DMZ annimmt und weiterleitet? Das check ich grad net so richtig....
Wäre cool, wenn Du mir das mal ein bischen erläutern könntest.
Thx,

Ice

 

[I.MC]

@Ice

Das hört sich fein an. Weiss aber gerade nicht aus dem Kopf, ob man in dem Paketfilter eigentlich sagen kann, ey wenn auf öffentlicher IP1 Port 80 was kommt, dann bitte dahin weiterrouten und wenn auf IP2 Port 80 was ankommt, dann bitte woanders hin routen.
Zumindest wenn du den IP Alias auf dieselber NIC legst fällt mir da keine Regel ein. Ich weiss bis jetzt nur, wie man das wohl für verschiedene devices macht. Also "wenn auf Karte A was kommt" und "wenn auf Karte B was kommt". Aber nach IPs umleiten, mmh...

Gruß, incmc

 

[Ice]

Ich hätte mir eine solche Regel ungefähr so vorgestellt:

rdr on $ext_if proto tcp from any to $virt_IP port 443 -> $DMZ-server port 443

Sollte doch eigentlich so funktionieren, oder?

 

[*Sheep]

Warum liest Du nicht einfach die Dokumentation der pf?

 

[Ice]

@Sheep

Sieht das so aus, als hätte ich die nicht gelesen? Warum soll ich nicht die Erfahrung der User hier nutzen? Dafür gibt es doch dieses Forum, oder? Sorry, wenn Du Dich durch meine Anfragen belästigt fühlst!