Source Routing

W

Weihnachtsmann

Member
Hallo,

ich finde leider keine Lösung für folgendes Szenario

Internet
|
Firewall - DMZ
|
Lokales Netz


Die Firewall hat insgesamt 4 offizielle IPs und 1 Default Gateway.
Jedem Dienst (mail, proxy, dns, www) in der DMZ soll incoming und outgoing eine offizielle IP zugeordnet werden. Incoming ist das ja kein Problem aber wie kann ich machen, dass der Mailrelay z.b. auch mit der richtigen IP Adresse nach außen hinarbeitet und nicht immer die erste IP des externen Interfaces nutzt ?

Schon mal besten Dank für eure Antworten

Weihnachtsmann
 
vielleicht geht das?

Internet
|
|
filtering Bridge
|
|----------DMZ
|
|
NAT Router
|
|
lokales Netz

Die erste Firewall sitzt dann auf der Bridge und ist von aussen und innen unsichtbar.
Die zweite Firewall hast du vor deinen lokalen Netz.
Damit kannst du in deiner DMZ offizielle IP's verwenden und sitzt trotzdem hinter einem Paketfilter.
Du musst dann aber dem NAT-Router eine von deinen externen IP's abgeben.
 
@tops
Warum einfach, wenn es umständlich (mehr Hardware) auch geht?
 
ok neuer Versuch:

Code: 
     IP 1                         
      |                           |  
------------------------------------------------
|     |                           |             |
|    NAT                        BRIDGE          |
|     |     Firewall BOX          |             | 
-----------------------------------------------
      |                           |
 lokales Netz                    DMZ
                               |  |  |
                               IP 2-4
 
Zuletzt bearbeitet:
Die endgültige config sollte so aussehen

Code: 
        internet1                     internet2
               |                                  |
           bsd_ext1---------------bsd_ext2
               |                                  |
               -----------------------------
                   |            |              |
              server1  server2  server3
                   |            |              |
               -----------------------------
               |                                  |
         bsd_int1---------------- bsd_int2
               |                                  |
               -----------------------------
                                |
                             LAN

auf den servern soll ip forwarding disabled sein um keine direkte verbindung zu ermöglich, sodass alles über proxy dienste gehen muss.

*grml* das mit dem zeichen mag noch ned so ganz
 
Wie MrFixit schon die ganze Zeit versucht euch zu sagen, sollte das Ganze mit PF-Regeln realisierbar sein.
 
unlink schrieb:
Wie MrFixit schon die ganze Zeit versucht euch zu sagen, sollte das Ganze mit PF-Regeln realisierbar sein.
Zum Vergrößern anklicken....
Das Problem ist mit PF-Regeln wie z.B. PROXYARP zu lösen; siehe:
Jacek Artymiak "Building Firewalls with OpenBSD and PF"
ISBN: 83-916651-1-9
Seite 153
7.4 Proxy ARP

Es ist wieder die schon oft bemängelte Art: lies....
Wer sich bei BSDForen.de anmeldet nachdem er ein *BSD installiert hat wird auch wissen, daß es HOWTOs und FAQs gibt. Ob man damit immer sofort etwas anfangen kann ?
 
was ich oben vergesse habe ist, dass z.b. mailrelay und proxy auf einem server laufen aber nach außen hin unter unterschiedlichen ips laufen sollen. somit fällt das binat schon mal weg.
 
@MrFixit

Und DU liest zu viel Heise Forum. Ich dachte nur da find ich solche Deppen. Geh nach Hause spielen und heul dich bei deiner Mama aus.
 
Weihnachtsmann schrieb:
was ich oben vergesse habe ist, dass z.b. mailrelay und proxy auf einem server laufen aber nach außen hin unter unterschiedlichen ips laufen sollen. somit fällt das binat schon mal weg.
Zum Vergrößern anklicken....
Nein binat ist möglich, Du mußt nur Deinem Server eine zweite IP zuweisen. Dafür gibt es den Parameter alias für ifconfig.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben