Hallo NG,
wie wird ein Subnetz (z.B. /29) am externen Interface richtig angebunden ?
Wie werden dann die Regelsätze für die zu veröffentlichen Server gebaut, die auf bestimmte IPs des Subnetzes hören müssen ?
Hier entweder direkt per Portforwarding und/oder per Reverse-Proxy möglich ?
Habe hierzu noch kein erklärendes How to Do gefunden.....
[Gelöst] Öffentliches IP-Subnetz
Moderator: Securepoint
-
- Beiträge: 25
- Registriert: Di 12.08.2014, 20:41
[Gelöst] Öffentliches IP-Subnetz
MfG
Andreas Altermann
Andreas Altermann
Hallo,
als erstes legen Sie alle IPs auf die Schnittstelle (zb eth0):
x.x.x.2/29
x.x.x.3/29
x.x.x.4/29
Anschließend müssen Sie für jede externe IP ein Firewall Netzwerk Objekt unter Portfilter => Netzwerkobjekte anlegen:
Name:Firewall_IP_1
Typ: statische Schnittstelle
IP: x.x.x.1/29
Gruppe: (leerlassen)
(das für alle IP Adressen wiederholen)
Die Regel für die Portweiterleitung würde so aussehen:
Quelle: Internet
Ziel: <Zielserver>
Dienst: <Zieldoenst>
NAT: DESTNAT
NAT Objekt: <Firewall_IP_X>
Im NAT Objekt wählen Sie dann das Netzerkobjekt über welche externe IP der Server angesprochen werden soll
Gruß
Kenneth
als erstes legen Sie alle IPs auf die Schnittstelle (zb eth0):
x.x.x.2/29
x.x.x.3/29
x.x.x.4/29
Anschließend müssen Sie für jede externe IP ein Firewall Netzwerk Objekt unter Portfilter => Netzwerkobjekte anlegen:
Name:Firewall_IP_1
Typ: statische Schnittstelle
IP: x.x.x.1/29
Gruppe: (leerlassen)
(das für alle IP Adressen wiederholen)
Die Regel für die Portweiterleitung würde so aussehen:
Quelle: Internet
Ziel: <Zielserver>
Dienst: <Zieldoenst>
NAT: DESTNAT
NAT Objekt: <Firewall_IP_X>
Im NAT Objekt wählen Sie dann das Netzerkobjekt über welche externe IP der Server angesprochen werden soll
Gruß
Kenneth
-
- Beiträge: 25
- Registriert: Di 12.08.2014, 20:41
Prima und Vielen Dank für die schnelle Antwort.
Da wir demnächst u.U. auch ein IPv6 Subnetz bekommen, stellt sich natürlich auch hier die Frage aller Fragen, How to Do :-)
Da wir demnächst u.U. auch ein IPv6 Subnetz bekommen, stellt sich natürlich auch hier die Frage aller Fragen, How to Do :-)
MfG
Andreas Altermann
Andreas Altermann
Ich habe die Schnittstellen wie oben beschrieben eingerichtet (IPv4).
Beispielweise habe ich wie oben die IP .1, .2 und .3.
Nun soll aber Beispielsweise der HTTP-Traffic (welcher über einen transparenten HTTP-Proxy geht) über die .2 "genattet" werden.
Bei Verbindungen ohne Proxy ist das recht einfach: z.B. Internal Network => Internet => https => HideNAT => Firewall_IP_2 (vorrausgesetzt kein HTTPS-Proxy/SSL-Interception).
Leider funktioniert das nicht für http Verbindungen (da der Proxy die Pakete über IP_1 rausschickt).
Wie kann ich das Problem lösen?
Vielen Dank,
Phillip
Beispielweise habe ich wie oben die IP .1, .2 und .3.
Nun soll aber Beispielsweise der HTTP-Traffic (welcher über einen transparenten HTTP-Proxy geht) über die .2 "genattet" werden.
Bei Verbindungen ohne Proxy ist das recht einfach: z.B. Internal Network => Internet => https => HideNAT => Firewall_IP_2 (vorrausgesetzt kein HTTPS-Proxy/SSL-Interception).
Leider funktioniert das nicht für http Verbindungen (da der Proxy die Pakete über IP_1 rausschickt).
Wie kann ich das Problem lösen?
Vielen Dank,
Phillip
Das hatte ich versucht, was mit der Unerreichbarkeit jeder HTTP-Seite quittiert wurde.
Habe ich gerade nochmals versucht, funktioniert. Lag wohl daran, dass ich die IP mit CIDR-Schreibweise verwendet hatte bzw. sich wohl sich ein Leerzeichen vor die IP geschlichen hatte.
Vielen Dank für die schnelle Antwort.
Habe ich gerade nochmals versucht, funktioniert. Lag wohl daran, dass ich die IP mit CIDR-Schreibweise verwendet hatte bzw. sich wohl sich ein Leerzeichen vor die IP geschlichen hatte.
Vielen Dank für die schnelle Antwort.