[Gelöst] Öffentliches IP-Subnetz

Allgemeine Fragen zu Problemen. Keine Fehlerberichte oder Feature-Anfragen

Moderator: Securepoint

Antworten
Andreas Altermann
Beiträge: 25
Registriert: Di 12.08.2014, 20:41

[Gelöst] Öffentliches IP-Subnetz

Beitrag von Andreas Altermann »

Hallo NG,

wie wird ein Subnetz (z.B. /29) am externen Interface richtig angebunden ?
Wie werden dann die Regelsätze für die zu veröffentlichen Server gebaut, die auf bestimmte IPs des Subnetzes hören müssen ?
Hier entweder direkt per Portforwarding und/oder per Reverse-Proxy möglich ?
Habe hierzu noch kein erklärendes How to Do gefunden.....
MfG
Andreas Altermann

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

als erstes legen Sie alle IPs auf die Schnittstelle (zb eth0):

x.x.x.2/29
x.x.x.3/29
x.x.x.4/29

Anschließend müssen Sie für jede externe IP ein Firewall Netzwerk Objekt unter Portfilter => Netzwerkobjekte anlegen:

Name:Firewall_IP_1
Typ: statische Schnittstelle
IP: x.x.x.1/29
Gruppe: (leerlassen)

(das für alle IP Adressen wiederholen)

Die Regel für die Portweiterleitung würde so aussehen:

Quelle: Internet
Ziel: <Zielserver>
Dienst: <Zieldoenst>
NAT: DESTNAT
NAT Objekt: <Firewall_IP_X>


Im NAT Objekt wählen Sie dann das Netzerkobjekt über welche externe IP der Server angesprochen werden soll

Gruß

Kenneth

Andreas Altermann
Beiträge: 25
Registriert: Di 12.08.2014, 20:41

Beitrag von Andreas Altermann »

Prima und Vielen Dank für die schnelle Antwort.
Da wir demnächst u.U. auch ein IPv6 Subnetz bekommen, stellt sich natürlich auch hier die Frage aller Fragen, How to Do :-)
MfG
Andreas Altermann

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

da es bei IPv6 kein NAT mehr gibt, reicht wenn Sie eine Regel im Portfilter anlegen: (die öffentliche IPv6 Adresse liegt direkt auf dem Server)

Quelle: internet_v6
Ziel: Server_6
Dienst: https

Gruß

Kenneth

Pyph
Beiträge: 4
Registriert: Di 23.09.2014, 13:19

Beitrag von Pyph »

Ich habe die Schnittstellen wie oben beschrieben eingerichtet (IPv4).
Beispielweise habe ich wie oben die IP .1, .2 und .3.
Nun soll aber Beispielsweise der HTTP-Traffic (welcher über einen transparenten HTTP-Proxy geht) über die .2 "genattet" werden.
Bei Verbindungen ohne Proxy ist das recht einfach: z.B. Internal Network => Internet => https => HideNAT => Firewall_IP_2 (vorrausgesetzt kein HTTPS-Proxy/SSL-Interception).
Leider funktioniert das nicht für http Verbindungen (da der Proxy die Pakete über IP_1 rausschickt).
Wie kann ich das Problem lösen?
Vielen Dank,
Phillip

Kenneth
Beiträge: 348
Registriert: Mi 19.10.2011, 15:21
Wohnort: Lüneburg

Beitrag von Kenneth »

Hallo,

unter "Anwendungen => Http Proxy" können Sie eine ausgehenden IP Adresse hinterlegen.

Gruß

Kenneth

Pyph
Beiträge: 4
Registriert: Di 23.09.2014, 13:19

Beitrag von Pyph »

Das hatte ich versucht, was mit der Unerreichbarkeit jeder HTTP-Seite quittiert wurde.
Habe ich gerade nochmals versucht, funktioniert. Lag wohl daran, dass ich die IP mit CIDR-Schreibweise verwendet hatte bzw. sich wohl sich ein Leerzeichen vor die IP geschlichen hatte.
Vielen Dank für die schnelle Antwort.

Antworten