Securepoint Security Solutions Support Forum

Moderator: Securepoint

 
hurikhan77
Themen-Autor
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 15:17

Folgendes Szenario:

eth0 = mehrere public IPs (1x SNAT ins LAN, 3x SNAT in die DMZ)
eth1 = 10.x.x.0/24 mit LAN-Rechnern (gehen via NAT über eth0 ins Internet)
eth2 = 10.x.y.0/24 mit Servern, die via SNAT auf eth0 erreicht werden können

Das Problem ist, daß ich zwar via DMZ-IP an die Rechner in der DMZ komme, aber nicht via Public-IP (die ja logischerweise auch vom DNS so aufgelöst wird), so daß ich also im endeffekt zwar 10.x.y.123 erreichen kann, aber nicht dmz-123.example.com (die public IP).

Lösbar wäre es zwar, wenn ich den Zugriff auf die DMZ vom LAN aus auch per Hide-NAT mache, dann sehe ich in den Logs allerdings nur das Default-GW der DMZ als Zugriff - das möchte ich auch nicht.

Welche Regel(n) fehlt/en mit, um Zugriff diesen Zugriffsweg ohne Hide-NAT zu ermöglichen: LAN -> FW -> DMZ
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1467
Registriert: Fr 07.11.2008, 11:50

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 16:01

Sie könnten den primären DNS-Server der Clients so konfigurieren, dass er "dmz-123.example.com" direkt auf die DMZ-IP auflöst.
 
hurikhan77
Themen-Autor
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 17:58

Das ist zwar theoretisch eine gute Idee, die wir auch schon hatten, kommt allerdings nicht in Frage, da es Sysiphus-Arbeit wäre: Auf den 3 Maschinen in der DMZ laufen VHosting-Umgebungen - da kommt ständig was dazu und fliegt raus und müßte doppelt gepflegt werden. Ich brauche ja eigentlich nur eine Regel, die erlaubt: "Raus aus der Firewall und gleich wieder rein." Natürlich ist das Interface multihomed, mehrere IPs gehen raus.

Apropos: Wie definiere ich in einer solchen Umgebung die IP über die Verbindungen raus gehen aus der DMZ? Die DMZ-Quell-IP scheint am öffentlichen Interface immer auf die primäre IP umgeschrieben zu werden.
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1467
Registriert: Fr 07.11.2008, 11:50

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 18:03

Problem 1 lösen Sie entweder über DNS-Einträge oder durch NAT.

Problem 2 lösen Sie nur über NAT:
Im Moment haben Sie da sicher ein Hide-NAT
DMZ -> eth0 -> Internet

Da machen Sie einfach folgendes draus:
DMZ -> [2. IP auf eth0] -> Internet
Zuletzt geändert von Erik am Di 02.03.2010, 18:03, insgesamt 1-mal geändert.
 
hurikhan77
Themen-Autor
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 18:28

Problem 2: Super Lösung! *thumbsup* :-)

Problem 1: Irgendwie finde ich das nicht zufriedenstellend. Wäre der andere Thread aus diesem Board eventuell ein Ansatz? Ich konnte den nur irgendwie hier nicht nachbilden, weil ich nicht über die Public-IP vom LAN ins LAN will, sondern vom LAN in die DMZ - Konstellation ist also etwas anders. http://www.securepoint.de/support/topic.php?id=994
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1467
Registriert: Fr 07.11.2008, 11:50

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 18:43

Fügen Sie einmal ein neues Portforwarding (die FW Regeln sollten schon existieren) hinzu:
Internes Netz -> [IP auf eth0] -> DMZ-Host -> Dienstname

Womit meine Aussage, dass es nur mit NAT geht, immernoch richtig wäre :P *hust*
Zuletzt geändert von Erik am Di 02.03.2010, 18:44, insgesamt 1-mal geändert.
 
hurikhan77
Themen-Autor
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 19:53

Das funktioniert. Läßt sich das nun auch mit einer Static-NAT-Regel implementieren? Denn dann könnte ich mir die Gruppierungen der Dienste und Netzwerkobjekte zunutze machen, statt pro IP 5 Einzelforwardings zu programmieren. Das wäre prima... :-)

Aber ansonsten funktioniert das erstmal als Work-Around. Danke dafür.
 
Benutzeravatar
Erik
Securepoint
Beiträge: 1467
Registriert: Fr 07.11.2008, 11:50

Zugriff auf DMZ vom LAN aus

Di 02.03.2010, 22:23

Sollte kein Problem sein - fügen Sie dafür einfach ein Netzwerkobjekt pro DMZ-Server hinzu bei dem Sie die entsprechende externe IP unter "Statisches NAT" eintragen. Dann fehlt noch die Regel:
Internes Netz -> DMZ-Server -> Dienstgruppe

Das Portforwarding wird so implizit hinzugefügt.

Ein gutgemeinter Ratschlag:
Verwenden Sie das Objekt DMZ-Server (mit dem statischen NAT) nicht für ausgehende Regeln. Da das NAT immer in beide Richtungen gesetzt wird, kann ihnen eine Regel mit DMZ-Server -> Internet -> any ganz schnell den Tag versüßen ;)
 
hurikhan77
Themen-Autor
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Zugriff auf DMZ vom LAN aus

Mi 03.03.2010, 18:30

Sauber das klappt. Nun wo ich die Regel sehe, wird's auch logisch. *seufz* Das Paket durchläuft auf der Firewall ja gar nicht das externe Interface bzw. dessen Forward-Mechanismus, auf dem das NAT bisher nur lief.

Erik hat geschrieben:

ganz schnell den Tag versüßen ;)


Ja das glaube ich unbesehen... ;-)

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast