Zugriff auf DMZ vom LAN aus

Moderator: Securepoint

Gesperrt
hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Zugriff auf DMZ vom LAN aus

Beitrag von hurikhan77 »

Folgendes Szenario:

eth0 = mehrere public IPs (1x SNAT ins LAN, 3x SNAT in die DMZ)
eth1 = 10.x.x.0/24 mit LAN-Rechnern (gehen via NAT über eth0 ins Internet)
eth2 = 10.x.y.0/24 mit Servern, die via SNAT auf eth0 erreicht werden können

Das Problem ist, daß ich zwar via DMZ-IP an die Rechner in der DMZ komme, aber nicht via Public-IP (die ja logischerweise auch vom DNS so aufgelöst wird), so daß ich also im endeffekt zwar 10.x.y.123 erreichen kann, aber nicht dmz-123.example.com (die public IP).

Lösbar wäre es zwar, wenn ich den Zugriff auf die DMZ vom LAN aus auch per Hide-NAT mache, dann sehe ich in den Logs allerdings nur das Default-GW der DMZ als Zugriff - das möchte ich auch nicht.

Welche Regel(n) fehlt/en mit, um Zugriff diesen Zugriffsweg ohne Hide-NAT zu ermöglichen: LAN -> FW -> DMZ

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Sie könnten den primären DNS-Server der Clients so konfigurieren, dass er "dmz-123.example.com" direkt auf die DMZ-IP auflöst.

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Das ist zwar theoretisch eine gute Idee, die wir auch schon hatten, kommt allerdings nicht in Frage, da es Sysiphus-Arbeit wäre: Auf den 3 Maschinen in der DMZ laufen VHosting-Umgebungen - da kommt ständig was dazu und fliegt raus und müßte doppelt gepflegt werden. Ich brauche ja eigentlich nur eine Regel, die erlaubt: "Raus aus der Firewall und gleich wieder rein." Natürlich ist das Interface multihomed, mehrere IPs gehen raus.

Apropos: Wie definiere ich in einer solchen Umgebung die IP über die Verbindungen raus gehen aus der DMZ? Die DMZ-Quell-IP scheint am öffentlichen Interface immer auf die primäre IP umgeschrieben zu werden.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Problem 1 lösen Sie entweder über DNS-Einträge oder durch NAT.

Problem 2 lösen Sie nur über NAT:
Im Moment haben Sie da sicher ein Hide-NAT

Code: Alles auswählen

DMZ -> eth0 -> Internet
Da machen Sie einfach folgendes draus:

Code: Alles auswählen

DMZ -> [2. IP auf eth0] -> Internet
Zuletzt geändert von Erik am Di 02.03.2010, 18:03, insgesamt 1-mal geändert.

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Problem 2: Super Lösung! *thumbsup* :-)

Problem 1: Irgendwie finde ich das nicht zufriedenstellend. Wäre der andere Thread aus diesem Board eventuell ein Ansatz? Ich konnte den nur irgendwie hier nicht nachbilden, weil ich nicht über die Public-IP vom LAN ins LAN will, sondern vom LAN in die DMZ - Konstellation ist also etwas anders. http://www.securepoint.de/support/topic.php?id=994

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Fügen Sie einmal ein neues Portforwarding (die FW Regeln sollten schon existieren) hinzu:
Internes Netz -> [IP auf eth0] -> DMZ-Host -> Dienstname

Womit meine Aussage, dass es nur mit NAT geht, immernoch richtig wäre :P *hust*
Zuletzt geändert von Erik am Di 02.03.2010, 18:44, insgesamt 1-mal geändert.

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Das funktioniert. Läßt sich das nun auch mit einer Static-NAT-Regel implementieren? Denn dann könnte ich mir die Gruppierungen der Dienste und Netzwerkobjekte zunutze machen, statt pro IP 5 Einzelforwardings zu programmieren. Das wäre prima... :-)

Aber ansonsten funktioniert das erstmal als Work-Around. Danke dafür.

Benutzeravatar
Erik
Securepoint
Beiträge: 1480
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Sollte kein Problem sein - fügen Sie dafür einfach ein Netzwerkobjekt pro DMZ-Server hinzu bei dem Sie die entsprechende externe IP unter "Statisches NAT" eintragen. Dann fehlt noch die Regel:

Code: Alles auswählen

Internes Netz -> DMZ-Server -> Dienstgruppe
Das Portforwarding wird so implizit hinzugefügt.

Ein gutgemeinter Ratschlag:
Verwenden Sie das Objekt DMZ-Server (mit dem statischen NAT) nicht für ausgehende Regeln. Da das NAT immer in beide Richtungen gesetzt wird, kann ihnen eine Regel mit DMZ-Server -> Internet -> any ganz schnell den Tag versüßen ;)

hurikhan77
Beiträge: 34
Registriert: Do 30.10.2008, 15:44

Beitrag von hurikhan77 »

Sauber das klappt. Nun wo ich die Regel sehe, wird's auch logisch. *seufz* Das Paket durchläuft auf der Firewall ja gar nicht das externe Interface bzw. dessen Forward-Mechanismus, auf dem das NAT bisher nur lief.
Erik hat geschrieben: ganz schnell den Tag versüßen ;)
Ja das glaube ich unbesehen... ;-)

Gesperrt