multipath diverses

Moderator: Securepoint

Gesperrt
achim
Beiträge: 255
Registriert: Fr 09.03.2007, 11:42
Wohnort: Flensburg
Kontaktdaten:
Kontaktdaten von achim

multipath diverses

Beitrag von achim »

Hallo,

1. Einrichtung Multipath Routing
Ich habe mir noch einmal beide Howto's für die R10 und 2007nx für Multipath-Routing angesehen und mir sind 2 Dinge aufgefallen (Beispiel 2x ADSL):

1.1.
In der 2007er Anleitung ( http://faq.securepoint.de/index.php?opt ... &Itemid=16 ) wird auf Seite 8 ein 2. Netzwerkobjekt "any2" für die dmz1 angelegt, welches der bereits vorhandenen Gruppe "Internet" hinzugefügt wird (In der bereits das Objekt "any" external vorhanden ist).
Eine Regel wie z.b.: LAN -> Internet (enthält any + any2) -> any -> allow erlaubt den internen Usern also über beide ppp-Interfaces "alles" zu machen.

--> alles ok und logisch!

Verglichen mit der Anleitung für die R10 ( http://faq.securepoint.de/index.php?opt ... &Itemid=16 )
wird hier auf Seite 9 ein zweites Netzwerkobjekt "Internet_2" (Zone: DMZ2) angelegt.
Danach existiert also einmal die Gruppe "Internet" und die automatisch erstellte Gruppe "Internet_2".

Erstelle ich nun eine Regel wie oben: LAN -> Internet (enthält nur Objekt "Internet") -> any -> allow erlaubt die Regel den internen Usern also nur über das erste ppp-Interfaces "alles" zu machen.
(Ein/zwei Beispielregeln fehlen in dieser Anleitung)

FRAGE:
Muss ich die gleiche Regel nun noch für "Internet_2" erstellen?
Oder muss ich das Objekt "Internet_2" wie in der 2007er Anleitung in die Gruppe "Internet" schieben und der Schritt wurde in der Anleitung vergessen?
Oder ist die Methode aus der 2007er Anleitung obsolet?

1.2.
In der R10-Anleitung für Multipathing ist auf Seite 9 die Abbildung Abb. 9 falsch bzw. passt nicht zu Abb. 6 und 7.:
Es wird ein Netzwerk/Host "Internet_2" in der Zone "dmz2" und eine Schnittstelle „External Interface_2“ in Zone „Firewall-dmz2“ erstellt.
In Abb. 9 sehen die beiden Zonen aber folgendermaßen aus: „Internet_2“ in Zone „external“ und „External Interface_2“ in Zone „firewall-external“.

FRAGE:
Stimmt die Beschreibung (ja) oder die Abbildung (nein)?

Ich will hier nicht kleinlich sein, aber gerade bei einem Versionsumstieg, oder da man nicht täglich mit komplizierten multipath Umgebungen zu tun hat, halte ich es doch für wichtig, dass diese beiden Punkte in der Beschreibung passen.

2. Dienste nur an einige Leitungen binden
Wie kann ich in einer Multipath-Umgebung (als Beispiel 6x ADSL) z.B. den http-Traffic auf nur 3 ADSL-Leitungen begrenzen?

Abgeleitet aus meinem Punkt 1.2 als Annahme:
Indem ich eine Gruppe „Internet- http“ mache, in der die Netzwerkobjekte „Internet_1“, „Internet_2“, „Internet_3“ sind und eine Regel
LAN -> „internet-http“ (Mitglieder: Internet_1, Internet_2, Internet_3) -> http -> allow
definiere? (bei Rule Routing kann ich ja nur ein Interface angeben)

3. Wirkung Source Routing und Rule-Routing
Ich möchte z.B., dass der Mailserver alle Dienste über ppp0 raus schickt.

Variante 1 Rule Routing:
Mailserver -> Internet (in dem laut 2007er-Anleitung alle pppX „Interfaces“ sind) -> any -> rule routing über ppp0

Variante 2 source Routing:
Quelle: Mailserver-IP -> Router: ppp0 -> Ziel: 0.0.0.0/0 kombiniert mit der Regel:
Mailserver -> Internet (in dem laut 2007er-Anleitung alle pppX „Interfaces“ sind) -> any

Abgesehen davon, dass das Source Routing den Vorrang hat, bewirken doch beiden Varianten dasselbe, oder?

OK, ich denke, das ist schon lang genug. Freue mich auf Antworten.

Gruß
Achim
Nach oben
Benutzeravatar
Erik
Securepoint
Beiträge: 1481
Registriert: Fr 07.11.2008, 11:50

Beitrag von Erik »

Muss ich die gleiche Regel nun noch für "Internet_2" erstellen?
Oder muss ich das Objekt "Internet_2" wie in der 2007er Anleitung in die Gruppe "Internet" schieben [...]?
Beides ist möglich.

1.2.: Abb 9 ist fehlerhaft. Danke für den Hinweis, ich habe das mal zur Korrektur weitergeleitet.
2. Dienste nur an einige Leitungen binden
Beim HTTP-Proxy ist das einfach: Outgoing-Address auf die interne IP der Firewall legen und dann für jede Leitung, über die der Proxy nach draußen soll eine "Default-Source-Route" hinzufügen.
Bei anderen geht die "x von y"-Methode nicht. Da müssen Sie sich per Rule-Routing für eine Leitung entscheiden.
3. Wirkung Source Routing und Rule-Routing
Source-Route -> Rule-Route -> Routing-Eintrag ohne Quelle
In dieser Reihenfolge wird das abgearbeitet (First Match wins)
Nach oben
Gesperrt

Zurück zu „Security Solutions v10“