Hallo,
folgendes Szenario:
eth0 -> Extern
eth1 -> Intern
eth2 -> DMZ
der Webserver in der DMZ ist von außen über die Externe IP und intern über die IP im eth2 Netz erreichbar (Rules angelegt).
Nun soll auch noch der DMZ-Webserver im Internen Netz über die Externe IP ansprechbar sein. (Für zugriff über den Domainnamen).
Also ein Portforwarding eingerichtet. Funktioniert.
Jetzt kommt das kuriose:
Geht man über den Transparenten Proxy (oder auch manuell eingestell), gibt es ein "Connection refused". Im Log taucht nur der Dansguardian auf der den request durchlässt. Ok, dann habe ich im HTTP-Proxy eine Ausnahme (unter Transparenter Modus) eingerichtet: Internes Netz nach Externem IP Bereich. Ab dem Punkt ist es dann weder mit Proxy noch direkt möglich auf den Webserver zuzugreifen.
Zugriff auf DMZ-PC über öffentliche IP + Proxy
Moderator: Securepoint
Beim versuch ohne Proxy auf die Externe Webserver IP anzusprechen bekomme ich im Log folgende Meldung:
DROP(default) IN=eth1 firewall.domain.de OUT= MAC=00:15:17:a9:da:58:00:23:18:f6:9f:52:08:00 SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=8584 DF PROTO=TCP SPT=17126 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x160
Versuche ich es mit Proxy (Transparent oder fest eingestellt), bekomme ich im Browser die Meldung:
Connection Failed
The system returned:
(111) Connection refused
ist die Proxy Ausnahme deaktiviert, klappt der Zugriff ohne eingestellten / Transparenten Proxy
DROP(default) IN=eth1 firewall.domain.de OUT= MAC=00:15:17:a9:da:58:00:23:18:f6:9f:52:08:00 SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=8584 DF PROTO=TCP SPT=17126 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x160
Versuche ich es mit Proxy (Transparent oder fest eingestellt), bekomme ich im Browser die Meldung:
Connection Failed
The system returned:
(111) Connection refused
ist die Proxy Ausnahme deaktiviert, klappt der Zugriff ohne eingestellten / Transparenten Proxy
Nein, wenn der Proxy die Verbindung bekommt, ist er selbst ja das Endziel. Von dem Portforwarding weiss er ja nichts. Ich rufe hier noch mal die OSI-Schichten ins Gedächtnis!mmoeller hat geschrieben:
Jetzt kommt das kuriose:
Geht man über den Transparenten Proxy (oder auch manuell eingestell), gibt es ein "Connection refused". Im Log taucht nur der Dansguardian auf der den request durchlässt. Ok, dann habe ich im HTTP-Proxy eine Ausnahme (unter Transparenter Modus) eingerichtet: Internes Netz nach Externem IP Bereich. Ab dem Punkt ist es dann weder mit Proxy noch direkt möglich auf den Webserver zuzugreifen.
Zu der Ausnahme.
Das Portforwarding, der transparente Proxy und die Ausnahme werden mit IPTABLES in der Prerouting-Chain abgebildet. Die Reihenfolge ist wie folgt.
- Ausnahmen
- Portumleitung für transparenten Proxy
- Portweiterleitung.
Definieren Sie eine Ausnahme, erreicht das Paket nie die Portweiterleitung.
There are 10 types of people in the world... those who understand binary and those who don\'t.
Ok, stimmt habe ich verstanden.
Aber wie mache ich dem Proxy jetzt klar, wie er über die externe IP auf den Webserver im eth2 connected?
Alternativ wäre es auch nicht schlecht wenn es möglich wäre die hosts datei konfigurieren zu können. (Alternativ zu Anwendungen -> Nameserver -> Domainweiterleitungen ). Dann könnte ich die Domain xxx.yyyy.de direkt auf die Interne IP legen. Dann komme ich über die externe IP zwar immenroch nicht herein, das dürfte die meisten anwender im Intranet aber nicht stören.
Wünsche noch ein schönes Wochenende
Aber wie mache ich dem Proxy jetzt klar, wie er über die externe IP auf den Webserver im eth2 connected?
Alternativ wäre es auch nicht schlecht wenn es möglich wäre die hosts datei konfigurieren zu können. (Alternativ zu Anwendungen -> Nameserver -> Domainweiterleitungen ). Dann könnte ich die Domain xxx.yyyy.de direkt auf die Interne IP legen. Dann komme ich über die externe IP zwar immenroch nicht herein, das dürfte die meisten anwender im Intranet aber nicht stören.
Wünsche noch ein schönes Wochenende
There are 10 types of people in the world... those who understand binary and those who don\'t.