Securepoint Support Forum

Securepoint Security Solutions Support Forum
https://support.securepoint.de/

Zugriff auf DMZ-PC über öffentliche IP + Proxy

https://support.securepoint.de/viewtopic.php?t=1253

Seite 1 von 1

Zugriff auf DMZ-PC über öffentliche IP + Proxy

Verfasst: Fr 28.01.2011, 15:39
von mmoeller
Hallo,

folgendes Szenario:
eth0 -> Extern
eth1 -> Intern
eth2 -> DMZ

der Webserver in der DMZ ist von außen über die Externe IP und intern über die IP im eth2 Netz erreichbar (Rules angelegt).

Nun soll auch noch der DMZ-Webserver im Internen Netz über die Externe IP ansprechbar sein. (Für zugriff über den Domainnamen).
Also ein Portforwarding eingerichtet. Funktioniert.

Jetzt kommt das kuriose:

Geht man über den Transparenten Proxy (oder auch manuell eingestell), gibt es ein "Connection refused". Im Log taucht nur der Dansguardian auf der den request durchlässt. Ok, dann habe ich im HTTP-Proxy eine Ausnahme (unter Transparenter Modus) eingerichtet: Internes Netz nach Externem IP Bereich. Ab dem Punkt ist es dann weder mit Proxy noch direkt möglich auf den Webserver zuzugreifen.

Zugriff auf DMZ-PC über öffentliche IP + Proxy

Verfasst: Fr 28.01.2011, 15:50
von mmoeller
Beim versuch ohne Proxy auf die Externe Webserver IP anzusprechen bekomme ich im Log folgende Meldung:

DROP(default) IN=eth1 firewall.domain.de OUT= MAC=00:15:17:a9:da:58:00:23:18:f6:9f:52:08:00 SRC= DST= LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=8584 DF PROTO=TCP SPT=17126 DPT=80 WINDOW=8192 RES=0x00 SYN URGP=0 MARK=0x160

Versuche ich es mit Proxy (Transparent oder fest eingestellt), bekomme ich im Browser die Meldung:

Connection Failed
The system returned:
(111) Connection refused

ist die Proxy Ausnahme deaktiviert, klappt der Zugriff ohne eingestellten / Transparenten Proxy

Zugriff auf DMZ-PC über öffentliche IP + Proxy

Verfasst: Fr 28.01.2011, 15:52
von carsten
mmoeller hat geschrieben:
Jetzt kommt das kuriose:

Geht man über den Transparenten Proxy (oder auch manuell eingestell), gibt es ein "Connection refused". Im Log taucht nur der Dansguardian auf der den request durchlässt. Ok, dann habe ich im HTTP-Proxy eine Ausnahme (unter Transparenter Modus) eingerichtet: Internes Netz nach Externem IP Bereich. Ab dem Punkt ist es dann weder mit Proxy noch direkt möglich auf den Webserver zuzugreifen.
Nein, wenn der Proxy die Verbindung bekommt, ist er selbst ja das Endziel. Von dem Portforwarding weiss er ja nichts. Ich rufe hier noch mal die OSI-Schichten ins Gedächtnis!

Zu der Ausnahme.

Das Portforwarding, der transparente Proxy und die Ausnahme werden mit IPTABLES in der Prerouting-Chain abgebildet. Die Reihenfolge ist wie folgt.

- Ausnahmen
- Portumleitung für transparenten Proxy
- Portweiterleitung.

Definieren Sie eine Ausnahme, erreicht das Paket nie die Portweiterleitung.

Zugriff auf DMZ-PC über öffentliche IP + Proxy

Verfasst: Fr 28.01.2011, 16:47
von mmoeller
Ok, stimmt habe ich verstanden.

Aber wie mache ich dem Proxy jetzt klar, wie er über die externe IP auf den Webserver im eth2 connected?

Alternativ wäre es auch nicht schlecht wenn es möglich wäre die hosts datei konfigurieren zu können. (Alternativ zu Anwendungen -> Nameserver -> Domainweiterleitungen ). Dann könnte ich die Domain xxx.yyyy.de direkt auf die Interne IP legen. Dann komme ich über die externe IP zwar immenroch nicht herein, das dürfte die meisten anwender im Intranet aber nicht stören.

Wünsche noch ein schönes Wochenende

Zugriff auf DMZ-PC über öffentliche IP + Proxy

Verfasst: Fr 28.01.2011, 17:39
von carsten
Wie wäre es hier mit ;)

http://www.securepoint.de/support/topic.php?id=819
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de