Hallo,
dies ist mehr oder weniger in Bezug auf meinen vorherigen post.
Im Moment ist die Struktur:

Öffentliches Class-C Netz mit festen IPs und zugewiesenen DNS namen für alle Rechner.

Wenn ich nun die Firewall in Betrieb nehme, wie bekomme ich es hin das alle Rechner dann noch über Ihren DNS-namen der öffentlichen IP zu erreichen sind?

Muss ich alle 80 IPs (Anzahl der Rechner) auf der externen Karte der Firewall aufschalten, um dann für jeden ne eigene Regeln zu machen? Ich meine das z.B so :
anfrage auf r003a.xyz.de -> geht an die 192.168.0.15

Oder gibt es eine andere Lösung, so ne art automatische DNS.forwarding oder gekoppelt mit nem dns im internen Netz der das so zu sagen "übersetzt".

Grüße Marc

Such mal nach "filtering bridge".
Ansonsten musst Du schon sagen, was genau Du erreichen willst. Vor allem, wozu du eine Firewall brauchst, wenn sowieso alle Rechner erreichbar sein sollen?

Die Rechner sollen von einem öffentlichen Netz in ein privates Netz umziehen, korrekt? Dann musst du am Netzübergang mit NAT arbeiten, also Portforwardings einrichten. Die öffentlichen IPs müssen auf dem untrusted Interface der Firewall liegen. Alternativ das Netz routen lassen, dafür brauchst du dann aber min. eine öffentliche IP aus einem anderen Netz. Dann kannst du es so konfigurieren, dass deine Rechner (mit öffentlichen IPs) über die Firewall erreichbar sind. Die Rechner würden dann in einer DMZ stehen. Dritte Alternative eine Bridge mit ebtables.

Hi bla!zilla,

Du hast den Nagel auf den Kopf getroffen :-)
Genau das habe ich vor, in Bezug auf den Umzug.
Der Grund für die Sache ist, das alle Wissenschaftler hier direkten Zugriff per SSH/SCP auf Ihren Rechner haben wollen. Deswegen die DNS-Sache.

Nur du verstehst, wenn ich alle 80+ IPs auf das untrusted Interface aufschalten muss, incl. der dann passenden Regeln...da werd´sch bekloppt :-)
Wenn jedoch jede andere Lösung unsicher oder alles andere als empfehlendswert ist, musse ich da wohl durch, wobei es natürlich schön wäre das "elegant" zu lösen.
Was meintest du mit >das netz routen klassen<?

Grüße Marc

Waehre es nicht moeglich, die Leute ihr Zeug auf einem Server speichern zu lassen, den du in die DMZ stellst?

Ja, möglich wäre das schon, aber die guten Herren wollen das nicht :-)
Auflage ist: Wir wollen direkt per ssh/scp an unsere Desktops.

Sollen die Maschinen denn wirklich in eine DMZ oder in euer LAN? Warum können die Kisten denn nicht "draußen" stehen bleiben?

Ueber DNS Views sollte das wirklich recht einfach funktionieren. Zumindest stelle ich mir das einfach mal so vor :)
edit: Und dann stelle ich mir noch vor, dass man ganz wild mit iptables und VLANs rumspielen kann und das dann entsprechend vereinfacht.
Aber vielleicht bin ich ja zu naiv ...