Ein etwas delikates Problem beschäftigt mich gerade...

Meine Linux-Firewall hat 3 Netzwerk-Schnittstellen:
eth0: Subnet 1
eth1: Wan
eth2: Subnet 2

Ziel:
Der Backup-Server (welcher sich im Subnet 1) sollte Zugriff auf das Subnet 2 erhalten.
Dafür suche ich die entsprechende Iptables Regel für die Firewall.

Kann mir da jemand helfen?


Internet
|
____ __|_ ____
| | | | | |
| A | |WALL| | C |
| |_____| |_____| |
|____| |____| |____|
In dieser stark vereinfachten ASCI-Abbildung ist A der Backup-Server (im Subnet 1) welcher Zugriff auf die Server C im Subnet 2 erhalten soll.

Hallo,

Besteht das Problem noch?

MFG

zEriX

Ja, ich habe bis jetzt keine Lösung gefunden :(

Noch genauere Angaben zur Situation

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
72.14.221.104 0.0.0.0 255.255.255.248 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 72.14.221.105 0.0.0.0 UG 1 0 0 eth1

Hallo,

kann der Backup-Server den den Client erreichen (per Ping)?
Welche Backupmethode nutzt du? Du musst verm. die richtigen Ports dann freigeben.
Passen die Routen in den Subnetzen?
Welche Betriebbsysteme nutzt du? Durchgängig Linux, oder auch noch was anderes?

Die Frage ist imho rel. allgemein gestellt, da man nur erahnen kann, wo Probleme sein könnten.

Gruß

routing aktiviert?


echo 1 > /proc/sys/net/ipv4/ip_forward


dann brauchst du nur noch im iptables den traffic von eth0 zu eth2 und von eth2 zu eth0 zu erlauben.

ach ja, als default gateway sollte in beiden netzen die firewall stehen ;)

kann der Backup-Server den den Client erreichen (per Ping)?Nein (sie können sich nicht Ping'en da sie von der Firewall streng in zwei Subnetze getrennt werden.)

Welche Backupmethode nutzt du? Du musst verm. die richtigen Ports dann freigeben.rsync per SSH (Port 873 & 22)

Passen die Routen in den Subnetzen?:confused: äh.. (Frage nicht verstanden) aus beiden Subnetzen kommt man aufs Internet - nun sollte für den Backupserver die Ausnahme eingerichtet werden, dass er auf das andere Subnet kommt (natürlich nur durch die wenigen Ports).

Welche Betriebbsysteme nutzt du? Durchgängig Linux, oder auch noch was anderes? Backupserver & Firewall sind Linux - Client im anderen Subnet ist Windows hat jedoch cygwin (http://cygwin.com/) installiert welches ziemlich anständig funktioniert (konnte dies schon von der Firewall aus überprüfen).

@othan:
Ich werde das gleich morgen ausprobieren.

Hallo,


Nein (sie können sich nicht Ping'en da sie von der Firewall streng in zwei Subnetze getrennt werden.)
Das eine schliesst das andere ja nicht aus, mein Client liegt auch in nem anderen Subnetz als www.web.de, und trotzdem kann ich ihn pingen.
Und über die Diskussion, ob man die ping-Möglichkeit unterbinden sollte, ist schon viel geschrieben worden.
[quote}rsync per SSH (Port 873 & 22)[/quote]
Da rsync dann wohl über ssh getunnelt wird, sollte es reichen, Port 22 freizugeben, etwa so:

iptables -A INPUT -p tcp --dport 22 -s IP_aus_QUELLNETZ_A -j ACCEPT
[quote](Frage nicht verstanden) aus beiden Subnetzen kommt man aufs Internet - nun sollte für den Backupserver die Ausnahme eingerichtet werden, dass er auf das andere Subnet kommt (natürlich nur durch die wenigen Ports).{/quote]
Um in das Subnetz zu kommen, muss erstmal die Route dahin klar sein, sonst hilft dir die beste (oder schlechteste Firewall nix), daher meine Frage, ob auf den Clients und Servern die jeweiligen Routen passen.
Zur Not einfach händisch setzen:

route add -host IP_CLIENT gw IP_FW dev INTERFACE

WEnn ich deinen Aufbau richtig verstanden habe, sollte es in etwa so dann klappen.

Gruß