PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall im Firmennetz



slkzone
13.03.02, 23:11
Hallo zusammen
Hoffentlich kann mir jemand von euch bei meinem Problem helfen.
Ich habe folgendes Problem. Ich soll eine Firewall mit iptables aufsetzen, was ich auch gemacht habe und auch funktioniert. Nun zum eigentlichen Problem
Die Firewall hat eine öffentliche IP 62.16.154.17
Hinter der Firewall sollen noch vier weitere Server aus dem Internet erreichbar sein. Die vierte Server haben auch öffentlich IP`s.
Die Firewall hat zwei Netzwerkkarten.
Einer der Server ist der eMail Server und die weiteren drei sind WebServer.
WebServer1 62.16.154.20
WebServer2 62.16.154.22
WebServer3 62.16.154.28
eMail Server 62.16.154.30
Ich habe gehört das die Firewall die Packete nicht verändern soll.
Weiss jemand wie ich das realisieren kann.
Ich danke euch schon mal im vorraus
ciao slkzone

dj-submerge
14.03.02, 08:29
Hi

Da ich OpenBSD als Firewall/Router verwende bin ich mir nicht 100% sicher, aber eigentlich sollte es reichen wenn du IP-Forwarding enablest

echo 1 > /proc/sys/net/ipv4/ip_forward


Dann sollte es funktionieren...

Ansonsten findest du sicherlich auf der offiziellen seite was :

http://netfilter.samba.org/documentation/index.html#HOWTO

gruss

marc

anda_skoa
14.03.02, 12:12
Bei sowas wäre eine DMZ (Demilitarized Zone) angebracht.
Dafür brauchts du drei Netzwerkkarten.

Hat den Vorteil, dass die von außern erreichbaren Maschinen nicht Teil des internen Netzte sind, also dieses nicht gefährden, sollten sie gehackt werden.

Ciao,
_

[WCM]Manx
14.03.02, 12:21
Hi!

Vorerst kommt's darauf an, ob Deine Firewall auch als Router/Gateway zum Internet fungiert, oder ob davor noch ein Router hängt und ob Du die Möglichkeit hast diesen umzukonfigurieren.

Ist die Firewall auch gleichzeitig der Router folge dem Vorschlag von anda_skoa und richte ein DMZ ein (dritte Netzwerkkarte! und natürlich eigenes Subnet).

Eine andere Möglichkeit (als Ausweichlösung, falls vor der Firewall noch ein Router hängt und Du diesen nicht umkonfigurieren willst oder kannst) wäre ein DMZ mit privaten IPs einzurichten.

Dann bekommt die Firewall am externen Interface alle offiziellen IPs der vier Server (Alias-Adressen), die Du mit Destination- bzw Source NAT ins DMZ NATten kannst.

Grüße

Manx