bridging mit Iptables???

[Duffy1905]

Hallo zusammen,
habe ein problem, und zwar wollte ich fragen ob es möglich ist mit Iptables Bridging zu machen? Vielleicht gibt es auch eine andere Möglichkeit für mein Problem.
Und zwar habe ich hinter meiner Firewall mehrere Webserver stehen (also müssen über Port 80, 443 ... usw erreichbar sein). Jetzt kann ich ja mit DNAT den Port 80 zB an die IPadresse 141.52.X.Y weiterleiten. Bloss habe ich nun mehrere Webserver die den Port 80 brauchen, was mach ich nun? Ich habe überlegt ob es mit bridging funktioniert?! Kann mir da jemand weiterhelfen???

Danke schon mal im Vorraus


Gruss Sascha

[msi]

Original geschrieben von Duffy1905
Hallo zusammen,
habe ein problem, und zwar wollte ich fragen ob es möglich ist mit Iptables Bridging zu machen? Vielleicht gibt es auch eine andere Möglichkeit für mein Problem.
Und zwar habe ich hinter meiner Firewall mehrere Webserver stehen (also müssen über Port 80, 443 ... usw erreichbar sein). Jetzt kann ich ja mit DNAT den Port 80 zB an die IPadresse 141.52.X.Y weiterleiten. Bloss habe ich nun mehrere Webserver die den Port 80 brauchen, was mach ich nun? Ich habe überlegt ob es mit bridging funktioniert?! Kann mir da jemand weiterhelfen???

Danke schon mal im Vorraus


Gruss Sascha

du hast leider pro ip nur einen port tcp port 80

[Duffy1905]

Ja das ist mir auch klar, aber mit DNAT kann ich nicht einen Port an mehrere IPs weitergeben!!! Meine Firewall selbst hat ja auch noch eine IP (eigentlich auch ein Risiko).
Ich glaube du hast mein Prob nicht verstanden.

Ich habe mehrere Webserver hinter der Firewall. Möchte jetzt jemand vom Inet auf einen der Webserver zugreifen gelangt er ja als erstes zur Firewall.

jetzt habe ich zB 4 Webserver:

-141.52.X.W1
-141.52.X.W2
-141.52.X.W3
-141.52.X.W4

jetzt kann ich mit de Dnat sagen, gebe alle anfragen an den Port 80 weiter an die IP 141.52.X.W1.

Was ist jetzt aber mit den anderen Servern, ich kann ja nicht einen Port an mehrere IPs weitergeben?!

[msi]

mach doch einfach mehrere regeln, und ergänze sie um die destination mit -d

[emba]

dnat kann randomly ziel-ips für ein und den selben port vergeben
wenn alle webserver das gleiche "anbieten" wäre das eine art load-balancing

ansonsten kannst du, wenn du verschiedene inhalte anbietest, doch mit dem string match arbeiten und die pakete entsprechend forwarden

greez

[Duffy1905]

jo also ich probier das jetzt mal mt Dnat. Trage für jede IP meine gewüschten Ports ein. Also ihr meint das geht? Wird dann das paket etwa an jede IP geschickt über den Port 80?

[Duffy1905]

ne geht nicht, bringt ne Fehlermeldung:

unknown arg `--to-destination'
Bad argument `80'

habe das jetzt mal mit Harrys generator gemacht.
Die DNAT regeln sehen dann so aus:

Für X steht immer bsw 60 beim nächsten 61 dann 62 dann 63 ist en bißle blöd gemacht von mir

also sind immer 4 verschiedene Server. Ich gebe für alle 4 server Port 80, 443 und 22 frei



# NAT fuer HTTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 80 -j ACCEPT

# NAT fuer HTTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 80 -j ACCEPT

# NAT fuer HTTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 80 -j ACCEPT

# NAT fuer HTTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 80 -j ACCEPT

# NAT fuer HTTPS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 443 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 443 -j ACCEPT

# NAT fuer HTTPS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 443 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 443 -j ACCEPT

# NAT fuer HTTPS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 443 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 443 -j ACCEPT

# NAT fuer HTTPS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 443 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 443 -j ACCEPT

# NAT fuer SSH
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 22 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 22 -j ACCEPT

# NAT fuer SSH
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 22 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 22 -j ACCEPT

# NAT fuer SSH
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 22 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 22 -j ACCEPT

# NAT fuer SSH
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 22 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 22 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 22 -j ACCEPT

# NAT fuer HTTP
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d --dport 80 -j ACCEPT

[mbo]

ich grüble noch, wer von euch am thema vorbei schliddert

mal grundsätzlich:
1.) vier regeln hinteinander für ein und denselben port wird dir nix bringen
2.) sind die vier server dahinter gleich? bieten sie alle das selbe?

cu/2 iae

[Duffy1905]

Ja bieten alles den selben dienst an, sind alles Webserver, also ich brauche auf den Servern, port 80, 443, 22, und den SMTP.
Wie kann ich das dann umsetzten???

[mbo]

also möchtest du soetwas wie loadbalancing machen?

dann siehe nat-howto:
6.3.1. Auswahl von mehrere Adressen in einer Reihe
Wenn eine Reihe von IP-Adressen gegeben ist, wir diejenige
ausgewaehlt, die im Moment am wenigsten fuer IP-Verbindungen, von
denen die Maschine weiss, benutzt wird. Dies macht primitives 'load-
balancing' moeglich.

oder auch random, alle vier einträge mit random 25% versehen ... unsauber aber sieht lustig aus ...

fortgeschrittene lösungen:
http://www.linuxvirtualserver.org/

was solls seein?

[Duffy1905]

mom ich glaube du meinst was anderes.
Ich habe mehrere Webserver (nur webserver!!!)
bsw 4 Stück!!! Aber auf jeden Server liegen andere Inhalte!

[mbo]

ei siehst, das ist was anderes

nur mal visualisiert
stell dir vor:
wenn du den botschafter von <land> besuchen willst, wie gehst du vor?
du fährst nach <stadt>
du fährst in die <name>-Str.
gehst zu Haus <Nr.>
gehst in <zimmer>
und da sitzt er.

wenn du vier verschiedene WebServer, wahrscheinlich auch noch mit vier verschiedenen domains betreiben willst, wird das nix mit einer ip-adress und einem port. wenn dann mußt du entweder drei server virtualisieren, also einer wird DEIN webserver, oder du holst dir vier ip-adressen ODER arbeitest mit vier verschiedenen ports, womit du viele proxy's ausschließt.

cu/2 iae

ps: ich dacht das wären netzwerkgrundlagen? wer schafft es vier webserver ohne diese grundlagen zu betreiben?

[Duffy1905]

ich glaube ich habe mich vorhin falsch ausgedrückt, sorry!!!
Ich habe vier Webserver und jeder Webserver hat seine eigene IP (nach außenhin sichtbare!!!)

[mbo]

was denn nun?

zählen wir mal
- vier Webserver
- vier öffentliche IP-Adressen
- ein Router

und jetzt möchtest Du die vier öffentlichen IP-Adressen vier verschiedenen IP-Adressen im LAN, in Deinem Fall die vier WebServer zuordnen.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 141.52.248.X
iptables -t nat -A POSTROUTING -o eth1 -p tcp --dport 80 -j SNAT --to-source $LAN_IP
iptables -A FORWARD -i eth0 -m state --state NEW -p tcp -d 141.52.248.X --dport 80 -j ACCEPT

auf eth0 sind die öffentlichen Adressen gebunden?
141.52.248.X sind die privaten Adressen?

dann fehlt dir als erstes mal die IP-Adress, auf welcher die Anfragen für die einzelnen WebServer ankommen, Du mußt also
vier Regeln
mit jeweils verschiedenen öffentlichen-Ip-Adresse:Port auf vier interne IP-Adresse "natten"

Das snat raus, sonst liest im log nur noch anfragen vom router

cu/2 iae

[Duffy1905]

mom, noch mal ganz von vorne, ich habe ja nicht gesagt das ich das alles mit DNAT machen will, ich habe gefragt ob das damit machbar ist.

Also ich habe 4 Webserver die öffentliche IPs besitzen und auch beibehalten sollen.
Diese Webserver sind momentan über einen Router mit dem Internet verbunden, aber ungeschützt. Ich habe jetzt eine Firewall mit IPtables aufgesetzt. Diese funktioniert nicht. Der Grund ich habe 4 Webserver, jeder Server muss über die Ports 80,443 ... angesprochen werden. Ansonsten sollen sie aber geschützt sein! Und jetzt will ich wissen wie ich das umsetzen kann?!?!?! Verstehst du mein Prob???



(sorry bin ein totaler newbi bei Linux und Iptables)