sslug-teknik team mailing list archive

[Jesper Lund <jesper@xxxxxxxxxxxxxx>]

jens lauterbach wrote:

> hej :)
>
> Jeg skal have enablet en række offentlige IP'er via min
> ADSL router og min debian firewall.
>
> OK jeg ved jeg skal slå NAT fra i routeren og sætte wan0 interfacet,
> ingen problemer der! (I hope)
>
> Firewallen skal lave NAT til det private net 192.168.1.0 (ingen
> problemer der)
>
> Firewallen skal (via routeren) lytte på de offentlige IP numre og så
> forwarde dem til de interne adresse. Pointen er at mappe et offentligt
> ip numre til et privat ipnummer. Dette skal ske via routing og vha. arp
> på firewallen (I think). De interne maskiner der skal være offentlige
> skal så have et public-ip-alias. På denne måde kan de interne maskiner
> stadig se de andre maskiner i 'windows' netværket. Det usmarte er dog at
> de forbindelser maskiner laver ud af huset bliver nattet og de får ikke
> deres offentlige ip med ud af huset (det var ellers planen)
>
> En anden løsning kunne så være at give de interne maskiner et rent
> offentligt ipnummer og så skulle de så ikke nattes via routeren. Men så
> kan de jo ikke ses (eller se) de andre interne maskiner?
> Eller kan det mon måske løses vha. en wins server (samba) ??
>
> Meen måske ikke alligevel, idet maskinerne jo ikke er på samme net, men
> øh på samme netkort!!
>
> Løsningen skulle så være at køre de offentlige IP på en DMZ zone (klart
> at foretrække sikkerhedsmæssigt) og så er de også på et andet net. Men
> kunne man stadig få dem til at kunne se de private maskiner via en wins
> server?
>
> Men i første omgang skal de offentlige IP'er enables på nogle maskiner
> internt????
>
> En lang smøre der er blevet skrevet før her! I think! ;)
>
> hilsen jens

Jeg har et setup på en netcafe i Horsens. Det er som følger

Router ---- Firewall ----  windows PC'er og linux server (y.y.y.NOGET/24)

Routeren er 100 % transparent...Det er en Cisco 1600

Firewallen har 2 netkort..Et yderst og et inderst......

Det yderste har en "rigtig" ip, og en alias IP for hver af de servere der
står på det interne netværk. Hver enkelt af de ydre alias IP'er er så
DNAT'et ind igennem til den server der står på indersiden:

x.x.x.1 ->                                  y.y.y.1
x.x.x.2 ->     Firewall  ---> y.y.y.2
x.x.x.3 ->                                 y.y.y.3

Aliaserne er oprettet med en
ifconfig eth0 add x.x.x.1 up og saå videre.....

DNAT er lavet med en:
iptables -t nat -A PREROUTING -d x.x.x1 -j DNAT --to y.y.y.1

MEN, så skal man huske at man skal SNAT'e FRA den server, så det ser ud som
om den svarer tilbage fra den rigtige IP......
iptables -t nat -A POSTROUTING -s y.y.y.1 -j SNAT --to x.x.x.1

Dette gøres for alle de IP'er der skal forwardes ind igennem.

Derfor kan din server på indersiden af dit netværk fint fint se de andre
windows computere, da det er samme netværk nu......( y.y.y.NOGET/24)

Har jeg forstået hvad ud spurgte om ? Er svaret til at forstå ?

Mvh. Jesper