sslug-teknik team mailing list archive

["Jeppe Koefoed" <jeppe@xxxxxxx>]

Hej Per
> Det jeg ville have det til - var at selve min firewall skulle agere alle 3 
> offentlige IP adresser - og derefter NAT - de enkelte porte videre til de 
> maskiner der skal bruges.
Men ved du om din internet router (måske står denne hos TDC) router de tre 
ekstra adresser til din ADSL ip ?
Ellers skal du give din maskine én af de ip og så lave proxy-arp på de 2 
andre. Hvis TDC router de 3 ekstra ip til din maskines ADSL ip adresse, så
behøver du ikke tænke på at få de ekstra frem til dit netkort.

> Nu kalder jeg det zone - det er nu mere ment som en subnetzone på ethX. I 
> DMZzone står der web og mailserver.
Så med lidt ASCII art bliver det
@
|
TDC-router med route af de tre ekstra ip til din ADSL IP
|
"eth0"
Din firewall med ADSL IP på "eth0"
Intern adresse 172.16.1.1/24 på "eth1"
"eth1"
|
Intern post/www maskine med ip 172.16.1.2/24

Hvis en af dine ekstra IP skal nattes til din interne postmaskine skal 
iptables se sådan ud: (87.1.2.3 er ekstra ip)
$IPTABLES -A POSTROUTING -t nat -s 172.16.1.2 -o $ext_if -j SNAT --to-source 
87.1.2.3
$IPTABLES -A PREROUTING -t nat -d 87.1.2.3 -i $ext_if -j 
DNAT --to-destination 172.16.1.2

Derudover er der et par iptables regler som skal tillade post/www til din 
interne! ip (altså 172.16.1.2).

> Men det omkring min extra Zone - mit pluto system skal jeg konfigurere 
> over en meget lang periode som jeg skal lege med i min fritid.
> Men der ville jeg gerne have at jeg kunne sætte en extra domæne til det 
> pluto system . således at jeg kan kalde det på et domænenavn. Det vil sige 
> at alle request på den enkelte domænenavn/IP skal gå til den zone hvor 
> pluto sidder på.
Så DNS skal for det nye domæne pege på den ekstra ip (87.1.2.3)

> Men stadigvæk skal det for mig jo kun være de enkelte porte der skal være 
> åbne.
Det er dine iptables regler som skal klare dette.

> Samtidigt med kommer der nogle problemer omkring Mascarade - eftersom 
> hvilken zone der er i - skal det gå ud med en bestemt IP. LAN - DMZ - Skal 
> gå ud med min statiske IP Pluto skal gå ud med den ene extra IP.
Så du skal have en enkelt iptables kommando mere:
$IPTABLES -t nat -A POSTROUTING -o $ext_if -s $localnet -j SNAT --to $ext_ip
Her er $localnet sat til 172.16.1.0/24 og $ext_ip er blot din ADSL ip.

> Det var det jeg gerne ville frem til. Håber det forklarede lidt mere.
Tjo. Det er vel et ret standard setup. Hvis du har flere lokalnet (eth2, 
eth3 osv) så skal du være opmærksom på om du tilgår via intern eller ekstern 
ip. Normalt vil folk konfigurere splitdns for at tage hånd om dette, men du 
kan også "fikse" det med særlige iptables regler. Ovenfor benyttes $ext_if 
til at sikre at kun eksterne forespørgsler/svar bliver nattet.

/Jeppe