Re: Webserver und protforwarding

To: debian-user-german@lists.debian.org
Subject: Re: Webserver und protforwarding
From: jerome_reinert@pc-kurios.de
Date: Fri, 22 Oct 2004 17:05:18 +0200
Message-id: <[🔎] E1CL0yk-0001ae-00@www.strato-webmail.de>

> hallo,
> wir sind in der schule dabei ne firewall und nen webserver aufzubauen,
> beide laufen mit woody. die internetverbindung wird über tdsl
realisiert
> also mit dynamischer ip. der zugriff auf den webserver erfolgt über
eine
> ..de adresse die auf eine dyndnsadresse verweist. nun möchten die leute
> aus dem selben netz über die .de adresse darauf zugreifen was aber aus

> dem lokalem netz nicht funktioniert.
> für das forwarding wird iptables benutzt
>
> iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 80 -j DNAT --to
> 192.168.100.1
>
> die 192.168.100.1 ist ein cisco router der das weiter forwardet.
>
>
> 172.16.0.0 netz		in diesem netz befindet sich der webserver
> 	I
> 	I
> 	I
> 192.168.100.0 Netz	transfernetz (router<->firewall)
> 	I
> 	I
> 	I
>      Firewall
> 	I
> 	I
> 	I
>      INternet
>
> wenn dire leute aus dem 172.16 netz einen öffentlichen proxy einstellen
> ist der zugriff über die .de adresse möglich. wie mache ich es nu damit
> der proxy nicht nötig ist und der zugriff über .de trotzdem möglich
ist?
>
>
> gruss marius
Hi Marius

Deine ausführungen sind nicht ganz durchsichtig. Die iptables chain ist
aber richtig. Du hast jedoch ein klassisches Routing-Problem.

geh mal ein deinen webserver und und versetze mal deine netzwerkkarte in
den promicuous mode (hier die erste karte) und lausche mal an port 80

  tcpdump -i eth0 port 80 -n

schau mal ob überhaupt pakete ankommen wenn du die webseiten aufrufst.
wenn ja? wohin gehen die? ist deine Rückroute die Richtige, oder versucht
er das mit der default route aufzulösen?

 route -n

schafft gewissheit

Aber aufgrund der Sicherheit, würde ich euch nicht dazu raten mit einigen
iptables regeln einen server von aussen zu erreichen. Der Webserver muss
in eine DMZ. sollte nämlich jemand diesen von aussen kompremittieren, so
hat er leichtes Spiel auf den Rest der Rechner zuzugreifen.Und das wäre
fatal, wenn die Lehrer PC's davon betroffen wären.
Wie Ihr mit relativ alter hardware eine DMZ zum laufen bekommt (100MHZ mit
16MB reichen) verrät auch das IPCOP projekt. Die Installation ist
kinderleicht und der bedienung lässt kaum wünsche offen. Und wenn Ihr
wollt könnt Ihr gleich den Cisco router und euren dsl router ersetzen
damit ersetzen.

gruss Jerome

Das aktuelle 1.4. release ist gerande erschienen
http://www.ipcop.org/

PS: bedenket: dieses ist nur ein Paketfilter. Intrusion Detection,
Vierenschutz etc. ist damit noch nicht effektiv abgedekt

Reply to:

Prev by Date: Re: Debian3.1/ALSA - kein ton
Next by Date: Re: apt-problem mit ATI-Grafikkartentreiber
Previous by thread: Re: Problem mit Kernel-Neubau und Framebuffer
Next by thread: capi, vbox, externer Anruf
Index(es):
- Date
- Thread