Archief - De topics van lang geleden

Gateway zonder nat.

01-12-2005, 14:22 door Anoniem, 11 reacties
Situatie:Linux Box Firewall,OS Slackware 10.2
3 NIC's
4 Public Ip's van ISP.
------------------------------------
eth0---->wan--->public ip.
eth1---->lan ---->privet ip.
eth2---->dmz--->public ip,hetzelfde ip range als wan(eth0).
-------------------------------------------
1)ip_forward staan aan.
2)Alleen traffic lan(eth1)----->wan(eth0)---> internet(ISP Router), wordt
SNATed naar "wan" ip(eth0),gaat goed.
3)Hoe kan ik traffic dmz(eth2)(public ip)--->wan(eth0)--->internet(ISP
Router) zonder te SNATen te realiseren.
P:S: Heb zelfs FORWARD -j ACCEPT geprobeerd,werkt ook niet.
Bij voorbaat bedankt!
Reacties (11)
01-12-2005, 15:46 door SirDice
Waarom zonder NAT? Da's in jouw situatie niet (makkelijk?) te doen namelijk.. In OpenBSD's PF zit BINAT daarmee kun je een 1 op 1 NAT doen.. Zoiets zal vast ook in Linux zitten..

192.168.0.0/24 op eth1 (lan)
192.168.1.0/24 op eth2 (dmz)

binat ext_ip1 naar bijv. 192.168.1.10
binat ext_ip2 naar bijv. 192.168.1.11
etc..

Met binat worden alle poorten bidirectioneel ge'nat' en geforward..
01-12-2005, 23:56 door Anoniem
Je spreek nu over privet ip op dmz,dat valt met SNAT naar ip van wan(eth0)
te regelen.In mijn situatie gaat het juist om public ip op dmz(eth2).
02-12-2005, 09:57 door SirDice
Door Anoniem
Je spreek nu over privet ip op dmz,dat valt met SNAT naar ip
van wan(eth0)
te regelen.In mijn situatie gaat het juist om public ip op
dmz(eth2).
Waarom zonder NAT? Da's in jouw situatie niet
(makkelijk?) te doen namelijk..
02-12-2005, 11:42 door Anoniem
Dat weet ik, het geeft toch niets.
Het is wel te doen,ik weet het zeker.
Want bij "checkpoint FW" is wel te doen zonder SNAT en die gebruikt
volgens mij dezelfde "iproute 2" package.Ik weet dat het aan de routing ligt,
de vraag is waar ?
02-12-2005, 12:07 door SirDice
Het is geen routing probleem.. Dat kan ook niet omdat zowel eth0 (wan) als eth2 (dmz) in hetzelfde subnet zouden hangen. Je kan dan niet tussen die interfaces routeren (routeren doe je tussen verschillende subnetten).. Maar wellicht krijg je het voor elkaar met bridging?
02-12-2005, 15:29 door Anoniem
Kan ik dan blijven Firewallen ?
02-12-2005, 16:25 door SirDice
Yep....

Je kan met bridging zelfs een transparante firewall maken..
Hierbij heeft de firewall zelf geen IP adres. Die kun je
tussen 2 bestaande machines in hangen zonder dat je gelijk
moeilijk moet doen met ip adressen, routering etc.. Beide
machines hebben dan niet door dat er een machine tussen zit.
Ze 'zien' elkaar zelfs op laag 2.
02-12-2005, 16:52 door Anoniem
Bedankt ! SirDice. Het is uiteindelijke duidelijke geworden.
Maar dan nog een vraagje, zou ik "ebtables" kunnen gebruiken ?
Volgens mijn is het in Slackware 10.2 kernel 2.4.31 niet als standaart
gecompileerd of beter gezegd niet inbegrepen.
07-12-2005, 19:36 door G-Force
Firewall controleren? Ga daarvoor naar:

https://www.grc.com/x/ne.dll?bh0bkyd2
08-12-2005, 12:08 door SirDice
Nu ben ik niet zo heel erg thuis op Linux maar de FAQ van
ebtables zegt het volgende:
What is ebtables?
The ebtables project is the Linux 2.6 (and above) Link Layer
firewalling subsystem, a patch for the latest 2.4 kernel is
also maintained. It delivers for Linux the functionality of
Ethernet frame filtering, MAC NAT (Network Address
Translation), logging and brouting. The ebtables
infrastructure is a part of the standard Linux 2.6 (and
above) kernels.
Lijkt me dus dat geen enkele distro, die gebruik maakt van
de 2.4 kernel, dit heeft inbegrepen. Je zult het dus met de
hand moeten toevoegen. Of een distro met een 2.6 kernel
kiezen natuurlijk..
08-12-2005, 12:22 door sikkes
slackware heeft ook een 2.6.x kernel als je die zou willen
gebruiken.

http://distrowatch.com/weekly.php?issue=20040628#1
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.