Re: ipfw Portforwarding

From: Bernd Walter <ticso(at)mail.cicely.de>
Date: Wed, 27 Jun 2001 00:40:50 +0200



On Tue, Jun 26, 2001 at 08:40:24AM +0200, Gordon Bergling wrote:


> Guten Morgen Leute.


> 


> Ich sitze gerade vor der Installation einer neuen, auf FreeBSD basierenden, Firewall.


> Das Ding soll bis auf ein paar Kleinigkeiten einen Portforwarding auf einen internen Rechner


> mappen. Das ganze stelle ich mir, wiefolgt vor:


> 


> -----Router--------


>         |


>         |


> -----Firewall------


>         |


>         |


> -----Webserver-----


> 


> Der Firewall hat eine offizelle IP und bekommt einen Anfrage auf Port 80 von


> drausen. Diese soll umgeleitet werden auf die IP-Adresse des Webservers.


> 


> Laut der Man-Page von ipfw müßte eigentlich folgendes passen:


> 


> ipfw add fwd tcp from ${firewall},80 to ${http},80 via ${oif}



Hoert sich an als ob es funktionieren muesste.


Voraussetzung ist jedoch, das du die Offizielle IP der Firewall auf dem


Loopback des Webserver als alias configurierst.



> Würde das ganze eurer Meinung nach überhaupt in dieser Art und Weise Sinn


> machen?


> Es existieren drei Subnets um die Firewall. Eines zum Router, ein anderes


> zum Webserver und eines ins Intranet, weil der Webserver eine interne


> Datenbank benötigt.


> 


> Habe ich in der obrigen Skizze der Einfachheit halber weg gelassen.


> 


> Eine andere Verständnissfrage, wäre noch ob ipfw eigentlich nur ankommende


> Packet an den Webserver schickt oder auch die Antworten an die Host im


> Internet zurücksendet. Ob wohl das doch schon wieder dem NAT gleicht, oder?



Der Webserver weis ja nichts davon das er die Daten per Trick bekommen


hat und melded sich unter der geteilten IP direkt ohne Tricks beim


Client zurueck.



> Junge junge ist das wieder kompliziert... ;)



Ja - und fehlertraechtig weil eine IP auf mehreren Maschinen


gleichzeitig konfiguriert ist.


Besser weil ueberschaubarer ist wie bereits vorgeschlagen


mittels natd.


Du setzt einfach eine natd config auf als wenn du normales n:1 nat


machen willst - evtl kannst du mit den ipfw rules nur die wirklich


fuer deinen Fall benoetigten Packete zum natd schicken.


In der natd.conf traegst du dann etwas in der Art ein:


redirect_port   tcp 10.1.6.9:80 80 # http


Das bewirkt das alle Requests an die alias IP Port 80 zum Rechner


10.1.6.9 Port 80 umgesetzt werden und der natd auch rueckuebersetzt.



-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Wed 27 Jun 2001 - 00:40:59 CEST













search this site