Re: 2 Wege ins Netz - braucht man zwei ip-stacks?

From: Bernd Walter <ticso(at)cicely8.cicely.de>
Date: Thu, 6 Feb 2003 00:07:59 +0100



On Wed, Feb 05, 2003 at 11:54:26PM +0100, Ingo Rohlfs wrote:


> Subject nicht ganz ernst nehmen :-)


> Ich knobel gerade an folgendem Routing/Natting Problem rum:


> 


> 4 Leitungen treffen auf eine FreeBSD-Firewall:


> eine Standleitung (128MBit) und eine DSL-Wählleitung.


> Dahinter ist eine DMZ und ein internes Netz.


> 


>     |         	|


>     DSL		Standleitung


>     | 		|


>    ---------------


>    |  FreeBSD    |


>    ---------------


>     |		|


>     Intranet	DMZ


> 


> 


> Es soll so funktionieren:


> Möglichst viele Verbindungen vom Intranet nach draussen sollen über die 


> DSL-Leitung gehen, ausser das Versenden von Emails. 


> Das muss über die Standleitung gehen (Blackhole-Listen). 


> Alle Anfragen an die DMZ, emails etc. kommen über die Standleitung.


> 


> Schwierig. 



Nicht wirklich - die Lösung hast du ja bereits.



> Variante 1):


> Ich setze die default-Route nach draussen auf DSL und mache mit ipfilter ein 


> Redirekt von port 25 auf die Standleitung.


> Dann muss ich noch den Eingang der Standleitung (invers) natten, damit die


> Pakete von der Standleitung wissen, wie sie zurück müssen.


> Selbst wenn das geht: Die Logbücher der Webserver werden monoton sein!



Die Logfiles der anderen können dir ja egal sein :)



> Variante 2):


> Ich schicke alles über die Standleitung, ausser http und ftp von innen 


> nach aussen. Dafür mache ich je ein rdr mit ipfilter auf die DSL-Leitung.


> Das müsste doch klappen, oder? 



Protokolle wie ftp, die weitere Verbindugnen aufmachen können sind


meist einfacher über default abzuwickeln.


Ich würde das per ipfw + ppp/natd machen, aber das ist meine eigene


Preferenz.


natd über den pp hat den Vorteil, das die Packete nicht mehrfach zu


einem Userprozess müssen und das man in den Filterregeln nichts damit


zu tun hat.


Aber ansonsten sehe ich da kein Problem.


Alternativ gibt es inzwischen Sourcen, die einen Minirouter innerhalb


eines aufgebohrten Jails implementieren, habe ich allerdings selber noch


nicht genauer betrachtet geschweige denn getestet.



-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 06 Feb 2003 - 00:08:13 CET













search this site