Susefirewall2 forward_masq

Hi,

ich möchte in der DMZ zwei Webserver hochziehen, ein Webserver(192.168.6.1) IIS & ein Webserver(192.168.6.2) Apache2. Beide
Webserver sollen auf Port 80 erreichbar sein.

Das ganze sollte über FW_Forward_masq laufen. Wie könnte man das am besten machen, ist das überhaupt möglich? Ich denke mal eher nicht das ja vom MZ Adapter ein Forward von Port 80 nur auf einen Server in der DMZ möglich ist. Könnte man aber z.b auf dem MZ Adapter eine weitere öffentliche IP einrichten und dann evtl. so forwarden?

Mir Forward-Masquerading maskierst du den vom Internet eingehenden Verkehr, der auf deine beiden Maschinen in der DMZ zugreifen möchten.

Sollen die Server nur vom LAN aus erreichbar sein oder auch vom Internet aus?

Ja, aber wenn ich in der DMZ private Adressen verwende und ich ein FW_Forward_masq z.b 0/0,192.168.6.20,tcp,80 eintrage öffnen ich ja
damit auf der MZ Seite ja Port 80 und leite Pakete an den Server in der DMZ auf Port 80 weiter. Wenn ich aber einen 2ten Webserver verwenden möchte(anderer host) kann das ja nicht funzen weil ich ja auf der FW entscheiden muß welche eingehende Pakete an Port 80 auf welchen Host weitergeleitet werden.

Wenn ich sowas möchte müßte ich doch in der DMZ öffentliche IP verwenden !?!

Nein, die IP muss nicht "öffentlich" werden bzw. deine Server brauchen erst eine öffentliche IP, wenn sie vomInternet aus ereichbar sein sollen. Ausserdem müsstest du dir dann eine Domain registrieren, einen DNS- Server aufsetzen, der am Internet hängt usw. (DNS für die Namensauflösung u. damit die DNS- Server des Internets auch die IP deines Servers in einen Namen auflösen können.)

Ja, der Webserver ist doch aus dem Internet erreichbar, Domain hab ich schon und einen eigenen DNS Server brauche ich nicht da der Webserver in der DMZ einfach einen DNS Server im Internet verwendet. Vielleicht ist meine Frage nicht klar rübergekommen.





Auf der FW ist ein Forward_masq(dnat) von Port 80 auf den Webserver Port 80 in der DMZ eingerichtet. Wenn ich jetzt einen weiteren Webserver in die DMZ stellen möchte der auch auf Port 80 erreichbar sein soll muß ich anderst vorgehen, die Frage ist nur wie?

In der DMZ arbeite ich mit privaten Adressen.

=BaSe= schrieb:

Wenn ich jetzt einen weiteren Webserver in die DMZ stellen möchte der auch auf Port 80 erreichbar sein soll muß ich anderst vorgehen, die Frage ist nur wie?

Zum Vergrößern anklicken....

Im Prinzip nicht, du musst dir nur mal die Beschreibung von FW_Forward_masq durchlesen.
Syntax:

• 
  <source network>,<ip to forward to>,<protocol>,<port>[,redirect port,[destination ip]]

Wenn redirect por nicht explizit angegeben wird entspricht dieser port, weiterleiten an gleichen Port anderer Rechner.
Wenn destination ip nicht explizit angegeben wird, entspricht diese dem externen Interface.
FW_Forward_masq=0/0,192.168.6.1,tcp,80 entspricht also 0/0,192.168.6.1,tcp,80,80,deine_externe_ip. Damit ist dann auch klar wie die Regel für den zweiten Server aussehen muss:

• 
  FW_Forward_masq=0/0,192.168.6.2,tcp,80,80,deine_zweite_externe_ip

Dazu muss aus sicht des Providers, deine Firwall (erste externe IP) der Router zu deinem Subnetz sein.

Kleiner Nachtrag:

• 
  Habe gerade deinen anderen Thread gesehen, da ist mir aufgefallen das sich deine Angaben zu den Webservern wiedersprechen.
  Webserver(192.168.6.1) IIS & ein Webserver(192.168.6.2) Apache
  und
  FW_Forward_masq z.b 0/0,192.168.6.20,tcp,80
  
  Bin davon ausgegangen 192.168.6.1 alter Web-Server 192.168.6.2 neuer Web-Server.
  

Nein im Prinzip war das hier nur ein Beispiel.

In der DMZ habe ich zwei verschiedene Webserver, eine Apache(192.168.6.20) und ein Domino Server (192.168.6.21).

Beide sollen aus dem Internet mir Port 80 ansprechbar sein.

Die Frage die sich stellte, wie können beide Webserver aus dem Internet erreichbar sein wenn ich ein Forwarding von der Firewall(80) auf den einen Webserver, und ein weiteres Forwarding von der Firewall(80) auf den Domino Server.

=BaSe= schrieb:

Die Frage die sich stellte, wie können beide Webserver aus dem Internet erreichbar sein wenn ich ein Forwarding von der Firewall(80) auf den einen Webserver, und ein weiteres Forwarding von der Firewall(80) auf den Domino Server.

Zum Vergrößern anklicken....

Naja durch zwei Regeln halt, man darf ruhig mehrere davon angeben. Mittlerweile hat YaST im Firewall-Modul dafür sogar einen Dialog drin.

• 
  FW_Forward_masq="0/0,192.168.6.20,tcp,80 0/0,192.168.6.21,tcp,80,80,deine_zweite_externe_ip"