• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

[gelöst] masquerading - möglichkeitsfrage

einfalt

Newbie
hallo gemeinde,

hab mich gerade hier registriert in der hoffnung geholfen zu werden.
mein nick sagt es, bin mitunter recht naiv, aber das ist auch gut so.

bin erwiesenermaßen ein linux-newbie, habe es aber trotzdem geschafft mit suse eine hostingplattform aufzusetzen, weil, große ziele braucht der mensch, jaja.

ok, das war nicht das problem, klingt komisch, ist aber so, es wird komplizierter:

ich, nicht gelangweilt, habe davor eine kiste montiert, die mit open-suse eine unglaublich tolle firewall darstellt und alle verbindungen via masquerading zum server rüberschiebt.

in sachen funktionalität gibt es nur ein winzigkleines problem:
alle logs sämtlicher verbindungen am server selbst zeigen als source nicht die tatsächliche ip, sondern (erraten!), die meiner firewall-kiste.

simple frage: ist meine architektur schrott, oder bin ich blöd (ja, grundsätzlich schon, aber ich mein speziell in diesem kontext).

bitte um konstruktive antworten (oder fundierte verarschungen, je nachdem).

--
mag keine grußfloskeln, also ein einfaches
danke,
einfalt
 
Was für ein Server?
Ist doch logisch... wenn die FW den Client masqueradet, dann sieht man beim Webserver nur die IP der FW, das ist genau das, was man mit masquerade üblicherweise erreichen will.
 
OP
E

einfalt

Newbie
Martin Breidenbach schrieb:
Details please... vor allem wie das NAT in der Firewall gemacht wird.

Code:
FW_QUICKMODE no
FW_DEV_EXT eth1-mac
FW_DEV_INT eth2-mac
FW_DEV_DMZ
FW_ROUTE yes
FW_MASQUERADE yes
FW_MASQ_DEV $FW_DEV_EXT $FW_DEV_INT
FW_MASQ_NETS 0/0
FW_PROTECT_FROM_INTERNAL no
FW_AUTOPROTECT_SERVICES no
FW_SERVICES_EXT_TCP 21 53 http https imap imaps pop3 pop3s smtp ssh
FW_SERVICES_EXT_UDP 53
FW_SERVICES_EXT_IP
FW_SERVICES_EXT_RPC
FW_SERVICES_DMZ_TCP
FW_SERVICES_DMZ_UDP
FW_SERVICES_DMZ_IP
FW_SERVICES_DMZ_RPC
FW_SERVICES_INT_TCP
FW_SERVICES_INT_UDP
FW_SERVICES_INT_IP
FW_SERVICES_INT_RPC
FW_SERVICES_DROP_EXT
FW_SERVICES_REJECT_EXT 0/0,tcp,113
FW_SERVICES_QUICK_TCP
FW_SERVICES_QUICK_UDP
FW_SERVICES_QUICK_IP
FW_TRUSTED_NETS
FW_ALLOW_INCOMING_HIGHPORTS no
FW_ALLOW_INCOMING_HIGHPORTS no
FW_FORWARD
FW_FORWARD_MASQ 0/0,aaa.aaa.aaa.aaa,tcp,80,80,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,tcp,81,81,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,tcp,53,53,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,udp,53,53,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,tcp,21,21,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,tcp,25,25,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,tcp,110,110,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,udp,53,53,yyy.yyy.yyy.yyy 0/0,aaa.aaa.aaa.aaa,tcp,53,53,yyy.yyy.yyy.yyy aaa.aaa.aaa.aaa/32,aaa.aaa.aaa.aaa,tcp,25,25,xxx.xxx.xxx.xxx 0/0,aaa.aaa.aaa.aaa,tcp,3306,3306,xxx.xxx.xxx.xxx
FW_REDIRECT
FW_LOG_DROP_CRIT yes
FW_LOG_DROP_ALL no
FW_LOG_ACCEPT_CRIT yes
FW_LOG_ACCEPT_ALL no
FW_LOG_LIMIT
FW_LOG
FW_KERNEL_SECURITY yes
FW_ANTISPOOF no
FW_STOP_KEEP_ROUTING_STATE no
FW_ALLOW_PING_FW yes
FW_ALLOW_PING_DMZ no
FW_ALLOW_PING_EXT no
FW_ALLOW_FW_TRACEROUTE no
FW_ALLOW_FW_SOURCEQUENCH yes
FW_ALLOW_FW_BROADCAST int
FW_IGNORE_FW_BROADCAST no
FW_ALLOW_CLASS_ROUTING no
FW_CUSTOMRULES
FW_REJECT no
FW_HTB_TUNE_DEV
FW_IPv6
FW_IPv6_REJECT yes
FW_IPSEC_TRUST no

wobei
xxx.xxx.xxx.xxx offizielle ip #1
yyy.yyy.yyy.yyy offizielle ip #2
aaa.aaa.aaa.aaa server im lan

Was für ein Server?
FW ist opensuse 10.0 mit susefirewall2
server suse 9.2 pro mit ISP-Config

Ist doch logisch... wenn die FW den Client masqueradet, dann sieht man beim Webserver nur die IP der FW, das ist genau das, was man mit masquerade üblicherweise erreichen will.

keine ahnung was man mit masquerading sonst üblicherweise so macht, mir ging's in erster linie darum einen puffer zwischen server und bösem internet zu haben (nachdem der server allein im netz einer ziemlichen flut von angriffen ausgesetzt war und ich es nicht geschafft habe die firewall serverseitig performant einzurichten).

also so, dass zuerst die firewall als server angesprochen wird und bei unbedenklichem traffic zu server weiterroutet, was ja grundsätzlich auch perfekt funktioniert, bis auf das beschriebene source-problem.

diese konstruktion hat für mich zudem den vorteil, dass ich bedenkenlos bsplw. cronjobs laufen lassen kann, die im serverbetrieb nicht möglich/bedenklich sind. auch sind auf der firewall-kiste tools wie fail2ban montiert, log-analyser, etc...

danke,
einfalt
 
OP
E

einfalt

Newbie
gelöst.
falsch:
FW_MASQ_DEV $FW_DEV_EXT $FW_DEV_INT
richtig:
FW_MASQ_DEV $FW_DEV_EXT

es muss nur eingehender traffic maskiert werden.

danke,
einfalt
 
Oben