[fli4l] imond in DMZ durch firewall erreichen
Friedrich Bartel
FrBartel at hotmail.com
Sa Feb 1 15:50:27 CET 2014
Am 19.01.2014 13:22, schrieb Kay Martinen:
> Hallo.
>
> ich hab den fli aktuell hinter einem zentyal gateway und überlege wie
> ich; speziell mit meinen imonc clients; am besten an den imond dort komme.
Ob das von der Konfiguration her mit allen Clients auf einen Port geht,
da muss man sehen, was die Gateway-PC-Firewall an Regeln zulässt.
>
> Mit einem Portforward gehts schon mal, dabei müssen die imonc aber die
> interne adresse des gate-pc ansprechen.
Der Gateway-Rechner muss die Arbeit des Durchleitens erledigen.
Dazu muss über Port 5000 ein Loch in seine Firewall gebohrt werden.
> http://wiki.ipfire.org/de/configuration/firewall/dmzpinholes
In dem Falle wäre Blau ein Client und Green der FLi4l.
Je nach dem wie die Gateway-PC Firewall von der Konfiguration zulässt,
können auch mehr Rechner dann über den Port zu Fli4l.
Verschiedene DMZ:
>
http://wiki.hackerboard.de/index.php/DMZ_%28demilitarized_zone%29#Zugriffsm.C3.B6glichkeiten_der_Rechner_pro_Netz
> Ich bin mir nicht sicher ob das
> eine gute idee ist. Der bietet soweit ich weiß zwar kein uPnP (port
> 5000) was damit kollidieren könnte aber der hat auch so genug ports
> offen. z.b. ssh und http weshalb die nicht für ein PF in frage kommen.
> Und die ports will ich deswegen nicht umbiegen.
Ist nur einer, Imonc. Manchmal zwei, sftp für Fli4l updates.
>
> Aktuell sträubt sich dieses gateway noch mich anders als mit einem
> portforward an den fli zu lassen. Doch das gehört hier nicht her.
>
> Gibt es bekannte probleme wenn man die fli-eigenen dienste über eine
> firewall anspricht? Das wären ja im einzelnen ssh, http, imond und
> telmond. Und syslog evtl. noch in umgekehrter Richtung (zum Gate)
Welche Aufgabe soll der Fli in der DMZ haben? Läuft er nur mit? Was
soll er tun? FTP, Proxy oder WEB-Server? Warum kann er nicht LAN-seitig
im Netz stehen? Wer keine Passwörter hat kommt auch nicht auf den Fli4l.
>
> Im Moment bin ich mit dieser sache noch am testen. D.h. es ist ein
> zweiter interner router im einsatz und der FLI dient nur als (Nicht
> internet-verbundene) Gegenstelle in der DMZ zum Testen. Das will ich
> auch so lassen bis ich sicher sein kann das ich mich nicht selbst vom
> Internet abtrenne wenn ich auf diese Lösung umschalten würde.
Also das Routing in WAN übernimmt wohl der Gateway-PC, welcher aber
eine eigene Firewall hat, die nichts zum FLI4l durchlässt.
>
> Solange ich nicht mal den FLI erreiche hat das m.E. keinen Sinn. :-/
>
>
> Kay
Friedrich
Mehr Informationen über die Mailingliste Fli4L