[fli4l] DMZ mit 3.10.4

Thomas Grunenberg tho_gru at web.de
So Nov 1 17:15:10 CET 2015


Am 01.11.2015 um 13:53 schrieb Florian:
> Hallo Thomas,
>
> ich antworte mal parallel in die NG, da ich nicht sicher bin, ob es von
> dir ein Versehen war, nur an mich direkt zu antworten.
>

Sorry, das war so nicht gedacht. Hab den falschen Knopf in Thunderbird 
gedrückt...

>>> Wohin soll er zugreifen können? Auf das Internet?
>>>
>>>> Die Details zur DMZ Konfiguration sind:
>>>> ######################################
>>>> PF_INPUT_3='if:IP_NET_2_DEV:any usr-dmz-input'
>>>> PF_INPUT_3_COMMENT='INPUT rules for DMZ'
>>>
>>> D.h. IP_NET_2 ist das DMZ Segment?
>> Genau. Die DMZ hängt hinter IP_NET_2 und das geschüzte LAN hängt an
>> IP_NET_1.
>
>>> Was genau funktioniert denn nicht? Geht ein Ping auf eine IP-Adresse?
>>> Oder kommen evtl. nur die Antworten nicht zurück?
>>> Geht die DNS Namenauflösung (nicht)?
>> Der Hinweis auf die IP-Adresse war hilfreich. Ein ping auf die
>> IP-Adressen vom Router als auch ins Internet (z.B. 8.8.8.8 - DNS Server
>> von google) funktioniert. Ich habe das vorher nur mit den Namen versucht.
>>
>> Die Namensauflösung scheint nicht zu funktionieren.
>
> Dann ist das das Problem.
>
>> Aus der 3.10.3 Konfiguration habe ich folgendes in dns_dhcp.txt
> übernommen:
>> ######################################
>> OPT_DNS='yes'
>> DNS_BIND_INTERFACES='yes'
>> DNS_LISTEN_N='1'
>> DNS_LISTEN_1='IP_NET_1_IPADDR'
>> ######################################

Nebenbei: Wieso hat diese Einstellung so unter 3.10.3 funktioniert?

>
> Und hier lieg die Lösung. Sofern der DNS Server nicht an dem Interface
> Richtung DMZ horch, können die Rechner in der DMZ auch keine Namen
> auflösen - weder interne noch externe.
>
> Daher solltest du noch einen weiteren Eintrag vornehmen und DNS_LISTEN_N
> um eins erhöhen:
>
> DNS_LISTEN_N='2'
> DNS_LISTEN_1='IP_NET_1_IPADDR'
> DNS_LISTEN_2='IP_NET_2_IPADDR'
>
Leider ist das nicht die Lösung. Eingebaut, neu gestartet, geht nicht. 
Deinen Korrektur-Vorschlag wieder ausgebaut. Hinweis: Der Server in der 
DMZ ist so konfiguriert, dass er IP_NET_1_IPADDR als DNS-Server nutzt.

Wenn ich auf dem Rechner in der DMZ bin, den funktioniert ein ping auf 
IP_NET_1_IPADDR. Ein ping auf IP_NET_2_IPADDR funktioniert auch. Ein 
ping auf 8.8.8.8 geht immer noch.

Vom router funktioniert ein ping sowohl auf den Namen als auch auf die 
IP-Adresse der Rechners in der DMZ.

nslookup auf dem Rechner in der DMZ bringt immer einen timeout Fehler 
(connection timed out; no servers could be reached), wenn es nach der 
IP-Adresse von google.de gefragt wird.

Kann man irgendwie heraus bekommen, aufgrund welcher (eventuell 
fehlender) Regel die Firewall die DNS-Pakete verwirft?

Gruß
Thomas


Mehr Informationen über die Mailingliste Fli4L