[fli4l] externe domain konfigurieren

Matthias Taube no_html.max50kb at nurfuerspam.de
So Jul 2 20:00:55 CEST 2017


Am 02.07.2017 um 19:16 schrieb Thomas Grunenberg:
 > Ich verstehe nicht genau, wofür das gut sein soll, was Du willst.
 >
 > Hinter meinem fli4l gibt es zwei Netze:
 > 1) mein LAN
 > 2) meine DMZ
 > Jedes dieser Netze hat im fli4l einen Domainnamen bekommen. Für die
 > Rechner in der DMZ habe ich ein entsprechendes Portforwarding im fli4l
 > eingerichtet.
 >
 > Ich betreibe einen Rechner in einer DMZ, dessen domain über einen dyndns
 > Server aufgelöst wird. Deswegen ist ein Rechner in der DMZ über zwei
 > Namen erreichbar: den öffentlichen Namen (aufgelöst über den dyndns
 > Dienst) und seinen internen Domain Namen.

Das ist ungefähr meine Konfiguration, mit Ausnahme dass dass ich eine 
feste IP habe und deshalb kein DYNDNS nötig ist.

 > Meinem Verständnis (hoffentlich ist das keine Einbildung) nach besteht
 > aber für die Rechner in meinem LAN aber praktisch kein Unterschied, denn
 > die Netzwerkpakete verlassen ja in keinem Fall den fli4l: Sowohl die
 > Paket an die öffentliche IP als auch die an die IP aus der DMZ gehen
 > "direkt" zu Rechner in der DMZ. Eventuell laufen die Pakete an die
 > öffentliche IP noch über das Interface des fli4l, welches die Verbindung
 > zum Internet herstellt. Ich gehe aber davon aus, dass diese Paket den
 > fli4l nicht verlassen (der Router weiß ja welche öffentliche IP er hat
 > und schickt die Paket "direkt" zur DMZ). Da die Hardware meines fli4l
 > "groß" genug ist, mache ich mir darüber keine Sorgen.

Es gibt einen Unterschied, und zwar für Ports bei denen kein 
Portforwarding auf dem fli4l eingerichtet ist.

Aus dem Internet soll (und braucht) man nicht per ssh auf den Mailserver 
zugreifen. Deshalb ist für den Port kein Portforwarding eingerichtet.

Wenn mail.beispiel.de auf die öffentliche IP des fli4l verweist, dann 
führt ein ssh root at mail.beispiel.de auf den fli4l und nicht auf den 
mailserver. Falls mail.beispiel.de auf die interne IP verweist, geht das 
eben von intern auf mail.beispiel.de.

 > Wenn ich dich richtig verstehe, möchtest Du das der mail.beispiel.de in
 > deinem LAN auf die interne IP Deiner DMZ verweist, während im Internet
 > dieser Name auf die externe IP auflöst. Das würde aber bedeuten, dass Du
 > die Konfiguration Deines fli4l nicht aus Deinem LAN mehr testen könntest.

Ein Test des Verhaltens des fli4l beim Verbindungsaufbau von außen kann 
ich auch nur von außen machen, auch in Deiner Konfiguration bestehen da 
unterschiede. Firewallregeln wie IP_NET_1 ACCEPT in der Forward-chain 
filtern ja auf die Quelle und nicht auf das Ziel.

LG
Matthias


Mehr Informationen über die Mailingliste Fli4L