[fli4l] externe domain konfigurieren

Thomas Grunenberg tho_gru at gmx.de
So Jul 2 20:14:01 CEST 2017


Am 02.07.2017 um 20:00 schrieb Matthias Taube:
> Am 02.07.2017 um 19:16 schrieb Thomas Grunenberg:
>  > Ich verstehe nicht genau, wofür das gut sein soll, was Du willst.
>  >
>  > Hinter meinem fli4l gibt es zwei Netze:
>  > 1) mein LAN
>  > 2) meine DMZ
>  > Jedes dieser Netze hat im fli4l einen Domainnamen bekommen. Für die
>  > Rechner in der DMZ habe ich ein entsprechendes Portforwarding im fli4l
>  > eingerichtet.
>  >
>  > Ich betreibe einen Rechner in einer DMZ, dessen domain über einen dyndns
>  > Server aufgelöst wird. Deswegen ist ein Rechner in der DMZ über zwei
>  > Namen erreichbar: den öffentlichen Namen (aufgelöst über den dyndns
>  > Dienst) und seinen internen Domain Namen.
> 
> Das ist ungefähr meine Konfiguration, mit Ausnahme dass dass ich eine 
> feste IP habe und deshalb kein DYNDNS nötig ist.
> 
>  > Meinem Verständnis (hoffentlich ist das keine Einbildung) nach besteht
>  > aber für die Rechner in meinem LAN aber praktisch kein Unterschied, denn
>  > die Netzwerkpakete verlassen ja in keinem Fall den fli4l: Sowohl die
>  > Paket an die öffentliche IP als auch die an die IP aus der DMZ gehen
>  > "direkt" zu Rechner in der DMZ. Eventuell laufen die Pakete an die
>  > öffentliche IP noch über das Interface des fli4l, welches die Verbindung
>  > zum Internet herstellt. Ich gehe aber davon aus, dass diese Paket den
>  > fli4l nicht verlassen (der Router weiß ja welche öffentliche IP er hat
>  > und schickt die Paket "direkt" zur DMZ). Da die Hardware meines fli4l
>  > "groß" genug ist, mache ich mir darüber keine Sorgen.
> 
> Es gibt einen Unterschied, und zwar für Ports bei denen kein 
> Portforwarding auf dem fli4l eingerichtet ist.
> 
> Aus dem Internet soll (und braucht) man nicht per ssh auf den Mailserver 
> zugreifen. Deshalb ist für den Port kein Portforwarding eingerichtet.
> 
> Wenn mail.beispiel.de auf die öffentliche IP des fli4l verweist, dann 
> führt ein ssh root at mail.beispiel.de auf den fli4l und nicht auf den 
> mailserver. Falls mail.beispiel.de auf die interne IP verweist, geht das 
> eben von intern auf mail.beispiel.de.
> 
>  > Wenn ich dich richtig verstehe, möchtest Du das der mail.beispiel.de in
>  > deinem LAN auf die interne IP Deiner DMZ verweist, während im Internet
>  > dieser Name auf die externe IP auflöst. Das würde aber bedeuten, dass Du
>  > die Konfiguration Deines fli4l nicht aus Deinem LAN mehr testen 
> könntest.
> 
> Ein Test des Verhaltens des fli4l beim Verbindungsaufbau von außen kann 
> ich auch nur von außen machen, auch in Deiner Konfiguration bestehen da 
> unterschiede. Firewallregeln wie IP_NET_1 ACCEPT in der Forward-chain 
> filtern ja auf die Quelle und nicht auf das Ziel.
> 
> LG
> Matthias

Hi Matthias,

Für meinen Rechner in der DMZ habe ich einfach folgendes in der 
dns_dhcp.txt eingetragen:
############################################
HOST_17_NAME='rechner'
HOST_17_IP4='IP in DMZ'
HOST_17_DOMAIN='dmz-domain'
HOST_17_MAC='aa:bb:cc:dd:ee:ff'
HOST_17_DHCPTYP='mac'
############################################

Du kannst ja mal versuchen, ob Du bei HOST_xx_DOMAIN Dein beispiel.de 
eintragen kannst.

Gruß
Thomas


Mehr Informationen über die Mailingliste Fli4L