[fli4l] DMZ mit Fli4l 3.10.1

Christoph Schulz fli4l at kristov.de
So Feb 1 13:28:22 CET 2015


Hallo!

Torsten Kästel schrieb:

> Wenn meine Vermutung stimmt, hat die DMZ Konfiguration im fli4l 3.6.2
> dafür gesorgt, dass die IP-Adresses der internen Server 192.168.6.x
> umgeschrieben wurde auf die IP-Adresse des fli4l 192.168.8.254, die er
> in der DMZ hatte. 

Dann fehlt dir in deiner jetzigen Konfiguration ein SNAT (Source NAT). Da 
ich deine Netze nicht so ganz im Kopf habe, du aber immerhin erzählt hast, 
dass IP_NET_2 deine DMZ ist, brauchst du ein

PF_POSTROUTING_x='IP_NET_1 IP_NET_2 SNAT:IP_NET_2_IPADDR'

damit die Pakete, die von IP_NET_1 nach IP_NET_2 wandern, die fli4l-Adresse 
des IP_NET_2-Netzes erhalten. So sehen die DMZ-Server nie Pakete aus 
IP_NET_1, sondern nur vom Router (von der Adresse IP_NET_2_IPADDR) kommen.

Das steht auch so ähnlich im Wiki drin, Abschnitt "damit das was raus geht 
auch ne 'richtige' Adresse bekommt", wenn auch mit MASQUERADE statt mit 
SNAT, was aber fast dasselbe ist. SNAT ist in deinem Anwendungsfall aber zu 
bevorzugen, da alle beteiligten Adressen statisch vergeben sind. MASQUERADE 
verwendet man, wenn die neue Quelladresse dynamischer Natur ist, etwa die 
WAN-Adresse vom Internet-Provider.


Viele Grüße,
-- 
Christoph Schulz
[fli4l-Team]



Mehr Informationen über die Mailingliste Fli4L