dmz iptables öffentliche ip

[Hr_Rossi]

Hallo Leute !

Bin neu und möchte mal alle recht herzlich begrüssen

Ich hab ein Problem mit meiner iptables firewall !!

So folgendes:




INTERNET_IF=eth2

DMZ_IF=eth1

LAN_IF=eth0







So nun habe ich folgendes konfiguriert !!



Iptables –t nat –A POSTROUTING –o $INTERNET_IF –j SNAT –to-source $INETRNET_IP



So mit dieser regel erhalten alle pakete die beim internet interface rausgehn die gleiche addresse !!


Ich will aber das die DMZ die eine öffentliche ip hat nicht diese ip bekommt sondern ihre beibehält !!

Also nochmal !

Alles was in die DMZ gelangen soll soll nicht genatet werden sonder nur ein normales routing !
Alles was ins lan kommt soll genatet werden !! und die pakete die vom lan kommen sollen dann die ip vom internet if bekommen , das tun sie ja jetzt !!

ich hoff irgendjemand kann mir helfen

mfg
rossi

 

[Martin Breidenbach]

Das macht man üblicherweise anders.

Man bindet an das externe Interface mehrere Adressen (alle öffentlichen Adressen die genutzt werden sollen). Der DMZ gibt man private Adressen. Die Übersetzung dazwischen wird über NAT gemacht.

Das funktioniert.

 

[Hr_Rossi]

hallo erstmal und danke für die antwort !!

ich will kein nat in die dmz machen, weil ich von dort aus einen vpn-ipsec gateway hab und da macht nat nur probleme !

will nur nat ins lan haben und in die dmz normales routing !

in der dmz hängt dann eine zywall mit einer öffentlichen ip die mir einen tunnelendpunkt von ipsec bietet !!

mfg
rossi

 

[gaw]

Du kannst den Befehl auch beschränken:

/usr/sbin/iptables -A POSTROUTING -t nat -s $IP_NETADRESSE_MIT_MASKE -o $INTERNET_IF -j SNAT --to-source $INETRNET_IP

Beispiel:
$IP_NETADRESSE_MIT_MASKE="192.168.1.0/24"
oder
$IP_NETADRESSE_MIT_MASKE="192.168.1.0/255.255.255.0"

mfG
gaw