Firewall oder Routing Problem beim DMZ Aufbau

Sat, 27 Mar 2010 15:08:52 -0700 

Hallo Liste,

Ich versuche seit Stunden folgendes Problem zu lösen:
Ich habe einen VPN Zugang mit statischen IP Adressen. Der "Endpunkt" des Tunnels liegt bei mir in einem ASUS Router mit nem Openwrt drauf. Der Endpunkt liegt in einem tun device. Ein tap device ist nicht möglich. Der Sinn des Tunnels ist eine DMZ aufzubuen und von draussen logischerweise zu erreichen. Ich habe noch ein "internes" Netz von dem aus ich auch die dmz erreichen möchte. Da ich nu nnicht den kompletten Netzwerk Verkehr über das VPN schicken möchte cheidet der Einsatz des redirect-gateway aus. Da bleibt nch meinen Informtionen nur noch entweder policy baed Routing, oder SNAT/DNAT in ein entsprechend konfiguriertes Netzwerk. 

Auf der Policybased Routing Basis habe bereits folgendes Script getestet:
#! /bin/sh

ip route flush cache
ip route flush table 100
ip rule del from $öffentliche_ip table 100

ip rule add from $öffentliche_ip table 100
ip route add 192.168.0.0/24 dev br-lan via 192.168.0.2 table 100
ip route add 192.168.1.0/24 dev br-open via 192.168.1.1 table 100
ip route add default dev tun0 via $VPN_Endpunkt table 100
Das ganze funktioniert soweit daß ich zwar vom internen LAN in die DMZ komme und auch von extern. Ich kann aber leider keine Verbindung aus der DMZ ins Internet aufbauen. Slebst ein komplettes Freigeben der Interfaces wie iptbles -A FORWARD .i tun0 -j ACCEPT hilft nicht. Nach meinem Verständnis des Policy based Routing müßten die Zeilen reichen um zu erreichen daß 

ich vom internen LAN in die DMZ komme. geht ja auch.
ich voim Internet aus in die DMZ komme. geht.
Daß ich trotzdem von der DMZ aus ins Internet komme. Geht leider nicht. Wo liegt mein Denkfehler?
Die Alternative mit NAT habe ich auch getestet geht abr leider nur dahingehend, daß eine Verbindung aus dem Internet in die DMZ möglich ist.
iptables -t nat -A prerouting_rule -p tcp -d $ExtWAN --dport 443 -j DNAT --to-destination $IntWWW iptables -t nat -A postrouting_rule -p tcp -s $IntWWW --sport 443 -j SNAT --to-source $ExtWAN 

Wo habe ich meine Denkfehler?


grüße

Hauke Homburg

--
Homepage mit selbstgeschriebener Doku:

http://www.w3-creative.de

--
Linux mailing list [email protected]
subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux
Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo

Antwort per Email an