Re: [lmn] IPFire: LDAPS in DMZ bohren

Wed, 06 May 2015 12:53:45 -0700 

Hallo Sven,

die Frage ist, ob du vor drei Jahren noch mehr gemacht hast als was du
beschreibst.

Beispiel:

Quelle: Orange -> (kein NAT) -> Ziel: 10.16.1.1 TCP-Port 2323
Ich starte auf 172.16.17.2:

# nc 10.16.1.1 2323

und zuvor auf dem server:

# nc -l 10.16.1.1 2323

Und es kommt nix durch.
Der IPfire sagt im Log:
"21:43:54       FORWARDFW       orange0         TCP     172.16.17.2
10.16.1.1       59767
2323            52:54:00:5f:f2:7c"


Und unter "Status" -> "Verbindungen"
TCP     172.16.17.2     59770   10.16.1.1       2323    300B / 0B       
SYN_SENT        0:01:45

Und mehr ist nicht. Also SYN_SENT sagt mir einfach: Es kommt nix vom
server zurück, oder es wird nicht richtig an den paedmlserver gesendet.

1. Hast du noch statische Routen im Firewall eingetragen, dass IPFire
das routing kann, oder hast du doch NAT verwendet?
2. Logisch finde ich das routing auch nicht: von ROT aus kann man auch
den server erreichen, ohne, dass der externe Rechner die IP des
paedmlservers kennt.


Grüße, Tobias



Am 06.05.2015 um 21:34 schrieb Uwe Seckinger, Sven Röhrauer:
> Hallo Tobias,
> 
> Als IP z.B. in moodle (auf dem Webserver in der DMZ) trage ich
> ldaps://10.16.1.1 ein.
> 
> Der Webserver erkennt ja, dass die IP nicht in seinem Netz liegt, daher
> schickt er die Anfrage an das Gateway, also an den IPfire und dieser
> tritt als Router auf, er weiß ja, dass die 10.16.1.1 im grünen Netz liegt.
> 
> Prinzipiell ist wichtig zu verstehen, wie es Firewall funktioniert:
> Ipfire ist zunächst einmal so konfiguriert, dass er keinen Verkehr
> zwischen den Netzen zulässt (Firewallfunktion).
> Erst wenn man ihm durch Anlegen einer Regel "erlaubt" zwischen den
> Netzen zu routen, lässt er den Verkehr durch. In unserem Beispiel
> erlauben wir Anfragen von der Quelladdresse 172.16.17.x  über den Port
> 636 an die Ziel-IP 10.16.1.1.
> Für die "Antwort", also den Rückweg muss keine Regel eingerichtet
> werden, da Ipfire das zurückkommende Paket als "Antwort" erkennt.
> 
> Soll hingegen ein Computer aus grün auf den Webserver zugreifen um z.B.
> eine Website zu holen, müssen wir eine Regel "in umgekehrter Richtung"
> anlegen.
> 
> Grüße
> Sven, (der vor drei Jahren genau die gleichen Probleme hatte ... )
> 

_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user

Antwort per Email an