Hallo Tobias,
ich habe sonst nichts weiter eingestellt. Bei NAT ist kein Haken vor
"Network Address Translation benutzen".
Im Anhang ein Bildschirmphoto und hier die Regel als Text
"18,ACCEPT,FORWARDFW,ON,src_addr,172.16.17.253/32,tgt_addr,10.16.1.1/32,,TCP,,,ON,,,TGT_PORT,636,LDAP-Anfragen
des Webservers an den PädServer,,,,,,,,,,00:00,00:00,,AUTO,,dnat
"
Nur um sicher zu gehen: nach dem Editieren der Regel (in der Web-GUI)
hast du oben auf "Regel übernehmen" geklickt?
Du hast laut erster Mail so getestet:
# ldapsearch -H ldaps://172.16.17.254 -vv -x
Ich denke, da muss
ldapsearch -H ldaps://10.16.1.1 -vv -x
stehen, oder?
Grüße,
Sven
On Wed, 06 May 2015 21:52:45 +0200
"T. Küchel" <t.kuec...@humboldt-ka.de> wrote:
Hallo Sven,
die Frage ist, ob du vor drei Jahren noch mehr gemacht hast als was
du
beschreibst.
Beispiel:
Quelle: Orange -> (kein NAT) -> Ziel: 10.16.1.1 TCP-Port 2323
Ich starte auf 172.16.17.2:
# nc 10.16.1.1 2323
und zuvor auf dem server:
# nc -l 10.16.1.1 2323
Und es kommt nix durch.
Der IPfire sagt im Log:
"21:43:54 FORWARDFW orange0 TCP 172.16.17.2
10.16.1.1 59767
2323 52:54:00:5f:f2:7c"
Und unter "Status" -> "Verbindungen"
TCP 172.16.17.2 59770 10.16.1.1 2323 300B / 0B SYN_SENT
0:01:45
Und mehr ist nicht. Also SYN_SENT sagt mir einfach: Es kommt nix vom
server zurück, oder es wird nicht richtig an den paedmlserver
gesendet.
1. Hast du noch statische Routen im Firewall eingetragen, dass
IPFire
das routing kann, oder hast du doch NAT verwendet?
2. Logisch finde ich das routing auch nicht: von ROT aus kann man
auch
den server erreichen, ohne, dass der externe Rechner die IP des
paedmlservers kennt.
Grüße, Tobias
Am 06.05.2015 um 21:34 schrieb Uwe Seckinger, Sven Röhrauer:
Hallo Tobias,
Als IP z.B. in moodle (auf dem Webserver in der DMZ) trage ich
ldaps://10.16.1.1 ein.
Der Webserver erkennt ja, dass die IP nicht in seinem Netz liegt,
daher
schickt er die Anfrage an das Gateway, also an den IPfire und dieser
tritt als Router auf, er weiß ja, dass die 10.16.1.1 im grünen Netz
liegt.
Prinzipiell ist wichtig zu verstehen, wie es Firewall funktioniert:
Ipfire ist zunächst einmal so konfiguriert, dass er keinen Verkehr
zwischen den Netzen zulässt (Firewallfunktion).
Erst wenn man ihm durch Anlegen einer Regel "erlaubt" zwischen den
Netzen zu routen, lässt er den Verkehr durch. In unserem Beispiel
erlauben wir Anfragen von der Quelladdresse 172.16.17.x über den
Port
636 an die Ziel-IP 10.16.1.1.
Für die "Antwort", also den Rückweg muss keine Regel eingerichtet
werden, da Ipfire das zurückkommende Paket als "Antwort" erkennt.
Soll hingegen ein Computer aus grün auf den Webserver zugreifen um
z.B.
eine Website zu holen, müssen wir eine Regel "in umgekehrter
Richtung"
anlegen.
Grüße
Sven, (der vor drei Jahren genau die gleichen Probleme hatte ... )
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
_______________________________________________
linuxmuster-user mailing list
linuxmuster-user@lists.linuxmuster.net
https://mail.lehrerpost.de/mailman/listinfo/linuxmuster-user
