Und so rein philiosophisch betrachtet, wo würdest du da ggf. ansetzen?
Zur Info:
Ich habe das Ding so von einem Vorgänger übernommen.
Daher weiss ich an sich erst einmal relativ wenig über Shorewall an sich
und die jetzige Konfiguration bzw. die Beweggründe, die zu derer geführt
haben.
Allerdings hat das Hinzufügen einer IP (nämlich die des Webservers) vor
ein paar Monaten hervorragend funktioniert (nach ca. einem Tag
intensivem Wurschteln), außer die Sache mit den transparenten IPs...
Vielleicht noch ein paar Anmerkungen zur Konfiguration:
Es exisitieren folgende Zonen loc, net, fw.
Interpretiert habe ich die Zonen folgender Maßen:
loc: Mein "Intranet"
net: alles von ausserhalb im WWW
fw: Der herzallerliebste Router als solcher...?
Liegt vielleicht hier schon mein Problem?
Ausserdem:
Ich habe die IP Adresse damals in /etc/network/interfaces eingetragen.
Das sieht dort ca. so aus:
# The loopback interface
auto lo
iface lo inet loopback
# The first network card - this entry was created during the Debian
installation
# (network, broadcast and gateway are optional)
auto eth0
iface eth0 inet static
address 12.34.56.98
netmask 255.255.255.248
broadcast 12.34.56.103
gateway 12.34.56.97
up ip addr add 12.34.56.99/29 brd 12.34.56.103 dev eth0 label eth0:0
#auto eth1
iface eth1 inet static
address 192.168.1.150
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
Innerhalb der Shorewall configs habe ich meiner Erinnerung nach nur die
rules angepasst, sonst nix.
Das interfaces file von shorewall enthält:
net eth0 12.34.56.103 tcpflags,blacklist,norfc1918
loc eth1 detect routeback
So, mehr weiss ich jetzt auch nicht mehr.
Bei Dir scheint das ganze ja ziemlich unproblematisch zu laufen, wenn
auch mit dyn. IPs.
Könnte es sein, dass dort ein gewisser flag gesetzt wurde, damit das
funktioniert?
Oder wie hast Du das gelöst, dass Du über Port 80 z.B. eine bestimmte
Maschine erreichst. Das ist doch NAT, oder?!?
Patrick
Martin Schmitt schrieb:
> Patrick Schulz schrieb:
>
>>Ja, wir verfügen über acht Stück oder so.
>>Oder genauer gesagt ein /29 Subnetz.
>>
>>Der Router unseres ISPs belegt eine davon.
>>Unser Router / Firewall eine andere, die noch für einen zweiten
>>Webserver und andere Dienste auf anderen Maschinen verwendet wird, was
>>aber in diesem Kontext nicht interessiert - mich jedenfalls nicht.
>>Die dritte (eben als 12.34.56.78 angegeben), wird ausschließlich für den
>>angesprochenen Webserver verwendet.
>
>
> Meine beiden großen Shorwalls weichen von Deinem Setup leider beide ab.
> Die eine macht weder SNAT noch DNAT und die andere hat eine dynamische
> IP-Adresse und macht beides _und_ hat eine dritte Zone in der
> Konfiguration, aus der die internen Zugriffe kommen. Von daher habe ich
> an diesem Punkt auch keine Idee mehr.
>
> Wenn Du nicht grade die Vorkriegsversion von Debian Woody benutzt,
> bekommst Du darauf aber auf der Shorewall-Users-Mailingliste mit
> Sicherheit eine Antwort.
>
> -martin
>
>
>
--
----------------------------------------------------------------------------
PUG - Penguin User Group Wiesbaden - http://www.pug.org
