[tanya-jawab] gagak koneksi DMZ dengan shorewall

[Senopati ing Alogo]

Ada pertanyaan mengenai firewall yang di setting
melalui Multi Network Firewall dari mandrake, dan
menggunakan engine firewall shorewall


internet --- router ---firewall --- LAN
                          |
                          |
                         DMZ-------- Mail Server



Kondisi :
- LAN bisa browsing ke internet dengan masquarade
- DMZ/Mail server tidak bisa kontak sama sekali ke
Firewall atau ke internet (ping)
- Firewall (FW) bisa kontak ke internet/LAN/Mail
server/DMZ (dengan ping sudah ketahuan ada koneksi)
- LAN tidak bisa kontak langsung ke dmz (mail server)
dengan ssh atau ping

misalkan IP internet 192.168.xx.xx, IP LAN 10.x.x.x


router eth: 192.168.40.17
eth2 FW-internet : 192.168.40.18
eth1 FW-DMZ : 192.168.40.24
eth0 FW-LAN : 10.0.0.11
mail server : 192.168.40.20

setting gateway :
gateway pada mail server (192.168.40.20) ke
192.168.40.24
pada fw ditambahkan gateway host 192.168.40.20 dari
192.168.40.24

pada firewall :
[EMAIL PROTECTED] root]# netstat -nr
Kernel IP routing table
Destination     Gateway         Genmask         Flags 
 MSS Window  irtt Iface
192.168.40.20   192.168.40.24   255.255.255.255 UGH   
  40 0          0 eth1
192.168.40.16   0.0.0.0         255.255.255.240 U     
  40 0          0 eth2
202.165.40.16   0.0.0.0         255.255.255.240 U     
  40 0          0 eth2
0.0.0.0         0.0.0.0         255.255.255.0   U     
  40 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U     
  40 0          0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     
  40 0          0 lo
0.0.0.0         192.168.40.17   0.0.0.0         UG    
  40 0          0 eth2
0.0.0.0         0.0.0.0         0.0.0.0         U     
  40 0          0 eth0

Interface Subnet SNAT 
1  eth2:0.0.0.0/0 10.0.0.0/24 192.168.40.18 

policy pada FW 
1  lan dmz ACCEPT    
2  lan all REJECT info   
3  dmz all REJECT info   
4  fw all REJECT info   
5  wan all DROP info   
6  all all REJECT info 

rules tidak di ikut sertakan, karena terlalu panjang
mungkin kalo di paste disini.
Dari mail server tidak bisa ping sama sekali ke FW,
meskipin iptables dibuka.


Pertanyaan :
1. Apakah pada DMZ(mail server) yang menggunakan
netmask (255.255.255.240) yang sama dengan
192.168.40.17 (router), 192.168.40.18(eth int fw), dan
192.168.40.24 (eth dmz fw) perlu dilakukan settingan
khusus supaya bisa terkoneksi dengan dunia luar ?
2. Apakah dari LAN perlu masquarade juga supaya
dikenali oleh mail server ? (jadi menggunakan dua
masquarade, keluar ke ip 192.168.40.18 dan
192.168.40.24, ini sebenarnya sudah di coba, tapi
ternyata LAN malah tidak bisa browsing)
3. Bagaimana supaya mail server (DMZ), bisa dikenali
oleh internet (wan) dan LAN



terimakasih atas perhatiannya, mudah2an.. pengertian
settingan tidak berubah:D gara2 diganti jadi ip
private




=====
Senopati ing Alogo

__________________________________________________
Do You Yahoo!?
Download the latest ringtones, games, and more!
http://sg.mobile.yahoo.com

-- 
Unsubscribe: kirim email kosong ke [EMAIL PROTECTED]
Arsip, FAQ, dan info milis di http://linux.or.id/milis.php
Tidak bisa posting? Baca:
http://linux.or.id/wiki/index.php?pagename=ProblemMilisDanSolusi
http://linux.or.id/wiki/index.php?pagename=TataTertibMilis