Toon posts:

Routen naar 'jezelf', voor routers die ook firewall zijn.

Pagina: 1
Acties:

woensdag 30 november 2005 17:07

Acties:

Verwijderd

Topicstarter
Wij hebben 2 subnets (x.x.x.176/29 en x.x.x.184/29). We hebben een SDSL modem/router in bridged mode, hiermee is ons eerste subnet direct bereikbaar. Daarin zit nu een router (WAN:x.x.x.178 en LAN:x.x.x.185) en daarachter onze firewall (x.x.x.186), dus in het tweede subnet.

De provider heeft in de core router een route voor ons tweede subnet via die router x.x.x.178. Zoals je mag verwachten werkt dat prima. Maar nu willen we deze router eruit halen, want onze firewall is tevens in staat om te routeren.

Kan je de firewall zo inrichten, dat deze op dezelfde netwerkkaart (eth0) de volgende adressen bind:
eth0: x.x.x.178/29 (eerste subnet, dus krijgt nu pakketjes voor 2e subnet van de core router)
en
eth0:0 x.x.x.185/29 t/m eth0:5 x.x.x.190/29 (Alle IP-adressen uit het tweede subnet als alias)

De bedoeling is dat de pakketjes voor 185 t/m 190 verwerkt worden zoals nu, dus als binnenkomende pakketjes die met port-forwarding de DMZ opgaan. Nu werkt dat omdat onze router alle pakketjes ontvangt, en dan vraagt wie 185 t/m 190 is, dan antwoord krijgt van de firewall, en ze vervolgens door stuurt.

In de nieuwe situatie, is een pakketje al binnen op de firewall, en heeft als bestemming een IP-adres dat een alias is van dezelfde netwerkkaart als waarin het binnenkwam.

Lang verhaal kort, kan de router dat pakketje routeren naar zichzelf zodat de portforwarding rule het op kan pikken?

PS. Is er software waarmee je netwerken kunt simuleren om dit soort dingen te testen? Ik vindt het moeilijk om te voorspellen of zoiets gaat werken, en kan het ook niet zomaar ff testen in het echt.

woensdag 30 november 2005 18:00

Acties:
  • localhost
  • Registratie: November 1999
  • Niet online

localhost

Ook in geel, groen, paars, wit

Verwijderd schreef op woensdag 30 november 2005 @ 17:07:
Wij hebben 2 subnets (x.x.x.176/29 en x.x.x.184/29). We hebben een SDSL modem/router in bridged mode, hiermee is ons eerste subnet direct bereikbaar. Daarin zit nu een router (WAN:x.x.x.178 en LAN:x.x.x.185) en daarachter onze firewall (x.x.x.186), dus in het tweede subnet.

De provider heeft in de core router een route voor ons tweede subnet via die router x.x.x.178. Zoals je mag verwachten werkt dat prima. Maar nu willen we deze router eruit halen, want onze firewall is tevens in staat om te routeren.
Hier ben ik je even kwijt. Snap ik het goed dat je verzoekt de provider in zijn Core de route naar x.x.x.184/29 te verwijderen? Hoe kan je dat ooit nog adres x.x.x.184/29 vanaf internet benaderen?
Kan je de firewall zo inrichten, dat deze op dezelfde netwerkkaart (eth0) de volgende adressen bind:
eth0: x.x.x.178/29 (eerste subnet, dus krijgt nu pakketjes voor 2e subnet van de core router)
en
eth0:0 x.x.x.185/29 t/m eth0:5 x.x.x.190/29 (Alle IP-adressen uit het tweede subnet als alias)
Ja dat kan, geen enkel probleem. Denk wel dat je goed afspraken moet maken met je provider, want meestal mogen adressen uit x.x.x.184/29 helemaal geen data het internet op sturen, de ISP verwacht deze immers vanaf x.x.x.176/29.
Lang verhaal kort, kan de router dat pakketje routeren naar zichzelf zodat de portforwarding rule het op kan pikken?
Geloof dat ik het nu snap, is het volgende niet handiger?

Vraag de ISP de handel te combineren tot x.x.x.176/28 die heeft 14 bruikbare IP adressen, deze bruikbare adressen lopen van x.x.x.177
t/m x.x.x.190.

woensdag 30 november 2005 19:24

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Ook ik denk je vraagstelling te snappen, maar het principe van een DMZ is dat het achter je firewall ligt, niet aan de publieke interface dus. Misschien dat een tekening de boel verheldert.

[ Voor 15% gewijzigd door Taigu op 30-11-2005 19:25 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

woensdag 30 november 2005 20:29

Acties:

Verwijderd

Als ik het goed begrijp is dit ongeveer je situatie

code:
1
2
3
4
5
6
7
8
9
10
11
12

|
SDSL
|
| x.x.x.176/29    DMZ 1
|
Router
|
| x.x.x. 184/29   DMZ 2
|
Firewall
|
Lokaal netwerk


Dit ziet er niet echt netjes uit. Als je firewall publieke IP adressen in de DMZ ondersteund kun je het terugbrengen tot
code:
1
2
3
4
5
6
7
8

|
SDSL
|
| x.x.x.176/29    DMZ 1
|
Firewall---------------
|                     |
Lokaal netwerk        x.x.x.184/29 DMZ 2


Maar dan kun je meestal ook wel de volgende setup voor elkaar krijgen (en in mijn ogen de mooiste)
code:
1
2
3
4
5
6

|
SDSL
|
Firewall------------------------------------
|                     |                    |
Lokaal netwerk        x.x.x.184/29 DMZ 2   x.x.x.176/29 DMZ 1


In dat geval zijn je twee publieke subnetten ook nog netjes van elkaar gescheiden. Als die scheiding niet uitmaakt is het misschien handig om het advies van localhost op te volgen en de twee subnetten te consolideren.

Zonder te weten welke firewall je gebruikt is er echter weinig zinvols te zeggen over de geschiktheid van de firewall voor dit soort configuraties.

[ Voor 4% gewijzigd door Verwijderd op 30-11-2005 20:32 ]

donderdag 1 december 2005 00:19

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Alleen de laatste optie is reeel of je ISP je subnet aan laten passen. Een gebied tussen een (no-nat) SDSL router en een firewall mag wat mij betreft geen DMZ heten.

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

donderdag 1 december 2005 23:25

Acties:

Verwijderd

Topicstarter
@buddhole
Kun je die laatste opmerking toelichten? DMZ is toch juist een blootgestelde zone?

Overigens doen we nu m.b.v. port-forwarding het volgende:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14

|
SDSL
|
| x.x.x.176/29    DMZ 1
|
Router
|
| x.x.x. 184/29   DMZ 2
|
Firewall
|_________________
|                 |
LAN 192.168      LAN 172.16
Groen (NAT)      Oranje (Port forwarding)

In eerste instantie is de idee om dat routertje tussen SDSL en Firewall weg te halen, waarbij de firewall min of meer in twee subnetten tegelijk moet zitten om [A] gevonden te worden door de core router van de provider, en [B] om alle servers via dat tweede subnet nog gewoon bereikbaar te houden.

Voor wat betreft de provider, daar heb ik inderdaad al contact mee gehad, en eventueel behoort het samenvoegen van de subnetten tot één grotere tot de opties. Zoals ik het begrijp houdt dat in dat zij de route naar het tweede subnet uit hun core router verwijderen en in onze SDSL modem het subnet veranderen (klopt dat?), vanaf dat moment zijn alle IP-adressen direct bereikbaar van buiten.

In dat geval zou de firewall aan de externe WAN ethernet kaart alle benodigde IP-adressen (overeenkomstig onze DNS records) gebonden moeten hebben (dat was eigenlijk mijn eerste vraag).

Maar meer algemeen:

Als je meerdere publieke IP-adressen hebt, dan begrijp ik dat Jan Klaasen er de voorkeur aan geeft om servers met die externe adressen te configureren. Wat is daarachter de gedachte? Wij hebben ze nu dus met privé adressen, en de firewall doet port-forwarding.

PS: de firewall is nu nog IPCop, later wellicht een ZyWall 70, zie ook mijn andere topic

Edit
Oh ja, enne, bedankt voor de reacties!

vrijdag 2 december 2005 03:04

Acties:

Verwijderd

Verwijderd schreef op donderdag 01 december 2005 @ 23:25:
Als je meerdere publieke IP-adressen hebt, dan begrijp ik dat Jan Klaasen er de voorkeur aan geeft om servers met die externe adressen te configureren. Wat is daarachter de gedachte? Wij hebben ze nu dus met privé adressen, en de firewall doet port-forwarding.
Niet echt een echt sterke voorkeur maar als je die externe adressen toch gebruikt om bv meerdere webservers van elkaar te scheiden, is het niet altijd even logisch om dat te gaan forwarden naar andere IP adressen binnen je eigen netwerk. Er zit eigenlijk geen voordeel aan zo'n vertaling van het adres terwijl het wel voor verwarring kan zorgen. Persoonlijk vind ik het dus overzichtelijker als de IP adressen van servers binnen mijn eigen netwerk gelijk zijn aan de IP adressen die mensen van buiten gebruiken.

Ga je echter van één IP adres (zeg 1.2.3.4) het webverkeer forwarden naar Server A en het email verkeer forwarden naar Server B kun je voor servers A en B in mijn ogen beter interne adressen gebruiken.

Bij mij geeft het IP nummer dus min of meer een onderscheid in de bescherming van de server aan. Een extern nummer is een server die echt op alle poorten verkeer kan ontvangen terwijl een intern ip adres een server is met enkel een beperkt aantal poorten geforward. Maar dit is dus enkel mijn verdeling en zeker geen wet. Ook varieert het nogal eens aan de hand van de hardware die ik aantref. :)

vrijdag 2 december 2005 15:27

Acties:
  • Taigu
  • Registratie: Februari 2002
  • Laatst online: 25-04 08:52

Taigu

Je hebt gelijk, het is als je het zo bekijkt een DMZ. Ik werk alleen met beveiligde DMZ's. Waar ik op doel, waarom hang je 3 publieke ip's achter je router terwijl je ze ook achter een poot van je firewall kan zetten. Op die manier kun je via de firewall eenvoudig en veilig toegang richting de DMZ regelen. Dus meer zo'n situatie:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13

SDSL
|
| IP router: x.x.x.177/29   
|
Router
|
| Extern IP FW: x.x.x.178/29
|
Firewall
|____________________________________________________________
|                               |                                         |
LAN 192.168      LAN 172.16                            DMZ x.x.x.179-184
Groen (NAT)      Oranje (Port forwarding)

[ Voor 51% gewijzigd door Taigu op 02-12-2005 22:05 ]

Cling to truth and it turns into falsehood. Understand falsehood and it turns into truth.

Pagina: 1
Reageer