Ik hoop dat dit topic voldoende complex is om hier geplaatst te mogen worden, anders mijn excuses hiervoor. Ik ben overigens een devver, geen netwerk beheerder, dus vergeef me a.u.b mijn eventuele banale aannames en domme fouten.
De situatie is als volgt: binnen het bedrijf waar ik werk hadden we één internetaansluiting (A) voor het lan en een dmz (met één server). Gezien de beheerders van de firewall constant bezig waren met fijne proefjes, experimentjes en weet ik veel wat waardoor vrij vaak de verbinding eruit lag hebben we hier op de afdelingen zelf maar een internet aansluiting (B) neergezet voor de webserver (win2003)plus database server (win2003), zodat die er in ieder geval geen last meer van had:
code:
1
2
3
4
5
| database server (192.168.3.2)
|
inet(A)<--->firewall<---> Lan, inclusief onze afdeling (192.168.1.x) <--> firewall <---> inet(B)
|
webserver (192.168.2.2) |
Alleen onze afdeling heeft direct toegang tot de webserver en database server. Tussen de webserver en database server is alleen sql verkeer mogelijk. De DB server heeft overigens geen toegang tot het internet behalve dan om windows updates op te halen.
Onze afdeling gebruikt inet(A) voor alle internet toegang, zodat inet(B) compleet vrij blijft voor de webserver.
Dit draait allemaal prima, maar de internet inet verbindingen zijn niet bepaald snel hier (521kb/s up en down) en een betere link aanschaffen kan door technische beperkingen niet (we zitten in een wat mindere buurt van Rio de Janeiro). Op het moment dat we een nieuwe server wilden plaatsen (192.168.2.3) hebben we daarom ook gelijk een extra link (C) gehuurd die alleen voor de nieuwe server gebruik moet worden.
Ik krijg het echter maar niet voor elkaar om de twee links op dezelfde firewall aan te sluiten en link (C) alleen te laten gebruiken voor de nieuwe server zodat link (B) alleen gebruikt wordt voor .2 en (C) voor .3
Ik hoop dat het nog een beetje te volgen valt....
Verbindingen van de firewall (linux) met vijf netwerkkaarten:
1) LAN
2) Netwerk voor webservers
3) Netwerk voor db servers
4) Inet (B)
5) Inet (C)
Een visio diagrammetje, was in het Portugees, vandaar dat ik de boel met paint een beetje heb bijgewerkt
de bestaande link <--> webserver (paars) werkt prima en wil dus graag inet (C) aansluiten op de firewall en de oranje route opzetten. Het verkeer moet wel gescheiden blijven.
Waarom krijg ik het niet voor elkaar? Ik zou echt niet weten waarom het niet werkt:
1) De inet(c) toegevoegd als een statische verbinding (geen dhcp dus) in het systeem.
2) Er staan twee default routes in de routing tabel (voor beide inet verbindingen eentje)
3) Blokkeer al het verkeer van 192.168.2.3 naar inet(b)
3) Blokkeer al het verkeer van 192.168.2.2 naar inet(c)
4) Precies dezelfde DNAT regel gebruikt als die voor 192.168.2.2 om poort 80 te forwarden (welke prima lijkt te werken)
Echter, wanneer ik dit allemaal doe dan zakt de hele boel ineen: niks werkt meer. Mijn vermoeden is dat twee keer een default route niet zo fijn is of dat ik iets moet doen met pre-routing regels, maar zoals gezegd kom ik er niet meer uit.
Ik gebruik overigens shorewall om alle regels in de firewall te frotten...
Iemand enig idee wat ik fout doe?
[ Voor 1% gewijzigd door Verwijderd op 01-08-2006 22:49 . Reden: Layout foutje ]
/u/13471/karnemelk.png?f=community)
/u/31090/bla.png?f=community)
