Toon posts:

Firewall met 2 adsl lijnen

Pagina: 1
Acties:

donderdag 24 april 2003 08:53

Acties:
  • segil
  • Registratie: Januari 2003
  • Laatst online: 14:44

segil

Topicstarter
Hallo,

sindskort heeft ons bedrijf een Linux firewall, die o.a.
als proxyserver werkt. De installatie en configuratie is gedaan
door een extern bedrijf. We hebben 2 adsl lijnen
(Planet en xs4all). We willen nu graag dat beide lijnen gebruikt
worden. We hebben 2 domeinen geregistreerd (A.com en A.info) en hebben
elk domein aan één v/d adsl lijnen verbonden. (ip-adres)
We draaien een ftp server en een IIS server voor OWA.
De bedoeling is dat medewerkers buiten het bedrijf gebruik kunnen maken
van ftp en OWA. A.info is gekoppeld aan de xs4all lijn. Als nu iemand via
dit domein ftp of OWA wilt gebruiken, werkt dit goed. De firewall
stuurt de inkomende aanvragen gewoon door naar de betreffende servers
en de antwoorden gaan via dezelfde lijn naar buiten. Maar als nu
via A.com, verbonden met de Planet lijn, ook ftp/OWA gebruikt wordt,
werkt dit niet. De Linux engineer heeft alles geprobeerd en zegt dat de routing
op de firewall goed staat. Alleen is het probleem dat inkomend verkeer
wel naar de juiste server wordt gestuurd, maar antwoorden komen terug
op de LAN-interface v/d firewall en die stuurt het door via de default
gateway naar buiten en dat is de andere aansluiting! Het lukt niet om
onderscheid te kunnen maken voor welke adsl lijn het uitgaande verkeer
is. Ik weet zelf niets af van Linux. Heeft iemand een idee of dit op te lossen
valt? De tijdelijke oplossing nu is een mailserver en ftpserver op de
Linux firewall laten draaien en die doorverwijzen naar de juiste servers.

Bedankt alvast.

donderdag 24 april 2003 09:30

Acties:

Verwijderd

lijkt me toch een routing probleem...

geef de output eens van:

#route
en
#ifconfig

donderdag 24 april 2003 09:43

Acties:

Verwijderd

standaard wordt de reply van je ftp/OWA server naar de default gateway gestuurd en die staat zoals ik het begrijp naar het domein 'a.com', je moet op je gateway aangeven dat als er een reply komt van de source van je a.info server dat het pakketje dan niet over de xs4all interface naar buiten moet worden gestuurd, maar over de planet interface, idd een routing probleem, de routetabel aanpassen doet wonderen :)

donderdag 24 april 2003 11:37

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 13:09

_nethack

We're all MAD here

Het probleem is inderdaad de routering terug het internet op.
Je zou op die router machine iets van squid kunnen installeren en inrichten als reverse proxy voor de OWA server.
De connecties worden dan niet meer ge-nat maar ge-proxied, en dat zou wel goed moeten gaan. (Teruggaand verkeer komt vanaf de linux machine zelf ipv van een machine op het LAN)

Sometimes you just have to sit back, relax, and let the train wreck itself

donderdag 24 april 2003 21:01

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 20-04 22:06

igmar

ISO20022

segil schreef op 24 april 2003 @ 08:53:
Hallo,

<snip verhalatje>

Bedankt alvast.
1) Zorg dat het leesbaar is. De originele post viel daar absoluut niet onder.

2)
Standaard IP route verhaal :

code:
1
2
3
4
5
6
7

iptables -t mangle -A PREROUTING -i ethx -s 10.1.0.0/16 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -i ethy -s 10.2.0.0/16 -j MARK --set-mark 2

ip route add fwmark 1 table klant1.out
ip route add fwmark 2 table klant2.out
ip route add default via x.x.x.x dev ethy table klant1.out
ip route add default via y.y.y.y dev ethz table klant2.out


en in /etc/iproute2/rt_tables :
code:
1
2

201 klant1.out
202 klant2.out


Die namen zijn overigens ook te vervangen door nummers.
Reageer