Servers met publieke IP adressen achter hardware Firewall - Netwerken

dinsdag 29 juni 2004 20:29

Acties:

Verwijderd

Topicstarter

Wij hebben nu een aantal servers bij Telecity en die gaan we binnenkort verhuizen naar Redbus. We gaan hier een heel rack afnemen zodat de computers allemaal bij elkaar komen te staan.

Wij beveiligen onze machines zelf m.b.v. Windows IP security policy maar de klant wil persé een hardware firewall. We kunnen een firewall van Cisco huren van de colocator maar dan krijg je een Cisco PIX 501 waarvoor je 600 Euro installatie kosten moet betalen en vervolgens 35 Euro per maand terwijl dat ding in de winkel wordt verkocht voor rond de 400 Euro!

Nu heb ik zelf al aardig wat ervaring met het configureren van (VPN) Routers met ingebouwde firewall om een LAN veilig aan een WAN te koppelen. De router krijgt een public IP adres en alle computers in het LAN een private address space adres. De computers 'delen' met behulp van NAT het publieke IP address om te communiceren met de buitenwereld.

Maar hoe werkt dat nu als ik meerdere computers met een publiek IP adres achter een firewall wil zetten? Ik heb me helemaal suf gezocht op het internet en de handleidingen van verschillende hardware firewalls gelezen maar ik vind alleen maar informatie over WAN - LAN configuraties.

Producten zoals de Hotbrick en de FireBox klinken allemaal geweldig maar het lijkt me zo'n overkill met mogelijkheden zoals 250 VPN tunnels etc. etc. Bovendien gaan alle praktijkvoorbeelden op hun websites over WAN - LAN situaties.

Ik heb gewoon iets nodig waarmee ik kan instellen dan Machines A, B en C op poort 80 bereikbaar zijn en machine D op poort 25, 110 etc. etc. Verder niets geen poespas.

Iemand een advies? Die Cisco zal het ongetwijfeld doen, maar de configuratie is een nachtmerrie!

dinsdag 29 juni 2004 20:39

Acties:

Maarten @klet.st

Verwijderd schreef op 29 juni 2004 @ 20:29:
Maar hoe werkt dat nu als ik meerdere computers met een publiek IP adres achter een firewall wil zetten? Ik heb me helemaal suf gezocht op het internet en de handleidingen van verschillende hardware firewalls gelezen maar ik vind alleen maar informatie over WAN - LAN configuraties.

Producten zoals de Hotbrick en de FireBox klinken allemaal geweldig maar het lijkt me zo'n overkill met mogelijkheden zoals 250 VPN tunnels etc. etc. Bovendien gaan alle praktijkvoorbeelden op hun websites over WAN - LAN situaties.

Ik heb gewoon iets nodig waarmee ik kan instellen dan Machines A, B en C op poort 80 bereikbaar zijn en machine D op poort 25, 110 etc. etc. Verder niets geen poespas.

Iemand een advies? Die Cisco zal het ongetwijfeld doen, maar de configuratie is een nachtmerrie!

Cisco zou inderdaad een goede oplossing zijn, aangezien die prima voor dit doel te gebruiken zijn. Een 501 is wel erg onder de maat; kun je beter zelf een 506 of sneller kopen. Maar dat heeft kennelijk je voorkeur niet, dus mijn volgende advies zou zijn om een filtering bridge te gebruiken.

Daarmee 'bridge' je de connectie tussen internet en het achterliggende netwerk waarop je server draaien. Voor de servers is het geheel transparant, maar op de
bridge kun je dmv firewalling rules aangeven wat wel mag en wat niet. Persoonlijk zou ik voor OpenBSD gaan, maar dat is een kwestie van smaak.
Elk OS dat je machine als (transparent) bridge kan laten werken en tegelijkertijd IP filtering/packet filtering/statefull inspection kan doen zou in theorie moeten werken, maar Linux of *BSD lijkt me de beste kandidaat.

dinsdag 29 juni 2004 20:56

Acties:

Verwijderd

Topicstarter

Bedankt voor je reactie.

Linux of *BSD speel ik af en toe in mijn vrije tijd wel mee om wat ervaring op te doen, maar ik heb gewoon niet genoeg kennis om hier professioneel iets mee te toen.

Vandaar dat ik naar hardware oplossingen zoals de hotbrick aan het kijken ben.

woensdag 30 juni 2004 08:51

Acties:

Verwijderd

Ik zal niet meer spammen.

[ Voor 80% gewijzigd door BalusC op 19-07-2004 12:12 ]

woensdag 30 juni 2004 11:30

Acties:

Verwijderd

het lijkt me dat je vraag eigenlijk over routing gaat: je zal dus geen NAT moeten gaan gebruiken (dan kan je immers maar op 1 server bv poort 80 laten toekomen, en dat lijkt me niet de bedoeling). Je zal enerzijds aan je ISP moeten vragen de routing correct in te stellen (dus dat de IP adressen van je servers nu achter je firewall liggen) en anderzijds je firewall moeten instellen (pure routing + port-rules + eventueel firewall rules). Je zal hiervoor wel een enigzins geavanceerd spul voor nodig hebben, de huis-tuin-keuken routertjes kunnen meestal enkel NAT.
Maar die Cisco zal wel gaan.

woensdag 30 juni 2004 11:33

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Een Cisco PIX501 of 506 kan dit prima doen. Kijk even in de specs op de site van Cisco om te zien wat exact de limieten zijn van de 501. De configuratie kun je grafisch doen en is erg uitgebreid.

Exchange en Office 365 specialist. Mijn blog.

woensdag 30 juni 2004 15:34

Acties:

Verwijderd

Topicstarter

Jazzy schreef op 30 juni 2004 @ 11:33:
Een Cisco PIX501 of 506 kan dit prima doen. Kijk even in de specs op de site van
Cisco om te zien wat exact de limieten zijn van de 501. De configuratie kun je grafisch doen en is erg uitgebreid.

Op zich denk ik wel dat een 506 volstaat. Voor die prijs heb je overigens ook een HotBrick die er qua specificaties wel iets indrukwekkender klinkt. Maar ik heb geen idee deze wel kan worden gebruikt in deze setup en het gaat er uiteindelijk om wat het meest betrouwbaar is.

Hoe kan ik de configuratie van een PIX grafisch doen?

woensdag 30 juni 2004 15:39

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op 30 juni 2004 @ 11:30:
het lijkt me dat je vraag eigenlijk over routing gaat: je zal dus geen NAT moeten gaan gebruiken (dan kan je immers maar op 1 server bv poort 80 laten toekomen, en dat lijkt me niet de bedoeling). Je zal enerzijds aan je ISP moeten vragen de routing correct in te stellen (dus dat de IP adressen van je servers nu achter je firewall liggen) en anderzijds je firewall moeten instellen (pure routing + port-rules + eventueel firewall rules). Je zal hiervoor wel een enigzins geavanceerd spul voor nodig hebben, de huis-tuin-keuken routertjes kunnen meestal enkel NAT.
Maar die Cisco zal wel gaan.

Je hebt gelijk, het zijn eigenlijk twee vragen. Hoe gaat de routing? en Welke Firewall kan ik het beste nemen?

NAT lijkt mij inderdaad geen optie. Maar tergelijk vraag ik mij af hoe ik een firewall configureer om aan beide zijdes met publieke IP adressen te werken.

Ik heb één binnenkomende 100mbit lijn met meerdere toegewezen IP adressen. Ik ga er dus van uit dat de provider alle verkeer standaard al naar onze firewall zal routen. Maar hoe het dan verder gaat?

woensdag 30 juni 2004 15:40

Acties:

Verwijderd

Configuratie via Webbrowser is bij de PIX-firewalls alles behalve goed...
Je bent veel beter af om het via de CLI te doen...

Webinterface heeft af en toe wat rare kuren, medunkt

woensdag 30 juni 2004 15:44

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

Verwijderd schreef op 30 juni 2004 @ 15:34:
[...]

Op zich denk ik wel dat een 506 volstaat. Voor die prijs heb je overigens ook een HotBrick die er qua specificaties wel iets indrukwekkender klinkt. Maar ik heb geen idee deze wel kan worden gebruikt in deze setup en het gaat er uiteindelijk om wat het meest betrouwbaar is.

Ook, maar er zijn ook redenen om voor de meestverkochte te gaan. Bijvoorbeeld wanneer je informatie zoekt op internet, wanneer je ondersteuning van een bedrijf nodig hebt, etc.

Hoe kan ik de configuratie van een PIX grafisch doen?

Met de PIX Device Manager. Ik kan niet zoveel recente screenshots vinden maar dat ziet er ongeveer zo uit:
Afbeeldingslocatie: http://www.monitorware.com/Common/en/stepbystep/sample-syslog-devive-configs-MWA12/sample10.jpg

Afbeeldingslocatie: http://www.monitorware.com/Common/en/stepbystep/sample-syslog-devive-configs-MWA12/sample10.jpg

Afbeeldingslocatie: http://www.monitorware.com/Common/en/stepbystep/sample-syslog-devive-configs-MWA12/sample11.jpg

Afbeeldingslocatie: http://www.monitorware.com/Common/en/stepbystep/sample-syslog-devive-configs-MWA12/sample12.jpg

Verwijderd schreef op 30 juni 2004 @ 15:40:
Configuratie via Webbrowser is bij de PIX-firewalls alles behalve goed...
Je bent veel beter af om het via de CLI te doen...

Zonder redelijk diepgaande Cisco-kennis is de CLI vrijwel niet te gebruiken. De kracht van de PDM zit hem juist in de duidelijkheid en de eenvoud, ondanks de complexe materie.

[ Voor 16% gewijzigd door Jazzy op 30-06-2004 15:46 ]

Exchange en Office 365 specialist. Mijn blog.

woensdag 30 juni 2004 17:35

Acties:

Verwijderd

Verwijderd schreef op 30 juni 2004 @ 15:39:
[...]

Je hebt gelijk, het zijn eigenlijk twee vragen. Hoe gaat de routing? en Welke Firewall kan ik het beste nemen?

NAT lijkt mij inderdaad geen optie. Maar tergelijk vraag ik mij af hoe ik een firewall configureer om aan beide zijdes met publieke IP adressen te werken.

Ik heb één binnenkomende 100mbit lijn met meerdere toegewezen IP adressen. Ik ga er dus van uit dat de provider alle verkeer standaard al naar onze firewall zal routen. Maar hoe het dan verder gaat?

Ik heb zelf geen ervaring met deze spullen, maar qua logica lijkt het me logischer dat de firewall de ipadressen die je hebt aan de buitenkant hangt, verkeer komt binnen en de firewall zal dit doorpushen naar de 'lokale' kant. Ik neem aan dat de firewall an sich niet echt aan routing gaat doen, maar gewoon verkeer 1:1 doorsluist onder behoud van de rules.

woensdag 30 juni 2004 17:57

Acties:

Verwijderd

lzoals Neographical het zegt zou het ook kunnen, dus toch een soort NAT maar met telkens een publiek adres voor elke server (123.113.154.5:80 -> 192.168.123.5:80) en dat voor elke server.
Maar echte routing lijkt me beter (als die PIX dat kan, maar het lijkt me van wel). Dan stelt je ISP in dat alle verkeer naar je publieke adressen naar het publieke adres van je PIX wordt gestuurd, en je PIX stuurt het dan weer door naar je servers, met in acht name van regels (dus niet alle poorten, DDOS protectie enz...)

woensdag 30 juni 2004 18:36

Acties:

Kabouterplop01

chown -R me base:all

'K weet niet hoeveel interfaces een PIX (501 heeft er 4?)heeft, maar als je NAT gebruikt houd je wel wat publieke ip adressen over.
Of je kunt meerder subnetten gebruiken/ interface...
Het ligt een beetje aan de complexiteit van je netwerk en van het beheer.
Beheer via een ander subnet bijv.
Ik zeg maar wat...
En ja als je NATt dan ben je aan het routeren...

woensdag 30 juni 2004 23:08

Acties:

igmar

ISO20022

Verwijderd schreef op 30 juni 2004 @ 15:39:
Ik heb één binnenkomende 100mbit lijn met meerdere toegewezen IP adressen. Ik ga er dus van uit dat de provider alle verkeer standaard al naar onze firewall zal routen. Maar hoe het dan verder gaat?

Waarbij je er rekening mee moet houden dat routeren tussen 2 subnetten gaat. Indien je dus alleen de beschikking hebt over een subnet heb je dus een probleem. Informeer eerst bij je ISP of het mogelijk is dat het outside IP van de firewall in een ander subnet zit als de inside IP's.

donderdag 1 juli 2004 09:03

Acties:

Verwijderd

igmar schreef op 30 juni 2004 @ 23:08:
[...]

Waarbij je er rekening mee moet houden dat routeren tussen 2 subnetten gaat. Indien je dus alleen de beschikking hebt over een subnet heb je dus een probleem. Informeer eerst bij je ISP of het mogelijk is dat het outside IP van de firewall in een ander subnet zit als de inside IP's.

Daar zullen ze over het algemeen niet heel erg moeilijk over doen, ze hebben meestal wel een aantal subnetten over voor toekomstige colo klanten en daar trekken ze dan één ipadres uit. Is meestal geen probleem

donderdag 1 juli 2004 13:28

Acties:

Verwijderd

Topicstarter

Bedankt voor alle nuttige input zover.

De Firebrick valt af. Als je wat dieper in de specificaties duikt valt het toch wel wat tegen. 10Mbps Firewall throughput, 10Mbps VPN (Max 10 connections) en 5000 Concurrent connections.... Afgezien van het feit of we het nodig hebben of niet vind ik hem gewoon te duur voor deze specs.

De Cisco PIX 506E is wel een goed alternatief. 30Mbps VPN (max 25 connections), Fireall throughput kan ik niet echt vinden meet 25000 concurrent connections en 100Mbps cleartext throughput.

Andere optie is de
Zywall 35

- 35 simultaneous IPSec VPN Connections
- Max. 40Mbps 3DES/AES VPN performance
- 10.000 concurrent connections
- 4 x LAN/DMZ
- 90Mbps Firewall throughput
- Rackmounted

Ik heb net ook even de handleiding gedownload, ziet er allemaal veelbelovend uit.

[ Voor 10% gewijzigd door Verwijderd op 01-07-2004 14:12 ]

donderdag 1 juli 2004 15:42

Acties:

Verwijderd

Ik zal niet meer spammen.

[ Voor 93% gewijzigd door BalusC op 19-07-2004 12:12 ]

vrijdag 2 juli 2004 01:36

Acties:

CyBeR

💩

Hou allemaal eens op over NAT... Da's leuk voor thuis maar verder is 't kut.

Kort gezegd moet je er voor zorgen dat alle packets naar je servers door die firewall doos moeten. Of je dat op de routed manier doet of op de manier van Maarten.o (bridged) maakt in principe niets uit.

Het lijkt mij dat de Cisco 506e in ieder geval de routed tactiek aankan. En aangezien dit echt heel erg basic functionaliteit is moeten de andere firewall producten 't ook kunnen.

[edit]
Voorbeeld:

Je subnet is 17.1.1.0/24. Je krijgt van je hoster een nieuw IP-adres voor je firewalldoos toegewezen: 17.1.2.2. Hun netwerk is dus 17.1.0.0/16. Je firewall geef je op z'n 'interne' poort het adres 17.1.1.1.

Dan krijg je dus zo'n situatie:
17.1.0.0/16 (isp) -> 17.1.2.2 (jouw firewall dus) -> 17.1.1.0/24 (je servers).
En de andere kant op:
17.1.1.0/24 (Server) -> 17.1.1.1 (firewall) -> 17.1.0.0/16 (isp)

Zij hebben dus voor 17.1.1.0/24 jouw firewall (17.1.2.2) in de routing tabellen staan, jouw servers hebben je firewall als default gateway staan (maar dan z'n 'interne' IP-adres, bijvoorbeeld 17.1.1.1).

[ Voor 47% gewijzigd door CyBeR op 02-07-2004 01:42 ]

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 2 juli 2004 09:45

Acties:

Verwijderd

Topicstarter

@CyBer:

Klinkt logisch.

Ik vraag me af of het ook mogelijk is om de Firewall zowel Intern als Extern hetzelfde IP adres te geven?

Zo niet, neem ik aan het het interne IP adres van de Firewall ook beschikbaar moet worden gesteld door de provider..?

vrijdag 2 juli 2004 09:48

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Hou allemaal eens op over NAT... Da's leuk voor thuis maar verder is 't kut.

Kun je dat eens uitleggen want volgens mij slaat het echt helemaal nergens op. Je kunt prima bv 4 ip's aan de buitenkant van de firewall publiceren en deze natten naar 4 non routable ip's (bv 10 reeks) als je dat wilt.

[ Voor 31% gewijzigd door Bor op 02-07-2004 09:48 ]

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 2 juli 2004 09:59

Acties:

Verwijderd

Het is wel mogelijk om de externe IP adressen ook intern te gebruiken voor de machines met inachtnemening van de firewall rules met een PIX. Vroeger heb ik dat ook wel eens zo ingesteld. Kan wel makkelijk zijn met DNS enzo.

vrijdag 2 juli 2004 10:20

Acties:

CyBeR

💩

Bor_de_Wollef schreef op 02 juli 2004 @ 09:48:
[...]

Kun je dat eens uitleggen want volgens mij slaat het echt helemaal nergens op. Je kunt prima bv 4 ip's aan de buitenkant van de firewall publiceren en deze natten naar 4 non routable ip's (bv 10 reeks) als je dat wilt.

http://www.cs.utk.edu/~moore/what-nats-break.html

Verwijderd schreef op 02 juli 2004 @ 09:45:
@CyBer:

Klinkt logisch.

Ik vraag me af of het ook mogelijk is om de Firewall zowel Intern als Extern hetzelfde IP adres te geven?

Zo niet, neem ik aan het het interne IP adres van de Firewall ook beschikbaar moet worden gesteld door de provider..?

In beide gevallen nee. Alleen je externe adres is nieuw. Je interne adressen kun je in principe houden. Je moet dus alleen zorgen dat je hoster die interne adressen route via je externe adres. Je interne firewall-adres is gewoon een IP-adres uit je bestaan de range.

Dit geldt overigens alleen als je een subnet gekregen hebt -- als je per machine 1 IP-adres hebt gekregen zul je een subnet aan moeten vragen. Ik weet niet hoeveel servers je hebt en bij welke hoster je zit (en dus wat de situatie is aangaande dit), maar bij RIPE LIRs is het aanvragen van extra IP-space gratis mits je het kunt verantwoorden.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 2 juli 2004 10:22

Acties:

Verwijderd

Professional Networking & Servers -> Network Troubleshooting

vrijdag 2 juli 2004 10:58

Acties:

arikkert

je kunt soms zelfs inside en outside address zelfde ip geven. In cisco ios heet dat unnumbered geloof ik. weet niet of dat ook voor ethernet-ethernet routering kan.
in cisco pix spreekt men van inside/outside interface.
volgens mij wil jij (ethernet-ethernet als medium) routering met statefull packetfiltering in een hardwaredoos.
waarschijnlijk kan die zywall 35 dat ook, moet je even checken. zyxell is i.h.a. eenvoudiger in config en goedkoper dan cisco en je gebruikt lang niet alle features van de prachtige cisco-pix.

vrijdag 2 juli 2004 11:06

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

CyBeR schreef op 02 juli 2004 @ 10:20:
[...]

http://www.cs.utk.edu/~moore/what-nats-break.html

[...]

En dus? Hier kun je toch gewoon rekening mee houden in het algemeen? NAT is een oplossing die ook intern door een PIX word gebruikt hoor. Vrijwel elke firewall gebruikt wel een vorm van NAT / PAT etc.

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

vrijdag 2 juli 2004 13:40

Acties:

Verwijderd

Een pix (cisco heeft het ooit gekocht van een bedrijf genaamd, Network Translation) heeft geen routing daemon, en behandelt alles met de nat gedachte, zelfs als je nat helemaal uitschakeld.
De pix eist dat je met 2 subnets werkt, anders werkt het hele ding niet.
Een pix lijkt me geen goed idee in een situatie met toch alleen publieke ips.

Ik zou nog eens verder shoppen.

vrijdag 2 juli 2004 14:00

Acties:

CyBeR

💩

Verwijderd schreef op 02 juli 2004 @ 13:40:
Een pix (cisco heeft het ooit gekocht van een bedrijf genaamd, Network Translation) heeft geen routing daemon, en behandelt alles met de nat gedachte, zelfs als je nat helemaal uitschakeld.
De pix eist dat je met 2 subnets werkt, anders werkt het hele ding niet.
Een pix lijkt me geen goed idee in een situatie met toch alleen publieke ips.

Ik zou nog eens verder shoppen.

Je hebt bij een routed setup sowieso twee subnets nodig.. En een routing daemon? Je bedoelt voor routing protocollen zoals RIP/OSPF/BGP? Lijkt me ook niet nodig in een firewall.

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 2 juli 2004 14:04

Acties:

Korakal

Up up up!

cosmetische titelfix

vrijdag 2 juli 2004 14:13

Acties:

Verwijderd

Hij werkt met publieke adressen, dus:
stel hij heeft 200.200.200.0/24

Internet<-->netwerk colo<-->firewall<-->servers

de firewall heeft b.v. 200.200.200.2, de servers 200.200.200.3,4,5
Dit is zijn situatie zoals ie moet worden, zoals ik het begrepen heb.
Geen op nat gebasseerde pix dus.

[ Voor 64% gewijzigd door Verwijderd op 02-07-2004 14:16 ]

vrijdag 2 juli 2004 15:26

Acties:

Verwijderd

Topicstarter

Ik begrijp niet waarom dit topic verplaatst is naar Network Troubleshooting

Professional Networking & Servers lijkt mij persoonlijk een betere groep maar enfin...

De PIX is de Firewall de onze service provider standaard aanbiedt voor deze situatie dus ik mag verwachten dat hij het wel kan...

Wat betreft die inside en outside IP.. Dit stukje komt uit de handleiding van een FireboxX

Drop-in Configuration
This configuration is necessary when Public servers behind the Firebox use public addresses, and traffic is routed through the Firebox with no network address translation. The Firebox is put in place with the same network address on all interfaces. Because this configuration mode distributes the network’s logical address space across the Firebox interfaces, you can “drop” the Firebox between the router and the LAN without reconfiguring any local machines.

Na verdere bestudering van het handleiding van de Zywall 35 komt blijkt NAT toch een optie te zijn:

The ZyWALL also supports Full Feature NAT to map multiple global IP addresses to multipe pivate LAN IP addresses of clients or servers using mapping types.

Many-One-to-One

In Many-One-to-One mode, the ZyWALL maps each local IP address to a unique global IP address.

Dus:
213.133.34.183 <-> 192.168.10.2
213.133.34.165 <-> 192.168.10.3
213.133.34.133 <-> 192.168.10.4
etc..

Dat kan natuurlijk handig zijn, want als er dan één machine uitvalt kan ik snel het IP address naar een andere machine laten verwijzen...

vrijdag 2 juli 2004 19:28

Acties:

CyBeR

💩

Verwijderd schreef op 02 juli 2004 @ 15:26:

Wat betreft die inside en outside IP.. Dit stukje komt uit de handleiding van een FireboxX

Drop-in Configuration
This configuration is necessary when Public servers behind the Firebox use public addresses, and traffic is routed through the Firebox with no network address translation. The Firebox is put in place with the same network address on all interfaces. Because this configuration mode distributes the network’s logical address space across the Firebox interfaces, you can “drop” the Firebox between the router and the LAN without reconfiguring any local machines.

Dat klinkt idd goed. Lijkt op de bridged oplossing eerder genoemd.

Na verdere bestudering van het handleiding van de Zywall 35 komt blijkt NAT toch een optie te zijn:

The ZyWALL also supports Full Feature NAT to map multiple global IP addresses to multipe pivate LAN IP addresses of clients or servers using mapping types.

Many-One-to-One

In Many-One-to-One mode, the ZyWALL maps each local IP address to a unique global IP address.

Dus:
213.133.34.183 <-> 192.168.10.2
213.133.34.165 <-> 192.168.10.3
213.133.34.133 <-> 192.168.10.4
etc..

Dat kan natuurlijk handig zijn, want als er dan één machine uitvalt kan ik snel het IP address naar een andere machine laten verwijzen...

En dat kan niet door dat ip-adres toe te voegen op die andere machine?

All my posts are provided as-is. They come with NO WARRANTY at all.

vrijdag 2 juli 2004 22:30

Acties:

arikkert

Verwijderd schreef op 29 juni 2004 @ 20:29:
Ik heb gewoon iets nodig waarmee ik kan instellen dan Machines A, B en C op poort 80 bereikbaar zijn en machine D op poort 25, 110 etc. etc. Verder niets geen poespas.

dat klinkt bij nader inzien meer als bridged firewall, ook wel transparent firewall genoemd. transparent omdat er niet gerouteerd wordt, maar ge-bridged
en firewall omdat er wel packet filtering op de ip packets mogelijk is.
nat is speciale vorm van routering en is dus zeker niet nodig op basis van de quote hierboven.

lees ook [rml][ DMZ]Zijn wij genaaid met de router?[/rml] eens, met name over
http://www.zyxel.nl/support/z096.html#dmzinstellen
dat lijkt toch wel te doen wat je wilt.
servers in dmz plaatsen en firewall rules aanpassen voor verkeer tussen wan en dmz.

Pagina: 1

Reageer