Toon posts:

Routering sdsl via eigen firewall

Pagina: 1
Acties:

zaterdag 11 september 2004 08:16

Acties:

Verwijderd

Topicstarter
Wij hebben een xs4all sdsl verbinding in gebruik genomen met een efficient 5950 router.

De netwerkgegevens volgens xs4all xx.xx.xx.80/28 met netmask 255.255.255.240.

De efficient router heeft ip xx.xx.xx.81.

Het is zonder meer mogelijk om verschillende machines op de ingebouwde switch aan te sluiten die dan vervolgens via een ip uit de genoemde range internet op kunnen en ook bereikbaar zijn van buitenaf.

Ik wil echter alle verkeer via een linux router sturen.

Hier ontbreekt mij het inzicht om te bepalen wat ik moet doen.

Moet ik onze ip range splitten zodat mijn linux firewall een eigen subnet krijgt xx.xx.xx.88/29? Hiermee zou ik meteen de helft van onze beschikbare ip's kwijt zijn.

Ik heb iets gelezen over bridging, maar begrijp nog niet helemaal hoe dat van toepassing kan zijn in onze situatie.

Ik kwam iets tegen over een subnet met netmask 255.255.255.255. Is dit een optie?

Ik zal niet doorgaan met het opnoemen van wellicht onzinnige suggesties, maar vraag jullie om mij een zetje in de rug te geven op weg naar een beter begrip over deze materie.

zaterdag 11 september 2004 08:40

Acties:
  • _nethack
  • Registratie: September 2000
  • Laatst online: 16-05 20:09

_nethack

We're all MAD here

Je kunt het beste op je interne lan een andere IP reeks gebruiken (private reeks, dus 10.0.0.0/8, 172.16.0.0/12 of 192.168.0.0/16) en de linuxrouter dan laten natten.
Aan de buitenkant geef je als adres x.x.x.82, en als gateway x.x.x.81

[ Voor 4% gewijzigd door _nethack op 11-09-2004 08:41 ]

Sometimes you just have to sit back, relax, and let the train wreck itself

zaterdag 11 september 2004 09:06

Acties:

Verwijderd

Topicstarter
_nethack schreef op 11 september 2004 @ 08:40:
Je kunt het beste op je interne lan een andere IP reeks gebruiken (private reeks, dus 10.0.0.0/8, 172.16.0.0/12 of 192.168.0.0/16) en de linuxrouter dan laten natten.
Aan de buitenkant geef je als adres x.x.x.82, en als gateway x.x.x.81
De bedoeling is juist om de computers met een extern ip adres bereikbaar te maken van buitenaf.

De werkplekken zullen worden geconfigureerd zoals jij voorstelt. Mijn vraag betreft een aantal servers die wij in een DMZ zullen plaatsen en die op eigen ip (zonder portforwarding) bereikbaar moeten zijn.

zaterdag 11 september 2004 09:10

Acties:

Verwijderd

Topicstarter
Was mijn topic kwijt. Heb verhaal nogmaals gehouden, maar dan in ander forum.

Mijn excuses.

Voor de rest gaat alles goed met mij.

Routering sdsl via eigen firewall

zaterdag 11 september 2004 09:11

Acties:

Verwijderd

hoe veel servers gaat het om en welke services wil je van buiten beschikbaar hebben ?
Wat is er overigens mis met portforwarding.. op deze manier kun je meerdere servers met verschillende diensten achter 1 ipadres gooien.

zaterdag 11 september 2004 09:19

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 11 september 2004 @ 09:11:hoe veel servers gaat het om en welke services wil je van buiten beschikbaar hebben ?
Op dit moment een handjevol servers (mail, meerdere keren http, jti terminal server) en wat desktops van mensen die extra privileges nodig hebben tbv van vnc en dergelijke.
Wat is er overigens mis met portforwarding.. op deze manier kun je meerdere servers met verschillende diensten achter 1 ipadres gooien.
Niets, je kunt een heel eind komen met portforwarding en ssh tunnels, echter niet alle gebruikers kunnen of willen op deze manier werken. Vandaar onze wens om een reeks publieke ip addressen te gebruiken op een deel van ons netwerk.

zaterdag 11 september 2004 09:29

Acties:
  • connected
  • Registratie: Juni 2001
  • Laatst online: 04-02 22:07

connected

tja daarnet deed ie nog :P

het lijkt me best wel te doen maar aangezien het een stuk makkelijker kan zou ik eens kijken naar astaro security linux. ( https://www.astaro.com )
deze firewall kan echt heel erg veel en is makkelijk te begrijpen en dingen zoals qos zijn echt een eitje.
hier eeb screenshot van bijv. het packetfilter:
http://www.firezone.org/packetfilter2.JPG
En ff een download link:
ftp://ftp.astaro.com/pub/....0/asl-5.022-040903-1.iso

[ Voor 15% gewijzigd door connected op 11-09-2004 09:32 ]

zaterdag 11 september 2004 12:40

Acties:

Verwijderd

Wat jij zoekt is een bridging firewall. H4H heeft hier ooit een handleiding over geschreven. http://www.hackers4hackers.org/reader.php?h4h=12&page=08 Succes!

zaterdag 11 september 2004 13:29

Acties:

Verwijderd

Topicstarter
Verwijderd schreef op 11 september 2004 @ 12:40:
Wat jij zoekt is een bridging firewall. H4H heeft hier ooit een handleiding over geschreven. http://www.hackers4hackers.org/reader.php?h4h=12&page=08 Succes!
Bedankt voor de link. Ik heb enige ervaring met openbsd en zal zeker overwegen om hier mee aan de slag te gaan.

Op dit moment is het mij met ploeteren gelukt om onze range te splitten zodat de tweede helft xx.xx.xx.88/29 te bereiken is via de linux router.

In de documentatie zie ik steeds voorbeelden met vlsm /28 of /29. Ik ga nog kijken of ik het zo kan aanpassen dat ik wat meer ip addressen achter de linux router krijg.

Verlichting in de vorm van tips en links blijven zeer welkom.

zaterdag 11 september 2004 13:32

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Dat modem kun je waarschijnlijk ook wel als bridge instellen. Dan kun je je linux firewall als router laten spelen ipv het modem. Je modem gedraagt zich dan gewoon als schakel tussen je ethernet en je DSL netwerk.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 11 september 2004 13:47

Acties:
  • connected
  • Registratie: Juni 2001
  • Laatst online: 04-02 22:07

connected

tja daarnet deed ie nog :P

een 5950 is normaal als ie door xs4all geinstalleerd is al ingesteld dat ie een routed subnet heeft dus je kan netjes ip's aan een firewall toekennen die er achter staat.
stel dan de default gateway in op het ip in op het ip van de efficient router (dit is het eerste bruikbare ip van je subnet.

wil je toch echt graag een extern ip op je servers hebben dan zou ik met astaro proxy arp gebruiken, op deze manier hebben je servers echt een extern ip en kan je toch het packet filter gebruiken om traffic te regelen.

wil je echter nog meer controle over je netwerk (gebruikelijke situatie) maak dan een dmz waarin je servers staan (dan krijgen de servers een eigen interne range en dan heb je echt maximale controle over het verkeer (zowel qos packet filter en natting).

zaterdag 11 september 2004 14:48

Acties:

Verwijderd

Topicstarter
CyBeR schreef op 11 september 2004 @ 13:32:
Dat modem kun je waarschijnlijk ook wel als bridge instellen. Dan kun je je linux firewall als router laten spelen ipv het modem. Je modem gedraagt zich dan gewoon als schakel tussen je ethernet en je DSL netwerk.
Ik zie inderdaad een optie om bridging in te stellen in de webinterface van de efficient.

Ik heb geprobeerd om deze optie aan te zetten zonder succes met als gevolg dat ik de router hardwarematig moest resetten.

Op welke wijze moet ik de interface configureren op de linux firewall? Met het ip-adres van onze gateway of moet ik iets bijzonders doen voor de bridge? De documentatie die ik vind gaat uit van het principe dat je een bridge opzet tussen twee interfaces in de linux machine. Dat is volgens mij niet van toepassing op mijn situatie.

zaterdag 11 september 2004 14:51

Acties:
  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Je linux machine wordt dan de router. Aan de buitenkant had je efficient modem een IP-adres (al dan niet via DHCP verkregen), dat je nu aan de modemkant van je machine moet instellen. Aan de lan-kant van je machine stel je het adres in dat je modem eerst aan de binnenkant had.

All my posts are provided as-is. They come with NO WARRANTY at all.

zaterdag 11 september 2004 19:08

Acties:
  • connected
  • Registratie: Juni 2001
  • Laatst online: 04-02 22:07

connected

tja daarnet deed ie nog :P

hmm niet helmaal cyber,
want hij heeft een subnet ( te zien aan zijn /28 mask)
dit betekend dat de router een heel subnet routeerd.

dus de eerste machine / firewall achter de router zou dan het volgende ip krijgen dat is dus: xxx.xxx.xxx.82
met als gateway de router: xxx.xxx.xxxx.81

de andere ip's van het subnet zouden ook gewoon aan de netwerk kaart kunnen toegewezen.

zaterdag 11 september 2004 20:50

Acties:

Verwijderd

Topicstarter
connected schreef op 11 september 2004 @ 19:08:
hmm niet helmaal cyber,
want hij heeft een subnet ( te zien aan zijn /28 mask)
dit betekend dat de router een heel subnet routeerd.
Klopt.
dus de eerste machine / firewall achter de router zou dan het volgende ip krijgen dat is dus: xxx.xxx.xxx.82
met als gateway de router: xxx.xxx.xxxx.81
Klopt ook.
de andere ip's van het subnet zouden ook gewoon aan de netwerk kaart kunnen toegewezen.
Zo zou ik het willen, maar definieer toewijzen aub.

Na hardwarematige reset volgens instructie ('scherp voorwerp in klein gaatje achterin') is de router dood. Ik kan pas volgende week verder. Wel ivm dit probleem 2e lijns support gesproken en meteen om advies gevraagd over deze materie. Ook deze persoon had het over een bridge.

Ik zie nog steeds niet hoe dit conceptueel in elkaar steekt.
Ik zie bijvoorbeeld dit schema ergens in documentatie.:
code:
1

-> Bridge-in -> Firewall-in -> Kernel -> Firewall-out -> Bridge-out ->

Klinkt heel leuk, maar wat is fysiek gezien bridge in en bridge out? Dit voorbeeld gaat over de situatie waarbij je 2 netwaarkkaarten binnen een machine hebt.

Moet ik een bridge maken tussen twee netwerkkaarten in mijn Linux firewall en die bridge dan het ip-adres van de efficient toekennen?

zondag 12 september 2004 00:25

Acties:
  • connected
  • Registratie: Juni 2001
  • Laatst online: 04-02 22:07

connected

tja daarnet deed ie nog :P

uuhm dat verhaaltje gaat waarschijnlijk over de router zelf (die kan ook wat packtet filtering/routing jouw situatie moet ongevoor als volgt worden:
|
|
efficient router: met routed subnet xxx.xxx.xxx.80/28 ip van de router = xxx.xxx.xxx.81
|
|
linux firewall met alle ipaddressen binnen je subnet:
xxx.xxx.xxx.82
xxx.xxx.xxx.83
xxx.xxx.xxx.84
xxx.xxx.xxx.85
enz...
en dan word de default gateway op de linux machine xxx.xxx.xxx.81
|
|
interne lan/DMZ met een interne ip range zoals 10.0.1.0/24

zoals ik al eerder zei lijkt het me verstandig om astaro te gebruiken die zal het je een heeeel stuk simpeler maken.

[ Voor 6% gewijzigd door connected op 12-09-2004 00:26 ]

zondag 12 september 2004 02:32

Acties:

Verwijderd

Topicstarter
connected schreef op 12 september 2004 @ 00:25:
|
|
efficient router: met routed subnet xxx.xxx.xxx.80/28 ip van de router = xxx.xxx.xxx.81
|
|
linux firewall met alle ipaddressen binnen je subnet:
xxx.xxx.xxx.82
xxx.xxx.xxx.83
xxx.xxx.xxx.84
xxx.xxx.xxx.85
enz...
en dan word de default gateway op de linux machine xxx.xxx.xxx.81
|
|
interne lan/DMZ met een interne ip range zoals 10.0.1.0/24
Begrijp ik goed dat je voorstelt om op een interface van de linux bak alle publieke ip's te definieren en dan alles per destination ip via port forwarding door te sturen naar de verschillende computers binnen een private range.

Is het handig om servers een ander ip te geven dan het adres waarop de service draait volgens de client? Ik weet dat het op zich wel gaat, maar volgens mij raak je zo de voordelen van een range publieke ip's deels kwijt.

Het is in ieder geval weer een optie om te proberen.

zondag 12 september 2004 03:09

Acties:
  • connected
  • Registratie: Juni 2001
  • Laatst online: 04-02 22:07

connected

tja daarnet deed ie nog :P

nou ja het heeft eigenlijk heel wat voordelen.
je hebt op deze manier veel meer controle over je verkeer je kan bijv kiezen om meerdere poorten op 1 extern ip naar verschillende servers te natten
dus:
ip xxx.xxx.xxx.82 poort 80 -> 192.168.5.10
ip xxx.xxx.xxx.82 poort 25 -> 192.168.5.11

en ook een voordeel is dat je servers nog weer eens in verschillende subnets te zetten waardoor ze ook nog eens geisoleerd zijn.

verder is het op deze manier ook wel makkelijk om een server te vervangen in een seconde of gouw bijv een tijdelijke pagina te laten dien door simpelweg even een nat rule te veranderen.
Pagina: 1
Reageer