Toon posts:

server in DMZ, portforeden naar andere machine

Pagina: 1
Acties:

zondag 24 oktober 2004 16:35

Acties:
  • Haranaka
  • Registratie: September 2000
  • Laatst online: 08-09-2025

Haranaka

Topicstarter
Ik heb hier een router die maximaal 12 poorten kan forwarden, momenteel worden er voor de diverse services die mijn server draait 8 poorten geforward, ftp,ssh,www etc.
Nu heb ik op een andere machine (werkstation) in het netwerk ook een aantal poorten nodig, je raad het al, ik wil meer poorten hebben dan de 12 die de router ondersteund.

Nu zat ik te denken als ik nou de server in de DMZ zet dan wordt simpel alles geforward naar mijn linux server, kan ik nu met een setje iptable regels de gewenste poorten weer forwarden naar mijn werkstation? Port forwarden heb ik ooit eens toegepast, maar dat was toen mijn linux server dienst deed als router.

situatie:
code:
1
2

[internet] --- [router] --- [server]
                        \-- [werksatation]


Of heb ik dan 2 nics nodig in mijn linux server om de juiste poorten toch weer naar mijn werkstation te kunnen krijgen.
code:
1
2

[internet] --- [router] --- [server] --- [werksatation]
                        \--


Of als iemand creatieve idee heeft, die zijn van harte welkom.

...

maandag 25 oktober 2004 03:11

Acties:
  • Buffy
  • Registratie: April 2002
  • Laatst online: 26-12-2024

Buffy

Fire bad, Tree pretty

Het probleem met portforwarden over het zelfde subnet (1 nic dus) is dat je werkstation het terugverkeer rechtstreeks naar de router stuurt. De router ziet dus een binnenkomende verbinding die geportforward wordt naar je server en een uitgaande verbinding van je werkstation naar de zelfde computer-port op het internet. De vraag is of je router dat leuk vindt.
Er zijn twee mogelijke oplossingen. Je kan de door de server geforwarde verbindingen ook nog source natten (SNAT) zodat de werkstation denkt dat de verbinding vanaf de server afkomstig is. Een andere oplossing is op de werkstation de server als default route op te geven waardoor al het verkeer via de server gerout wordt (en dus twee keer over het ethernet gaat :)).

Met een tweede nic en je werkstation op een apart subnet werkt je server als een gateway/router en zou het dus moeten werken maar dan is de vraag waar je de hardware router dan nog voor nodig hebt aangezien je server dan ook de firewall taken kan overnemen (wat overigens ietsje minder veilig is).

That which doesn't kill us, makes us stranger - Trevor (AEon FLux)
When a finger points at the moon, the imbecile looks at the finger (Chinese Proverb)

maandag 25 oktober 2004 08:27

Acties:
  • pinball
  • Registratie: Oktober 1999
  • Niet online

pinball

Electric Monk

Ik kan bijna niet geloven dat er echt maar 12 geforward kunnen worden. Weet je zeker dat dat niet alleen een beperking is van de webinterface? In dat geval zou je denk ik met telnet/ssh in kunnen loggen en handmatig de forwardregels invoeren.

Whenever you find that you are on the side of the majority, it is time to reform.

maandag 25 oktober 2004 08:37

Acties:
  • GambitRS
  • Registratie: Juni 2001
  • Laatst online: 13-06-2013

GambitRS

w00t

Heb je al geprobeerd in je webinterface om poorten te scheiden met komma's, dus meerdere poorten op 1 regel (21,80,etc.)? Dat je een X aantal regels hebt betekend meestal niet dat je maar X aantal poorten kan forwarden.

MechWarrior || Monsters Game

Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq