On Fri, Mar 21, 2003 at 02:25:02PM +0100, Daniel Golesny wrote: > Naja, ich habe die Moeglichkeit 2 DNS-Server ohne Probleme vor die > Firewall zu packen und habe somit schon mal keine Probleme mit den IPs > fuer diese beiden Server.
Stimmt. Denk nur dran, die mit iptables abzusichern. > |<--8er Netz-->| |<----- private Adressen ----->| > ,-------, > Router --+---- | FW | --- DMZ mit 20 Servern > | '-------' > |- DNS (prim) > '- DNS (sek) Das sieht doch gut aus. Ich hatte es zunächst leider so verstanden, dass du das 8er-Netz hinter die Firewall packen wolltest. > Die Frage lautet also: > Wie kann ich oeffentlich auf den WebServer1 zugreifen, obwohl er eine > private IP-Adresse hat? Mit "reverse NAT". Am einfachsten wird es, wenn du ein Firewall-GUI nimmst wie "fwbuilder". Dort erstellst du eine iptables-Regel, die deine Firewall anweist, bestimmte Ports auf Rechner im privaten Netz weiterzuleiten. Natürlich hast du dabei Beschränkungen, denn du kannst den Port 80 natürlich nur an ein System weiterleiten. > Sprich: > Fuer die Domain A ist als IP-Nummer die x.x.x.7 eingetragen. > Jetzt muesste die FW erkennen, dass es sich um einen WWW-Zugriff handelt > und auf den WebServer weiterleiten. Das geht nicht so einfach. Du kannst nur auf Port-Basis NATen. Am besten du schickst alle Port 80-Anfragen an einen Rechner und der arbeitet dann mit virtuellen Hosts. > Das 8er Netz kriege ich vom ISP und das wird dann mein Linknetz. Ja, nein, äh, irgendwie ist das kein Linknetz. Ein Linknetz würdest du nur zwischen zwei Routern (bzw. Firewalls) nehmen, wenn du per Routing ein anderes Netz erreichen willst. Du kannst ja aber die privaten Adressen nicht routen - weil sie eben *privat* sind. :) > Aus dem Linknetz will ich die Server hinter Firewall ansprechen, je > nachdem welcher Service angesprochen ist. Das geht natürlich. Auch wenn ich es Verschwendung finde, wenn du die gültigen IPs nicht hinter die Firewall packst, *wenn* du schon gültige Adressen bekommst. Christoph -- ~ ~ ".signature" [Modified] 3 lines --100%-- 3,41 All -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)