Na ich hab das Ding noch nicht in H�nden gehabt. Ich sprach von meinen Erfahrungen mit diversen Routern. (von Soho smc, netgear, ...,vigor, bis hin zu Checkpoint, Netbay, Cisco....) Zywall war bisher nicht dabei (soll ich jetzt sagen Gott sei Dank?).
Grunds�tzlich muss der Router schon wissen wenn von aussen auf einer (da sind mehrere ip Adressen m�glich) �ffentlichen IP ein wunsch nach port 25 kommt wohin er diese Anfragen senden soll im Internen Netzwerk. Egal ob hier genated und die firewall agiert. Der ROUTER MUSS wissen wohin er per NAT diesen Port von (�ffentliche)Adresse auf (interne)Adresse weiter routen soll. Raten wird er kaum und (er hat ja minimum 254 M�glichkeiten) selbst lernen wird er es auch nicht. Klar dann noch der Firewall sagen das er anfragen auf port 25 durchlassen soll. Das routen ist ja nicht die Aufgabe der Firewall. Aber wenn die FW nicht blockt muss daher der, wo auch immer implementierte NatRouter, die Packete korrekt durchreichen und adressieren. Dazu ist es notwendig das man dem Router sagt �ffentliche Adresse Port 25 soll an Interne Adresse port sowieso ergehen. Sonst wird das ganze einfach nix mit dem Mailserver. Basta. Gleichzeitig k�nnte mann da ja auf die gleiche �ffentliche Adresse zb auf Port 80 einen ganz anderen Server betreiben. Und f�r FTP und POP und sowieso jeweils einen anderen Server auf einer anderen IP betreiben. Das bringen sogar die einfachsten router um ~50 Euronen schon zusammen. Da braucht man nicht mal DMZ dazu. Zu dem hat man ja meist die Port Forwarding Table. Und zum Thema Sicherheit, SMTP korrekt konfigurieren usw. brauch ich hoffentlich da jetzt gar nix sagen. @stefan: wahrscheinlich nur ein kleiner konfigfehler. Kopf hoch :-) Mit freundlichen Gr��en HH > -----Urspr�ngliche Nachricht----- > Von: [EMAIL PROTECTED] > [mailto:[EMAIL PROTECTED] Im Auftrag von Andreas Labres > Gesendet: Mittwoch, 03. November 2004 20:07 > An: [EMAIL PROTECTED] > Betreff: Re: [Coffeehouse] Router > > On Wed, 3 Nov 2004 16:38:32 +0100, Herbert Hahn wrote: > >Source Address: Any > >Destination Address: Any ---> hier nicht ANY sondern die > �ffentliche IP Adresse > > Nein. > Also wir reden hier von einer ZyXEL ZyWall (Firmware ist > relativ egal). > Die unterscheidet zwischen WAN to WAN/ZyWall Regeln und WAN > to LAN Regeln. > Bei ersterer sind die WANseitige(n) IP-Adresse(n) die Destination. Bei > letzterer (und um die ging's ja hier) sind die LANseitigen - > typischerweise geNATeten privaten - IP-Adressen einzutragen. > (f�r die DMZ ist das entsprechend zu erweitern) > > >Action for Matched Packets: Forward ---> muss/kann man da > nicht angeben an welche adresse er > >forwarden soll. > > Falls das eine Frage sein soll: nein, das Forward in der > Firewall-Regel > hei�t nur "durchlassen" (im Gegensatz zu Block). > > Firewall Regeln haben im �brigen *nix* mit dem Routing (oder > dem NAT) zu > tun, das ist nur ein Filter, der entscheidet: dieses Paket ist keine > Antwort auf ein Paket von innen, gibt's daf�r eine "forward" > Regel? Falls > nein, dann wird das Paket gedroppt. Falls es hingegen > durchgelassen werden > soll, mu� es eben geroutet werden k�nnen oder es gibt einen > Eintrag daf�r > in der Port Forwarding Table. > > Drum kann man die Frage "was ist vorher, was ist nachher geschaltet?", > auch nicht so w�rtlich beantworten, weil > - zuerst wird per NAT die IP-Adresse umgesetzt > - dann wirken die Firewall Regeln > - und dann wird geroutet > [und bitte jetzt nicht fragen, wann die Packet Filter wirken, ich kann > mich nimmer erinnern ;) ] > > >Denn dadurch weiss er ja an welche maschine er > unaufgeforderte packete senden soll. > >Im gegensatz dazu wird wenn von innerhalb deines netzes eine > anfrage kommt wohin er die Antworten > >senden muss. Umgekehrt weiss er es eben nicht auf welche IP > er die packete senden soll und sie > >landen im nirvana. > > Das hier gesagte kann ich nicht nachvollziehen. Aber ich habe > das Gef�hl, > hier vermischen sich Firewall Regeln und Address Translation und > Routing... ;) > > Servus, Andreas > _______________________________________________ > Coffeehouse Mailingliste, Postings senden an: > [EMAIL PROTECTED] > An-/Abmeldung und Suchfunktion unter: > http://www.glengamoi.com/mailman/listinfo/coffeehouse > _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
