2 Firewalls hintereinander

#0
28.12.2002, 14:30
cico
zu Gast
#1 folgendes Prob.
Zwei Linux Rechner als Firewall hintereinander, dazwischen quasi eine DMZ. Die FW, welche ins WEB zeigt, macht masquerading und filtering(SuSEfirewall2). Bei der zweiten FW ist das Masquerading ausgeschaltet, sie soll nur routen und strenger filtern als die erste. Von der DMZ und der zweiten FW aus läuft alles prima. Hinter der zweiten FW jedoch kann ich nicht ins WEB pingen. Bei dieser ist als default gateway die erste FW eingetragen. ich denke, ich muss irgendwie eine statische Route eintragen, damit die Pakete vom Web wieder zurück hinter die 2.FW gelangen.
Muss ich diese bei der ersten oder zweiten FW eintragen?
muss der Eintrag mit Route -add oder im FWconfig script eingetragen werden?
Seitenanfang Seitenende
28.12.2002, 16:32
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#2 Ich glaube Du hast da was falsch verstanden - Dein internes Netz muß als Standardgateway die zweite Firewall haben und dort muß ne Route zur ersten gelegt werden, da diese sich ja in einem anderen Netz befindet.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Seitenanfang Seitenende
28.12.2002, 22:38
cico
zu Gast

Themenstarter
#3 Ich glaube, ich habe das doch richtig verstanden.


________ LAN1 192.168.115.0/24
192.168.1.0/24 ¦
www----FW1-----------------------FW2
¦ ¦ ¦________ LAN2 10.60.30.0/16
¦ ¦
DMZ1 DMZ2
192.168.10.0/24


nur ist meine Config ein wenig komplizierter.FW1 hat 3 NIC's.In der DMZ1 sind Web-,FTP-,DNS-,Mail-,....Server. In der DMZ2 sind 12 Rechner, auf die z.T.Ports und ofizielle IP's gemapt sind. FW2 hat nur 2NIC's (1HE-Server), dort habe ich ein Alias (eth1:0) eingerichtet. LAN 1 und 2 haben FW2 als Default-Router. FW2 hat FW1 als Default-Router.
Jetzt muss ich doch "nur" bei der FW1 zwei Routes setzten, oder ?

Source Dest.
192.168.115.0/24 "IP-FW2" und
10.60.30.0/16 "IP-FW2"

Sehe ich das richtig ?
(Ich kann nicht rumprobieren, das Netz ist 24h/Tag Iin Betrieb!!!)
Seitenanfang Seitenende
28.12.2002, 22:43
cico
zu Gast

Themenstarter
#4 Naja

FW1 hat 3 Interfaces, FW2 hat 2 (ein 3. virituelles).
DMZ1 ist an der FW1, DMZ2 zwischen beiden FW's. An der FW2 sind zwei grössere Netzwerke.
Seitenanfang Seitenende
28.12.2002, 22:56
Ehrenmitglied
Avatar Robert

Beiträge: 2283
#5 Hier erstmal die richtige Zeichnung:



Ich denk noch drüber nach.

Kann es sein, daß Du an irgendeiner Stelle die ICMP filterst? Geht ansonsten web und ftp und ähnliches aus dem internen Netz?

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...
Dieser Beitrag wurde am 28.12.2002 um 22:58 Uhr von Robert editiert.
Seitenanfang Seitenende
29.12.2002, 02:47
cico
zu Gast

Themenstarter
#6 Hmmm...

habe die FW2 mal ganz geöffnet und lasse ICMP Pakete durch...
vom LAN aus komme ich überhaupt nicht raus.

Ich versuche mal die DMZ2 Rechner zu pingen...hmmm aber wenn ich das so anschaue....wie soll ein rechner in der DMZ2 wissen, dass er die Pakete, welche vom LAN kommen, nicht an den Default GW (FW1) sondern an FW2 schicken muss ?? Ich denke, da brauchts manuelle Routingeinträge !?!?
Die Frage ist weiterhin, bei der FW2 habe ich masquerading ausgeschaltet, wie bildet SuSEfirewall2 denn die LAN IP's ab?
Seitenanfang Seitenende