IP Cop - DMZ einrichten

#1 der magn wieder ...

also hallo alle helferlein hier

mein anliegen:
ich habe bei mir mit ipcop 1.2 ein netz aufgebaut (grün, orange, rot).
zugang zum wan läuft tadellos und ... das wars dann auch schon

das problem:
ich versuche jetzt schon geraume zeit, meinen webserver in der dmz anzusprechen. leider bis jetzt vergebens.
die netzwerkkarten sind alle drei eingerichtet (liegt an der grünen und orangenen schnittstelle eigentlich die gleiche ip an oder muss ich dafür verschiedene vergeben ?) und der webserver wurde von mir auch nicht neu installiert, funzt also.
ich kann aber weder vom webserver den router pingen noch umgekehrt.
das onlinehandbuch bezieht sich leider nur auf ipcop 1.1 und infos bei solchen problemen enthält es leider auch nicht. da ich mich noch so ziemlich am anfang von linux befinde komme ich deshalb nun nicht weiter und bitte um hilfe im forum.
ach ja, die netzwerkkarten sollten ok sein. hatte 2 davon vorher alleine in einem rot/grünen netz laufen und eine davon geht jetzt bei mir in die dmz

noch schnell die fakten:
router: ipcop 1.2
eth0 -> grün 172.16.5.1 255.255.255.0
eth1 -> orange 172.16.5.1 255.255.255.0
eth2 -> rot pppoe

(DMZ) mandrake 9.1
eth0 -> 172.16.5.2 255.255.255.0
gateway -> 172.16.5.1
dns -> 172.16.5.1

grünes netz oberhalb 172.16.5.2 (172.16.5.3, 172.16.5.4 ...)

noch was vergessen, dann bitte nachfragen

danke euch
magndreams

#2 kurze frage:

beim überfliegen ist mir aufgefallen, dass 2 interfaces die gleiche IP haben??

greez

#3 deshalb ja auch in klammern das fragezeichen. sollte es nur daran liegen das es nicht funzt ? obwohl ich eigentlich dachte das diese interfaces (grün, orange) die gleiche ip haben müssen oder nicht ???

#4 wie gesagt: k.a. bei IPCOP

aber wenn du 2 NIC´s hast, dann müssen die 2 versch. IP´s haben (es sei denn du machst eine art trunking - glaub ich eher net)

außerdem ist eine dmz ein vom internen netz getrenntes netz (andere netzwerkadresse)
=> bei dir zum beispiel

netz 1 : 172.16.5.0/24
netz 2 : 172.16.6.0/24 (DMZ)

dann noch das routing aktivieren und die FW rules entsprechend anpassen, dass er auch in die DMZ von einer von dir gewählten quelle zugreifen kann

greez

#5 Grün und Orange können sich bei IPCop nicht untereinander unterhalten, da die Orangene Ebene unsicher ist und IPCop sie deshalb von der "sicheren" Grünen Ebene abtrennt.
__________
da sitzt bestimmt immer n typ, der dann auf "disconnect" drückt, wenn 24 h vorbei sind

#6 aha, das haben also die farben zu bedeuten

dennoch dürfen 2 NIC´s net die selbe IP haben
und unter DMZ versteh ich auch noch was anderes, als das IPCOP ein netz mittels FW rulesets in 2 verschiedene "virtuell" spaltet

rechner in einer DMZ gehören einfach in ein anderes netz, sonst ist der sinn einer DMZ schon von vornherein zerstört

greez

#7 so leuts, kurz mal ne aufklärung:
habe jetzt meinen server neu aufgesetzt, da ich das eh noch vorhatte (der ordnung wegen).
also ip-vergabe wie oben und:
ich komme gar wohl von grün nach orange
warum sollte das auch net gehen ??? muss doch den server irgentwie warten.
also connect hinter der firewall klappt jetzt inclusive samba und webmin *freufreu*
bleibt zum schluss aber trotzdem noch eine frage offen:
warum komme ich auf den server nur über meine lokale ip und net über die von t-online vergebene ???
vermutung 1 (welche mir sehr angenehm wäre):
firewall lässt dat nicht zu, sprich müsste ich von nem bekannten aus testen
vermutung 2 (da bräuchte ich wieder hilfe):
weiterleitung aus dem wan in die dmz funzt noch nicht korrekt

btw: ich lese in den howtos von ipcop dauernt was von dem dienst
"External Service Access". den gibt es aber bei der 1.2er version nicht mehr. kann mir da jemand weiterhelfen, da dieser dienst u.u. genau das problem hier ist ?

thx magndreams

#8 also laut dem install handbuch der version 1.2 heisst es das grün nicht auf orange zugreifen kann.. naja warum es bei dir dennoch geht kein plan.


hast du dran gedacht die ports dran zu hängen bei den ip's ?

also für normal http protocol --> http://ip:81
und für secure http protocol --> http://ip:445

denn ich komme frauf ohne das ich etwas am server selbst oder an den firewallrulez ändern muss.
__________
da sitzt bestimmt immer n typ, der dann auf "disconnect" drückt, wenn 24 h vorbei sind

#9 http dacht ich ist port 80 ??? k, ich versuche auch das mal.
bzgl.: grün-ora:
hast du sicher verwechselt. man kann nicht von ora auf grün zugreifen. dafür bräuchtest du n dmz-schlupfloch, was man aber nach möglichkeit vermeiden sollte. schau da noch mal.
bei mir ist wie gesagt nur noch das prob von draussen auf den server zu kommen, der in der dmz steht

#10 http läuft standardmässig auf port 80, was veränderbar ist

kannst du mal einen auszug des ergebnisses was ipchains/iptables -L (kommandozeile) liefert pasten?

ich versteh immer noch nicht, warum du, auch wenn es scheinbar funzt, du zwei verschiedenen NIC´s die gleiche IP gibst

greez

#11 stimmt hast recht war umgekehrt mit orange auf grün, sorry
und bei IPCop ist der http port standart mässig auf 81 gestellt.. steht auch in der FAQ und bedienungs bzw. installations anleitung.
__________
da sitzt bestimmt immer n typ, der dann auf "disconnect" drückt, wenn 24 h vorbei sind

#12 komisch, jetzt hatte ich mal den server runtergefahren (stromsparen über nacht) und fahre den heute wieder hoch und ....
nix
jetzt brennen plötzlich die lämpchen der netzwerkkarten nicht mehr und der server ist somit auch nicht mehr erreichbar.
wenn ich den server mit dem vorhandenen netzwerkkabel an meinen hub hänge (sprich ins grüne netzwerk) geht alles. wenn ich das ora-interface von ipcop mit dem hub verbinde leuchtet auch da dann die netzwerkkarte. verbinde ich das interface aber wieder mit dem server direkt geht wieder nix
kann mir jemand nen typ geben was da nu wieder passiert ist ? bin hier am rumprobieren und suchen wo der fehler liegen könnte, komme aber einfach nicht weiter. bevor ich den server gestern runtergefahren habe (also per halt, net einfach am schalter ausgemacht) ging alles bestens.
*grübelgrübel*

danke euch schonmal für eure hilfe

#13 @magndreams

wenn du willst, dass man dir hier hilft, dann sei kooperativ und schreibe nicht immer, dass hier irgendwas nicht geht...

wie wärs, wenn du mal auf die fragen hier eingehst?
meine 2 fragen oben hast du immer noch nicht beantwortet...!!!!!!!!!!!

greez

#14 @emba, mom sorry, sofort:
also auf dem router läßst sich dein kommando nicht ausführen. ich glaube aber, das hier (router) das problem liegt. das mit den lämpchen geht jetzt auch wieder. ich depp hatte kein crossover-kabel benutzt.
zu den ip-einstellungen:
habe jetzt versch. ip´s vergeben:
grünes interface: 172.16.5.1
ora interface: 172.16.6.1
rotes interface: pppoe
grünes netz: ip+s ab 172.16.5.3 aufwärts
server: 172.16.6.2
was geb ich dem server aber nun z.b. als gateway ? 172.16.5.1 oder 172.16.6.1 ???
übrigens: wenn ich den server ans grüne netz hänge (dann aber ip 172.16.5.2 und gateway 172.16.5.1) ist er zumindest lokal voll verfügbar wenn dir das hilft

magndreams

#15 okay

danke für die prompte aufklärung

theoretisch muss es so aussehen

MD 9.1 192.168.6.2/24 (DMZ) -> IPCop 192.168.6.1/24 -> IPCop 192.168.5.1/24 -> internes LAN 192.168.5.0/24

standardgateway am IPCop rechner = NIC, die ins WAN zeigt (Eth2)
standardgateway am Webserver = 192.168.6.1

entsprechend musst du auf der FW die ports weiterleiten, rules stricken und das routing aktivieren

greez