Class-C-Netz identisch durch Firewall routen?

#1 Folgendes Szenario:

Verschiedene Rechner sind in einem öffentlichen Class-Netz gebunden. Die Sicherheit der jeweiligen Rechner wurde bisher durch regelmäßige Updates sowie Software-Firewalls auf den Servern selbst realisiert.

Jetzt möchte ich eine dedizierte Softwarefirewall (abgespecktes Linux Redhat mit IPTable-Policen von fwbuilder.org) vorschalten. Die Firewall soll also das bisherige Netz identisch durchrouten und gleichzeitig die Pakete kontrollieren.

Bisher war mir klar, das man in verschiedene Subnetze routen kann, aber wie reicht man ein Class-C-Netz identisch durch und hinterläßt gleichzeitig seinen Firewall-Stempel? Die klassische Firewall arbeitet ja meist nach dem Prinzip Internet/Intranet. NAT etc. ist wohl bei meiner Variante auch Fehl am Platz.

Der dedizierte Firewall-Server ist mit 2 Netzwerkkarten ausgestattet, also nichts besonderes. Vielleicht kann ja jemand bitte einmal eine Beispielroute/Netzwerkeinstellungen zur Konfiguration posten.

Hintergrund: Ich möchte bei den bisher gebunden Rechnern möglichst keine Netzwerkänderungen vornehmen müssen (IP-Adressen, Gateway etc.).

Naja, ich weiß ja auch nicht, ob das oben beschriebene Szenario überhaupt so lösbar/denkbar ist.

Ich hoffe, das Thema paßt hier besser als unter einem Firewall-Topic, anyway.

Besten Dank im Voraus für Eure hilfreichen Ideen, Gruß Ralf!

#2 Prinzipiell ganz einfach: Die Firewall muß der Default Gateway für alle Rechner sein und entsprechend routen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#3 Hmm, d.h., ich müßte auf den Rechnern hinter der Firewall, auf jeden Fall das Gateway auf die Firewall umstellen. Nunja, das sollte nicht so problemtisch sein. Dennoch muß ich hierbei einen Denkfehler haben. Folgende Beispielkonfiguration funktioniert testweise, ist aber in meinem Fall nicht gewollt.

eth0

IP-Adresse: 212.184.83.38
Subnet: 255.255.255.224
Gateway: 212.184.83.33

eth1

IP-Adresse: 192.168.0.6
Subnet: 255.255.255.0
Gateway: 212.184.83.38

Ich lasse von eth0 nach eth1 forwarden. Alle internen Rechner benutzen die IP-Adresse 192.168.0.6 als Gateway.

Diese von mir eigentlich gewünschte Konstellation funktioniert aber nicht.

Beispiel:

eth0

IP-Adresse: 212.184.83.45
Subnet: 255.255.255.224
Gateway: 212.184.83.33

eth1

IP-Adresse: 212.184.83.49
Subnet: 255.255.255.224
Gateway: 212.184.83.45

Das interne Forwarden von eth0 nach eth1 mit der gleichen Regel funktioniert nicht. So können die Rechner hinter der angedachten Firewall zwar auf den Gateway 212.184.83.49 zugreifen, aber nicht heraus routen/pingen etc.. Weiter IPTable-Policen sind zum Testen, um auch Fehlerquellen auszuschalten, erst einmal nicht gesetzt. Die Netzwerkkarten sind funktionstüchtig.

Vielleicht kann mir ja jemand auf die Sprünge helfen, warum das nicht funktioniert. Liegt das vielleicht daran, daß ich intern auf der Firewall gleiche Subnetze verwende? Ein Paradebeispiel würde mir hierbei weiterhelfen. Ich möchte also bewirken, daß die öffentlichen IP-Adressen, die ich sonst normal über den Gateway 212.184.183.33 (Router) erreiche, auch hinter der Firewall erreichbar sind. Wenn das funktioniert, kann ich ja die Firewall-Regel aufschalten. Ich denke, mein Problem liegt wohl im "Eingemachten" ;o).

Besten Dank im Voraus, Gruß Ralf!

#4 du musst NAT verwenden, da deine internen privaten IPs nicht geroutet werden

greez

#5 @Emba

Ja stimmt, jetzt fällt mir das auch auf. Im ersten Beispiel sind ja die privaten IP-Adressen sowieso nicht extern erreichbar. Ich probiere das einmal aus und melde mich entsprechend zurück. Du meinst aber, daß die zuletzt genannten Netzwerkeinstellungen als Basis schon einmal grundsätzlich stimmen?

Bis dann, Gruß Ralf!

#6 Wie jetzt, ich denke die Rechner haben alle eine offizielle IP Adresse???

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#7 @ralf

Zitat

Du meinst aber, daß die zuletzt genannten Netzwerkeinstellungen als Basis schon einmal grundsätzlich stimmen?

ja, das meine ich

@robert
das dachte ich anfangs auch, fiel mir beim genauen lesen aber auf

greez

#8 @Robert

Ähm, ja, mein Szenario soll komplett auf öffentlichen IP-Adressen basieren - richtig. Ich meinte nur, bei meinem zuerst genannten Beispiel sind ja die privaten IP-Adressen extern nicht erreichbar (kein NAT, nur Forward). Im zweiten genannten Beispiel möchte ich aber, daß neben dem Routing die öffentlichen IP-Adressen (Webserver etc.) auch hinter der Firewall erreichbar sind. Die Frage war also, ob diese Netzwerkeinstellungen hier zunächst als Basis dafür korrekt sind/wären.

eth0

IP-Adresse: 212.184.83.45
Subnet: 255.255.255.224
Gateway: 212.184.83.33

eth1

IP-Adresse: 212.184.83.49
Subnet: 255.255.255.224
Gateway: 212.184.83.45

Der Gateway der "internen" Rechner hinter der Firewall mit öffentlichen IP-Adressen wäre dann die 212.184.83.49.


@Emba

Wir haben jetzt nicht aneinander vorbeigedacht, siehe u.a. oben? Ich möchte nur noch einmal sichergehen, da mich der richtige Einwand von Robert etwas verwirrt hat. Ich hoffe, ich habe mich dieses Mal klar ausgedrückt *grins*.

CU Ralf

p.s. Bei meinem letzten Beispiel mit den öffentlichen IP-Adressen funktioniert aber übrigens das Forwarding sowie bei dem Beispiel mit den privaten IP-Adressen nicht, d.h., das wäre dann nur mit NAT zu realisieren? Hmm, irgenwie habe ich das Gefühl, daß ich hierbei irgendetwas netzwerktopologisch mißachte (gleiches Subnetz etc.). Aber so aus der Welt gegriffen kann diese Frage ja auch nicht sein, da ich mir vorstellen kann, daß das in RZs neben Hardware-Firewalls öfters so realisiert wird.

#9 Welcher Adressrange ist Dir denn zugeteilt worden? Welche IP hat der Router Deines ISP?

Ich "rat" jetzt mal: 212.184.83.32 - 212.184.83.63
Der Router hat die 212.184.83.33
Firewall die 212.184.83.49 "intern" und 212.184.83.45 "extern"

Prinzipiell sollte es so gehen.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#10 > Ich "rat" jetzt mal: 212.184.83.32 - 212.184.83.63

Oder bei RIPE nachgesehen *grins*?

> Der Router hat die 212.184.83.33

Yeep, das funktioniert auch prima, siehe meine Konstellation mit den privaten IP-Adressen.

> Firewall die 212.184.83.49 "intern" und 212.184.84.45 "extern"

Dito, ich dachte mir, das ich gleich korrekte IP-Adressen angebe, ehe sich noch dahingehend Fehlerquellen einschleichen. Das ist natürlich kein Class-C-Netz, diese Implementierung ist aber in einer anderen Location für ein solches gedacht. Es geht ja um die prinzipielle Gestaltung der Konfiguration, die ich hier vor dem Scharfschalten erst einmal ausgiebig im Office austesten möchte.

> Prinzipiell sollte es so gehen.

OK, gut, dann werde ich jetzt die NAT-Regeln aufsetzen und schauen, ob das so funktioniert. Ggf. melde ich mich mit einem Feedback zurück, ob das nun funktioniert hat oder nicht. Besten Dank nochmals für die abendliche Unterstützung! Gruß Ralf

#11 @ralf

nur noch mal der vollständigkeit halber: wenn die internen rechner auch öffentliche IPs besitzen, so ist NAT nicht zwingend notwendig

greez

#12 OK, d.h., Forward und Masquerade sollten basistechnisch ausreichen. Die Rechner hinter der Firewall sollen aus den verschiedensten Gründen heraus über öffentliche IP-Adressen erreichbar sein (Domain-Pointing der Kunden, Housingserver mit weiterhin gleichen IP-Ranges, ich kann allen Hosuingkunden nicht zumuten, das komplette Netzwerk bezüglich der Firewall neukonfigurieren zu müssen, Ausfälle & Downtimes wären vorhersehbar.). Ich möchte also bewußt keine übliche Internet/Intranet-Konstellation erstellen. Besten Dank nochmals für Deine Ergänzung, ich melde mich hoffentlich mit Erfolgen zurück ;o), Gruß Ralf!