5
Netscreen NS5GT: Routing auf Grund von eingehenden IP-Adressen
Hallo,
bisher routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server.
Network / Interfaces / VIP
Nun haben wir den Fall, dass wir nicht auf Grund eines Ports, sondern auf Grund einer eingehenden IP-Adresse an einen Server routen müssen.
Wie kann ich das in der NS5GT einstellen?
Gruß Mäxx
bisher routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server.
Network / Interfaces / VIP
Nun haben wir den Fall, dass wir nicht auf Grund eines Ports, sondern auf Grund einer eingehenden IP-Adresse an einen Server routen müssen.
Wie kann ich das in der NS5GT einstellen?
Gruß Mäxx
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 245080
Url: https://administrator.de/contentid/245080
Printed on: April 19, 2024 at 14:04 o'clock
5 Comments
Latest comment
Ist das die MIP?
routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server.
Sehr ungewöhnlich aber durchaus machbar. Der gemeine Netzwerker nennt sowas Policy Based Routing. In der Regel basiert das auch einer ACL (Accesslist) bzw. bei dir vermutlich einer Firewall Regel die dann den entsprechenden inbound Traffic filtert und mit einem neuen next Hop Gateway versieht.Im Grunde ist das was du jetzt willst vollkommen identisch. Du filterst eben halt nur nicht auf den TCP oder UDP Port sondern auf eine Destination IP Adresse.
Du musst also nichts anderes machen als die Regel etwas anzupassen !
Wer oder was MIP ist kann dir vermutlich keiner sagen Multicast IP oder Medium Independent Port....?? Ist ein unüblicher Begriff im Netzwerk Umfeld.
Ok, danke für deine Antwort.
Habe es aber noch nicht ganz verstanden.
Routen auf Grund von Ports:
Bisher stelle ich beim Interface (VIP) ein, dass und wohin ich routen möchte.
Dieses Routen muss ich dann aber noch über eine Policy erlauben.
Nun kann ich in der Policy auch einstellen, dass es nur für bestimmte externe Adressen gilt. Das ist auch richtig.
Ich verstehe hier jetzt aber die Arbeitsweise der Firewall nicht.
Nur weil ich was erlaube, heißt es ja nicht, dass die Firewall das dann auch macht.
Ich erlaube den Datenverkehr zwischen einer externen Adresse und einem internen Server. Aber wo sage ich nun, dass der Datenverkehr auch umgeleitet wird.
MIP steht für Mapped-IP. Dort kann ich eine Mapped-IP, Host IP, Netmask und einen VRouter eintragen. Leider kann ich aber nicht "mal eben" testen was passiert.
Hintergrund:
Es kommen in Zukunft über ein und den selben Port Daten rein. Diese werden aber von zwei verschiedenen Softwaresystem verarbeitet. Die einzige Unterscheidung ist die externe IP-Adresse. Da es sich um die Automobilindustrie handelt, ist hier alles SEHR starr. Ich kann also nicht einfach sagen, dass die einen anderen Port nehmen sollen
. Auch eine Verbindung der Softwaresysteme ist nicht möglich.
Habe es aber noch nicht ganz verstanden.
Routen auf Grund von Ports:
Bisher stelle ich beim Interface (VIP) ein, dass und wohin ich routen möchte.
Dieses Routen muss ich dann aber noch über eine Policy erlauben.
Nun kann ich in der Policy auch einstellen, dass es nur für bestimmte externe Adressen gilt. Das ist auch richtig.
Ich verstehe hier jetzt aber die Arbeitsweise der Firewall nicht.
Nur weil ich was erlaube, heißt es ja nicht, dass die Firewall das dann auch macht.
Ich erlaube den Datenverkehr zwischen einer externen Adresse und einem internen Server. Aber wo sage ich nun, dass der Datenverkehr auch umgeleitet wird.
MIP steht für Mapped-IP. Dort kann ich eine Mapped-IP, Host IP, Netmask und einen VRouter eintragen. Leider kann ich aber nicht "mal eben" testen was passiert.
Hintergrund:
Es kommen in Zukunft über ein und den selben Port Daten rein. Diese werden aber von zwei verschiedenen Softwaresystem verarbeitet. Die einzige Unterscheidung ist die externe IP-Adresse. Da es sich um die Automobilindustrie handelt, ist hier alles SEHR starr. Ich kann also nicht einfach sagen, dass die einen anderen Port nehmen sollen
. Auch eine Verbindung der Softwaresysteme ist nicht möglich.
Du musst, bzw. die Firewall, ja zuallererst auch mal den Traffic Flow vorher klassifizieren. D.h. sie muss wissen WELCHEN Flow also welche Pakete du von welchen Quelladressen zu welcher Zieladresse mit einem anderen next Hop Gateway versehen willst !
Raten oder dir von der Stirn ablesen kann die Firewall das ja (noch) nicht...logisch !
Folglich musst du diesen Traffic erst klassifizieren was mit einer ACL oder einer Regel passiert.
Erst danach sagst du der FW dann was mit diesem Flow passieren soll....anderes next Hop Gateway z.B. in deinem Fall.
Das ist die simple Logik die dahinter steht.
Nur mal um den Begriff "Port" hier zu klären den du nicht eindeutig in deiner Beschreibung klärst...
Meinst du damit den TCP oder UDP Port in einem Datenpaket oder den physischen Netzwerkport am Gerät ??
Raten oder dir von der Stirn ablesen kann die Firewall das ja (noch) nicht...logisch !
Folglich musst du diesen Traffic erst klassifizieren was mit einer ACL oder einer Regel passiert.
Erst danach sagst du der FW dann was mit diesem Flow passieren soll....anderes next Hop Gateway z.B. in deinem Fall.
Das ist die simple Logik die dahinter steht.
Nur mal um den Begriff "Port" hier zu klären den du nicht eindeutig in deiner Beschreibung klärst...
Meinst du damit den TCP oder UDP Port in einem Datenpaket oder den physischen Netzwerkport am Gerät ??
Ich meine den TCP - Port!
(aber im Grunde meine ich in diesem speziellen Fall sogar beides, das ist aber eine andere Geschichte).
Das Klassifizieren passiert -meiner Meinung nach- aber in der Netscreen nicht über eine Regel=Policy?!?
Die Regel "erlaubt" nur den klassifizierten Verkehr zwischen den beiden Partner. Ich muss aber erst mal "die Brücke schlagen" zwischen intern und extern, also die Weiterleitung.
(aber im Grunde meine ich in diesem speziellen Fall sogar beides, das ist aber eine andere Geschichte).
Das Klassifizieren passiert -meiner Meinung nach- aber in der Netscreen nicht über eine Regel=Policy?!?
Die Regel "erlaubt" nur den klassifizierten Verkehr zwischen den beiden Partner. Ich muss aber erst mal "die Brücke schlagen" zwischen intern und extern, also die Weiterleitung.
