stash
Goto Top

Netzwerkgestaltung: Über ein anderes Netz ins Internet gehen

Hallo @ admins,

irgendwie hab ich den Montag nicht so richtig verkraftet und nach einer schlaflosen Nacht hab ich, so glaub ich zumindestens, total den Durchblick verloren:

Ich habe hier 2 Netze. Das eine Netz besteht aus einem Switch 3 Servern und ein paar Clients. Ich nenn dies mal Netz A. Nun das 2. Netz: Dieses besteht aus einem Switch und einem Server. Nennen wir dieses Netz einfach Netz B. Die Struktur ist in etwa so aufgebaut:

Internet - Netz B - Netz A

Damit wrd auch schon das Prinzip deutlich. Ich möchte einfach, dass Netz B quasi als zusätzliche Sicherheit bzw. Hürde vor Netz A dient. Auf dem Server in Netz B läuft Suse Linux 9.1 mit fetchmail (der ruft die Sammel-pop´s ab und soll sie an den internen Exchange Server aus Netz A weiterleiten) und Squid (dieser soll den Datentransfer aus Netz A nach außen kontrollieren und steuern.

Meine Frage: Wie muss ich beide Netze miteinander verbinden und vor allem wie muss ich die Clients einrichten (aus Netz A), damit ich die oben beschriebene Konstellation hinbekomme?

Was ich schon probiert habe: Die Clients bekommen durch einen DHCP-Server in Netz A eine IP zugeteilt. Auch ein DNS-Server ist eingerichtet. Die Clients haben also eine IP, eine Subnetmask und einen DNS-Server - keinen Gateway! Das Problem: Sie finden ja den Proxy gar nicht der in Netz B zu finden ist. Der DNS kennt ihn aber, da ich den per Hand eingetragen habe. An dieser Stelle ging dann mein Kaffee aus face-wink ...

Kann mir da vielleicht jemand weiterhelfen?

Vielen Dank!

ein entnervter Anfänger-Admin....

Content-Key: 26535

Url: https://administrator.de/contentid/26535

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: gooogix
gooogix 21.02.2006 um 10:45:43 Uhr
Goto Top
Hallo!

Also die Konfig hört sich nach INTERNET <--> DMZ <---> LAN an.

Du musst auf jeden Fall ein Gateway angeben. Zwischen den Netzen muss ja geroutet werden. Es muss als in jedem Netz einen geben, der in das andere verweist.

Im LAN (Netz A) also einen Router, der in die DMZ (Netz B) zeigt und dort den einen Suse-Rechner, der zwei NICs hat, eine vom LAN kommend, die zweite ins Internet gehend.

Dann sollte es auch klappen.

Gruss
Udo
Mitglied: stash
stash 21.02.2006 um 10:54:57 Uhr
Goto Top
Hallo Udo,

danke für die schnelle Antwort. Genau das hatte ich vor. Mein Vorschlag von einem Bekannten von mir war, dass ich die Linuxkiste in eine Windose umbauen soll... Naja, was die Konfiguration angeht kann man das schon relativ sich er machen.... aber dazu gibt es ja auch andere Threads.

Wie muss ich das denn alles konfigurieren?
Also der Router von Netz A hat natürlich als Gateway den Router von Netz B drin stehen (oder sollte ich dann eher den Server aus Netz B nehmen?).
Die DNS Server aus Netz B haben auch die DNS-Weiterleitung aktiviert, wobei ich nicht genau weiß, ob das sinnnvoll ist, da ja eigentlich der gesamte Datenverkehr über den Proxy gehen soll....

Gruß, stash
Mitglied: cykes
cykes 21.02.2006 um 10:55:43 Uhr
Goto Top
Hi,

und Du solltest in jedem Fall, falls nicht als Hardware Firewall zwischen Internet und
den Netzwerken schon vorhanden, auf dem Linuxrechner eine Firewall laufen lassen,
und dort nur die wirklich notwendigen Ports freischalten (z.B. den für SMTP).

Gruss

cykes
Mitglied: gooogix
gooogix 21.02.2006 um 11:14:55 Uhr
Goto Top
Wie muss ich das denn alles konfigurieren?
Also der Router von Netz A hat
natürlich als Gateway den Router von
Netz B drin stehen (oder sollte ich dann
eher den Server aus Netz B nehmen?).

Wenn Du im Netz B neben der Linux-Kiste noch einen Router hast, dann trotzdem die Linux-Kiste eintragen (meine Empfehlung).

Die DNS Server aus Netz B haben auch die
DNS-Weiterleitung aktiviert,

Also wenn das nur Linux-Kisten sind kenne ich mich nicht so aus, aber ich meine DNS-Weiterleitungen brauchst Du immer, er muss ja wissen, wo er schauen muss, wenn er eine IP oder DNS-Adresse im eigenen Netz nicht findet.
Mitglied: stash
stash 21.02.2006 um 11:30:35 Uhr
Goto Top
Hallo,

ich hab hier gerade mal was schönes gefunden zum Thema DMZ:

http://www.linux-praxis.de/linux3/Firewallbuch/html/node9.html

Dazu hab ich allerdings noch eine Frage an euch:
Welcher Gateway muss auf dem Choke in der Abbildung eingetragen sein (die der DMZ zugewandten Seite?

Gruß, Stash
Mitglied: gooogix
gooogix 21.02.2006 um 11:48:24 Uhr
Goto Top
Welcher Gateway muss auf dem Choke in der
Abbildung eingetragen sein (die der DMZ
zugewandten Seite?


Der Rechner hat ja zwei NICs. Das Gateway ist jeweils die IP des anderen Netzes, meiner Meinung nach.
Mitglied: stash
stash 21.02.2006 um 12:08:06 Uhr
Goto Top
Hallo,

ich hab jetzt eine Lösung gefunden....

Wenn ich die Abbildung aus dem Link zu Grunde lege, dann erkennt man, dass das Zwischennetz an einem Switch hängt. D.H. das beide Router (intern, sowie auch etxern) miteinander verbunden sind. Der eigentliche Bastion Host wäre dann z.B. ein Proxy. Es kann aber auch noch ein Webserver der Dienste nach außen anbiete mit im Zwischennetz sein. Der Interne Router hat nun als Gateway den Proxy eingetragen, da dieser den gesamten Datenverkehr über den externen Router nach draußen leitet. - fertig.

Danke nochmals an alle Beteiligten...

Gruß, Stash