Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Netscreen NS5GT: Routing auf Grund von eingehenden IP-Adressen

Frage Netzwerke Router & Routing

Mitglied: Maexx77

Maexx77 (Level 1) - Jetzt verbinden

30.07.2014, aktualisiert 31.07.2014, 1028 Aufrufe, 5 Kommentare

Hallo,

bisher routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server.

Network / Interfaces / VIP

Nun haben wir den Fall, dass wir nicht auf Grund eines Ports, sondern auf Grund einer eingehenden IP-Adresse an einen Server routen müssen.

Wie kann ich das in der NS5GT einstellen?

Gruß Mäxx
Mitglied: Maexx77
30.07.2014 um 11:32 Uhr
Ist das die MIP?
Bitte warten ..
Mitglied: aqui
30.07.2014, aktualisiert um 16:58 Uhr
routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server.
Sehr ungewöhnlich aber durchaus machbar. Der gemeine Netzwerker nennt sowas Policy Based Routing. In der Regel basiert das auch einer ACL (Accesslist) bzw. bei dir vermutlich einer Firewall Regel die dann den entsprechenden inbound Traffic filtert und mit einem neuen next Hop Gateway versieht.
Im Grunde ist das was du jetzt willst vollkommen identisch. Du filterst eben halt nur nicht auf den TCP oder UDP Port sondern auf eine Destination IP Adresse.
Du musst also nichts anderes machen als die Regel etwas anzupassen !
Wer oder was MIP ist kann dir vermutlich keiner sagen Multicast IP oder Medium Independent Port....?? Ist ein unüblicher Begriff im Netzwerk Umfeld.
Bitte warten ..
Mitglied: Maexx77
31.07.2014 um 08:09 Uhr
Ok, danke für deine Antwort.

Habe es aber noch nicht ganz verstanden.

Routen auf Grund von Ports:
Bisher stelle ich beim Interface (VIP) ein, dass und wohin ich routen möchte.
Dieses Routen muss ich dann aber noch über eine Policy erlauben.


Nun kann ich in der Policy auch einstellen, dass es nur für bestimmte externe Adressen gilt. Das ist auch richtig.


Ich verstehe hier jetzt aber die Arbeitsweise der Firewall nicht.
Nur weil ich was erlaube, heißt es ja nicht, dass die Firewall das dann auch macht.
Ich erlaube den Datenverkehr zwischen einer externen Adresse und einem internen Server. Aber wo sage ich nun, dass der Datenverkehr auch umgeleitet wird.


MIP steht für Mapped-IP. Dort kann ich eine Mapped-IP, Host IP, Netmask und einen VRouter eintragen. Leider kann ich aber nicht "mal eben" testen was passiert.

Hintergrund:
Es kommen in Zukunft über ein und den selben Port Daten rein. Diese werden aber von zwei verschiedenen Softwaresystem verarbeitet. Die einzige Unterscheidung ist die externe IP-Adresse. Da es sich um die Automobilindustrie handelt, ist hier alles SEHR starr. Ich kann also nicht einfach sagen, dass die einen anderen Port nehmen sollen . Auch eine Verbindung der Softwaresysteme ist nicht möglich.
Bitte warten ..
Mitglied: aqui
31.07.2014, aktualisiert um 10:02 Uhr
Du musst, bzw. die Firewall, ja zuallererst auch mal den Traffic Flow vorher klassifizieren. D.h. sie muss wissen WELCHEN Flow also welche Pakete du von welchen Quelladressen zu welcher Zieladresse mit einem anderen next Hop Gateway versehen willst !
Raten oder dir von der Stirn ablesen kann die Firewall das ja (noch) nicht...logisch !
Folglich musst du diesen Traffic erst klassifizieren was mit einer ACL oder einer Regel passiert.
Erst danach sagst du der FW dann was mit diesem Flow passieren soll....anderes next Hop Gateway z.B. in deinem Fall.
Das ist die simple Logik die dahinter steht.
Nur mal um den Begriff "Port" hier zu klären den du nicht eindeutig in deiner Beschreibung klärst...
Meinst du damit den TCP oder UDP Port in einem Datenpaket oder den physischen Netzwerkport am Gerät ??
Bitte warten ..
Mitglied: Maexx77
31.07.2014 um 10:07 Uhr
Ich meine den TCP - Port!
(aber im Grunde meine ich in diesem speziellen Fall sogar beides, das ist aber eine andere Geschichte).

Das Klassifizieren passiert -meiner Meinung nach- aber in der Netscreen nicht über eine Regel=Policy?!?

Die Regel "erlaubt" nur den klassifizierten Verkehr zwischen den beiden Partner. Ich muss aber erst mal "die Brücke schlagen" zwischen intern und extern, also die Weiterleitung.
Bitte warten ..
Neuester Wissensbeitrag
Ähnliche Inhalte
SAN, NAS, DAS
gelöst QNAP TS-453U - drei IP-Adressen für iSCSI , SMB , Management (2)

Frage von caspi-pirna zum Thema SAN, NAS, DAS ...

SAN, NAS, DAS
QNAP Installationsproblem wenn der Client mehre statische IP-Adressen hat (6)

Erfahrungsbericht von StefanKittel zum Thema SAN, NAS, DAS ...

Sicherheit
Mirai-Botnetz: Dyn bestätigt Angriff von zig-Millionen IP-Adressen

Link von runasservice zum Thema Sicherheit ...

Ubuntu
gelöst Amavis Whitelist IP-Adressen

Frage von runasservice zum Thema Ubuntu ...

Heiß diskutierte Inhalte
Windows Userverwaltung
Ausgeschiedene Mitarbeiter im Unternehmen - was tun mit den AD Konten? (33)

Frage von patz223 zum Thema Windows Userverwaltung ...

LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (21)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Viren und Trojaner
Aufgepasst: Neue Ransomware Goldeneye verbreitet sich rasant (20)

Link von Penny.Cilin zum Thema Viren und Trojaner ...

Windows Netzwerk
Windows 10 RDP geht nicht (18)

Frage von Fiasko zum Thema Windows Netzwerk ...