Firewall oder Routing Problem beim DMZ Aufbau

Hauke Homburg h.homburg at w3-creative.de
Sat Mar 27 23:01:55 CET 2010 

Hallo Liste,

Ich versuche seit Stunden folgendes Problem zu lösen:

Ich habe einen VPN Zugang mit statischen IP Adressen. Der "Endpunkt" des 
Tunnels liegt bei mir in einem ASUS Router mit nem Openwrt drauf. Der 
Endpunkt liegt in einem tun device. Ein tap device ist nicht möglich. 
Der Sinn des Tunnels ist eine DMZ aufzubuen und von draussen 
logischerweise zu erreichen. Ich habe noch ein "internes" Netz von dem 
aus ich auch die dmz erreichen möchte. Da ich nu nnicht den kompletten 
Netzwerk Verkehr über das VPN schicken möchte cheidet der Einsatz des 
redirect-gateway aus. Da bleibt nch meinen Informtionen nur noch 
entweder policy baed Routing, oder SNAT/DNAT in ein entsprechend 
konfiguriertes Netzwerk.

Auf der Policybased Routing Basis habe bereits folgendes Script getestet:
#! /bin/sh

ip route flush cache
ip route flush table 100
ip rule del from $öffentliche_ip table 100

ip rule add from $öffentliche_ip table 100
ip route add 192.168.0.0/24 dev br-lan via 192.168.0.2 table 100
ip route add 192.168.1.0/24 dev br-open via 192.168.1.1 table 100
ip route add default dev tun0 via $VPN_Endpunkt table 100

Das ganze funktioniert soweit daß ich zwar vom internen LAN in die DMZ 
komme und auch von extern. Ich kann aber leider keine Verbindung aus der 
DMZ ins Internet aufbauen. Slebst ein komplettes Freigeben der 
Interfaces wie iptbles -A FORWARD .i tun0 -j ACCEPT hilft nicht. Nach 
meinem Verständnis des Policy based Routing müßten die Zeilen reichen um 
zu erreichen daß

ich vom internen LAN in die DMZ komme. geht ja auch.
ich voim Internet aus in die DMZ komme. geht.
Daß ich trotzdem von der DMZ aus ins Internet komme. Geht leider nicht. 
Wo liegt mein Denkfehler?

Die Alternative mit NAT habe ich auch getestet geht abr leider nur 
dahingehend, daß eine Verbindung aus dem Internet in die DMZ möglich ist.

iptables -t nat -A prerouting_rule -p tcp -d $ExtWAN --dport 443 -j DNAT 
--to-destination $IntWWW
iptables -t nat -A postrouting_rule -p tcp -s $IntWWW --sport 443 -j 
SNAT --to-source $ExtWAN

Wo habe ich meine Denkfehler?


grüße

Hauke Homburg

-- 
Homepage mit selbstgeschriebener Doku:

http://www.w3-creative.de

More information about the Linux mailing list