 |
|
|
|
| Autor |
Nachricht |
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
 Verfasst am:
Do 09 Sep, 2010 10:03 |
  |
|
Ich versuche gerade bei einem 1711+ VPM mit (LCOS 8.00) per Firewall-Regel einen Routing-Tag zu setzen, der nur beim Zugriff auf eine bestimmte Webseite gelten soll.
Der Router nutzt den Loadbalancer mit 3 DSL-Schnittstellen. Für eine Zielwebseite müsste dieser umgangen werden. Es gibt dazu eine 2. default-route mit Routing-Tag 1 und festem "Router" (DSL-2). Per Regel wollte ich nun für Verbindungen zu server.domain.de den Tag setzen. Das Problem ist, das ich nicht den DNS-Namen der Zieladresse nehmen kann. Lässt sich das irgendwie tricksen? Trage ich als Verbindungsziel die IP-Adressen ein, greift die Regel nicht.
(Ich weiß, damit umgeht man zwar den Loadbalancer, ab wenn wenigstens diese eine Seite ignoriert werden könnte, würde die Kunden-Akzeptanz vielleicht wieder _etwas_ steigen. Anscheinend scheinen nur die wenigsten Betreiber von "sicheren" Webseiten eine IP-Änderung zu dulden. Genau wegen dieser Problematik hab schon mehrere meiner Kunden die Loadbalancing-Funktion wieder abschalten lassen) |
_________________
4E 4F 20 53 49 47 |
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
Jirka
Moderator
Anmeldungsdatum: 03.01.2005
Beiträge: 1905
Wohnort: Ex-OPAL-Gebiet
|
| Verfasst am:
Do 09 Sep, 2010 11:17 |
|
|
Hallo cosoft,
wie sieht die Firewall-Regel genau aus? (Und gibt es möglicherweise ähnliche Regeln, die eher greifen?)
Viele Grüße,
Jirka |
|
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Do 09 Sep, 2010 11:37 |
|
|
| Code:
|
Name Prot. Quelle Ziel Aktion verknuepft Prio Aktiv VPN-Regel Stateful Rtg-Tag Kommentar
USE_DSL3 ANY ANYHOST (IP des Ziels*) ACCEPT nein 1 ja nein ja 1 USE_DSL3
|
* = IP der Ziel-Website. Genau da wird das Problem liegen. Anscheinend läuft die Seite auf mehreren Servern oder selbst mit Loadbalancern. Verschiedene Dienste benutzen getrennte Server und/oder Subdomains.
Die Regel an sich müsste in Ordnung sein - am Beispiel von www.test.de mit IP 217.110.104.156 funktionert es korrekt (hatte dazu beim ACCEPT-Objekt SNMP mit angehakt).
(Ich sehe gerade, so ein ähnliches Problem gabs hier schonmal am Beispiel ADAC...) |
_________________
4E 4F 20 53 49 47 |
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4568
Wohnort: Aachen
|
| Verfasst am:
Do 09 Sep, 2010 18:26 |
|
|
Hi cosoft,
hier bleibt dir eigentlich nur übrig, alle Adressen, unter denen die Serverfarm erreichbar ist, in das Ziel aufzunehmen. Wenn du mit nslookup oft genug den Namen auflösen läßt, solltest du alle Adressen einsammeln können
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
