Maskierung Intranet --> DMZ

[FBdtx]

Hallo,

ich habe eine Frage zur Maskierung in die DMZ.

Ich habe auf einem 1722; LCOS 7.20 eine DMZ eingerichtet; im IP-Router für die zugehörige Default-Route "nur Intranet maskieren" ausgewählt und unter TCP/IP das DMZ-Netz eingetragen. Vom Provider gibt's eine IP für den Router und ein kleines Netz für die DMZ.

Von "außen" funktioniert das ganze; bei Zugriffen vom Intranet aus wird allerdings das Intranet nicht maskiert; hier tauchen meine privaten Adressen auf.

Kann mir jemand sagen, wo ich die Maskierung aktivieren kann?

Vielen Dank, Gruß

Florian

[backslash]

Hi FBdtx

Von "außen" funktioniert das ganze; bei Zugriffen vom Intranet aus wird allerdings das Intranet nicht maskiert; hier tauchen meine privaten Adressen auf.

das ist auch korrekt so, da zwischen Intranet und DMZ eine direkte Verbindung besteht.

Kann mir jemand sagen, wo ich die Maskierung aktivieren kann?

gar nicht - wozu auch? Du greifst schließlich auf deine eigenen Server zu. Zudem hast der unmaskierte Zugriff den Vorteil, daß du in den Serverlogs die korrekten Adressen siehst und nicht nur die WAN-Adsresse des LANCOMs.

Gruß
Backslash

[FBdtx]

Hallo Backslash,

vielen Dank; wenn ich nochmal drüber nachdenke, ist mir das eigentlich auch lieber.

...allerdings bekomme ich bei meiner Konfiguration keinen Zugriff von der DMZ auf mein Intranet hin.

Firewallseitig ist die Verbindung erlaubt, wenn ich aber aus der DMZ in's Intranet pinge, dann sagt ein IP-Router-Trace

Code: Alles auswählen

[IP-Router] 2007/08/30 15:02:13,730
IP-Router Rx (LAN-2, DMZ, RtgTag: 2): 
DstIP: 172.17.2.172, SrcIP: 83.ABC.XYZ.18, Len: 84, DSCP/TOS: 0x00
Prot.: ICMP (1), echo request, id: 0x00a7, seq: 0x0000
Network unreachable (no route) => Discard

In der IP-Routing-Tabelle habe ich zunächst keinen (zusätzlichen) Eintrag, also nur die Standard-Sperrroute für private Netze (172.16.0.0/255.255.240.0; 0.0.0.0) belassen und danach probehalber mein Intranet, also 172.17.2.0/255.255.255.0; 0.0.0.0; Routing-Tag 2 (DMZ ist Netz 2); bekomme aber immer Network unrechable...

Wo muss ich dies noch eintragen?

Vielen Dank, Gruß

Florian

[backslash]

Hi FBdtx,

In der IP-Routing-Tabelle habe ich zunächst keinen (zusätzlichen) Eintrag, also nur die Standard-Sperrroute für private Netze (172.16.0.0/255.255.240.0; 0.0.0.0) belassen und danach probehalber mein Intranet, also 172.17.2.0/255.255.255.0; 0.0.0.0; Routing-Tag 2

Diese Route kannst du dir sparen, weil sie implizit vorhanden ist.

(DMZ ist Netz 2); bekomme aber immer Network unrechable...

Dann empfehle ich dir mal den dazu passenden Auszug aus dem Referenzhandbuch:

Netzwerke vom Typ 'DMZ' sind unabhängig vom Schnittstellen-Tag für alle anderen Netzwerke sichtbar – das ist auch sinnvoll, da in der DMZ oft öffentlich zugängliche Server wie Webserver etc. stehen. Die DMZ-Netze selbst sehen aber nur die Netze mit gleichem Schnittstellen-Tag (und natürlich alle anderen DMZ-Netze).

d.h. wenn dein Intranet nicht auch das Tag 2 hat (davon gehe ich aus, weshalb sonst solltest du die DMZ getaggt haben), dann ist das Intranet von der DMZ aus nicht zu sehen. Wenn es sichtbar sein soll, dann mußt du in der Firewall eine passende Regel aufnehmen:

Code: Alles auswählen

Quelle:  alle Stationen im lokalen Netz "DMZ"
Ziel:    alle Stationen im lokalen Netz "INTRANET"
Aktion:  übertragen
Rtg-Tag: Interface-Tag des Netzes "INTRANET"

Das Ziel kannst du natürlich auch einschränken auf bestimmte Adressen und Ports.

Normalerwise will man aber aus Sicherheitsgründen genau die Trennung, daß von der DMZ aus kein Traffic ins Intranet möglich ist und du solltest dir genau überlegen, ob du da tatsächlich ein Loch "reinbohren" willst...


Gruß
Backslash

[FBdtx]

Hi Backslash,

vielen Dank für die Antwort.

Ich hatte eine Regel, die den "Eingang" für einen DMZ-Host auf einen Intranet-Host zuließ, aber mit Routing-Tag 0; das tat nicht.

Vielen Dank für Deinen Hinweis!!

Gruß
Florian