Abenteurliche Konstruktion: "DMZ" mit einer IP

24/09/2007 - 01:00 von Peter Mairhofer | Report spam
Hi,

Da ich ja wie beschrieben eine statische IP bekommen werde macht ich mir
auch schon um die Konfiguration Gedanken.

Mit dem SpeedTouch Modem werde ich den Zugang so einrichten, dass er
ueber die externe IP nattet. Dieser "Router" ist dann mit einer internen
"DMZ" (10.7.99.x) (per VLAN) mit dem Server verbunden. Am Server haengt
dann - ebenfalls per VLAN - das interne 192.168.200.x Netz.

Per Portforwaring leite ich nun Dinste von aussen an den internen Server.
Nun wuerde ich aber gerne nicht nur von extern mit der externen IP auf
die Dienste zugreifen koennen sondern auch von /intern/.
Bis jetzt hab ich das geloest indem ich einen internen DNS Server
verwendet hab. Das mag ich aber eher nicht mehr machen weil ich dann ein
und diesselbe Zone doppelt haben muss wobei dabei immer nur die IP
Adressen anders sind.

Gut, "DMZ" hab ich extra in Klammer gesetzt da es ja keine ist, aber ich
haett gedacht das muss doch irgendwie moeglich sein, indem die externe IP
nach intern "gespiegelt" wird.

Ein Gedankengang: Ich weise einem dummy-Device unter Linux die externe IP
zu (/32). Wenn nun von intern ein Request auf die externe IP kommt, kommt
die gar nicht erst zum Router sondern wird direkt vom Server abgefangen.
Fuers normale Surfen sollten sich keine Unterschiede ergeben, da die
externe IP ja nie intern unterwegs ist.
Stellt sich noch die Frage wie ich die Sachen von extern auf die
gespiegelte interne Adresse bekomme. Ich haette dabei gedacht eine
zusaetzliche IP 10.7.99.x zu aquirieren, an die das Speedtouch
Portforwarding macht. Mit irgendwelchen abentuerlichen Konstrukten (DNAT
oder so) setzt dann der Linuxserver transparent die 10.7.99.x auf die
"externe-interne" IP um und schiebt sie ins dummy Device.

Ich weiss, sehr sehr abenteuerlich. Kann das so ueberhaupt funktionieren?
Oder gibts bessere Loesungen/Ideen?

Vor allem: Geht es nicht einfacher dass ich die externe IP auch von
intern zugreifbar mache (bezueglich den Portforwardings)?

lg,
Peter
 

Lesen sie die antworten

#1 Peter Mairhofer
24/09/2007 - 16:51 | Warnen spam
Peter Mairhofer dixit:
Hi,

Da ich ja wie beschrieben eine statische IP bekommen werde macht ich
mir auch schon um die Konfiguration Gedanken.

Mit dem SpeedTouch Modem werde ich den Zugang so einrichten, dass er
ueber die externe IP nattet. Dieser "Router" ist dann mit einer
internen "DMZ" (10.7.99.x) (per VLAN) mit dem Server verbunden. Am
Server haengt dann - ebenfalls per VLAN - das interne 192.168.200.x
Netz.

Per Portforwaring leite ich nun Dinste von aussen an den internen
Server. Nun wuerde ich aber gerne nicht nur von extern mit der
externen IP auf die Dienste zugreifen koennen sondern auch von
/intern/. Bis jetzt hab ich das geloest indem ich einen internen DNS
Server verwendet hab. Das mag ich aber eher nicht mehr machen weil ich
dann ein und diesselbe Zone doppelt haben muss wobei dabei immer nur
die IP Adressen anders sind.

Gut, "DMZ" hab ich extra in Klammer gesetzt da es ja keine ist, aber
ich haett gedacht das muss doch irgendwie moeglich sein, indem die
externe IP nach intern "gespiegelt" wird.

Ein Gedankengang: [...]



Ein weiterer:

# fuer lokale Pakete
iptables -t nat -A OUTPUT -d $extip -j DNAT --to-destination $intip

# Fuer Pakete aus dem internen Netz
iptables -t nat -A PREROUTING -d $extip -j DNAT --to-destination $intip

Das scheint auf den ersten Blick zu funktionieren. Ist das empfehlenswert?

lg,
Peter

Ähnliche fragen