Ich habe einige statische IP von unserem Internetprovider, und möchte gern diese Ips für meine Server im DMZ verteilen. Z.B. der Server DMZ1 : seine MAC-Adresse ist bei unserem Internetprovider eingestellt und kriegt eine feste IP wenn er direkt am Fritzbox hängt, und wenn die Netzwerkdose als Bridge eingerichtet ist. So weit, so gut.
Leider ist damit dieser Server nicht mehr mit Ipfire geschützt.
Wenn DMZ1 hinter Ipfire steht, kriegt er diese Ip nicht mehr, was ich auch gut verstehen kann.
Unser Ipfire ist auf RED mit einer statischen IP konfiguriert, und damit kann man alias für RED ( andere IPs ) einstellen, aber das hilft auch nicht, da Ipfire nicht die gleiche MAC-Adresse wie DMZ1 hat.
Ich hoffe es ist genug klar dargestellt.
Von daher meine Frage : ist es überhaupt möglich, dass DMZ1 hinter Ipfire eine feste Ip bei unserem Internetprovider kriegt ?
Wenn ja, wie kann ich es konfigurieren ?
ich würde sagen: sobald deine server eine IP im öffentlichen Netz haben, sind sie nicht mehr in einer DMZ (wie sie IPFire vorsieht). Also: nein.
Andererseits glaube ich fest daran, dass es geht, dass du IPFire auch die anderen IP-Adressen gibst und dann alle anfragen die über diese IPs kommen, an die entsprechenden DMZ-server im orangenen Netz weiterleitest. k.A. ob das viel aufwand ist, und ob das mit linuxmuster-net kompatibel ist.
Du richtest eine Regel ein, dass z. B. alle Pakete an die zweite rote Adresse an Port 443 an den Port 443 des Servers in der DMZ weitergeleitet werden.
Du richtest eine Regel ein, dass z. B. alle Pakete an die zweite rote Adresse an Port 443 an den Port 443 des Servers in der DMZ weitergeleitet werden.
Ganz genau habe ich es vor einer Woche gemacht : Ipfire hat alle feste IP des Internetanbieters als Alias eingetragen + eine Regel an die richtige IP des DMZ-Servers.
Der Server im DMZ muss z.B. die Ip 1.1.1.2 haben, und es steht als Alias im Ipfire.
Die feste IP von Ipfire ist z.B. 1.1.1.1.
Dieser Alias reicht anscheinend nicht aus : die Ip 1.1.1.2 muss ( aus Internetprovider Sicht ) an einer festen MAC-Adresse zugewiesen sein ( ich kann es steuern ). Das Ergebnis ist : die IP 1.1.1.2 ist von dem Internetprovider nicht an Ipfire zugewiesen und von außen gibt es keine Route zu 1.1.1.2.
Es ist mir auch klar warum : das Red-Interface von Ipfire hat nur eine richtige MAC-Adresse, und die IP 1.1.1.1 ist an dieser MAC-Adresse zugewiesen.
Vielleicht gibt es ein Weg um mehrere MAC-Adresse in Ipfire zu simulieren.
Ansonstens muss ich probieren, dazu noch eine Netzwerkkarte zu installieren ( kann man zwei verschiedene Red-Karten in Ipfire haben ? ).
mach das mit mehreren Netzwerkkarten nicht: der IPFire ist eine Firewall: da sollte man nicht solche Spielchen mit machen.
Vielmehr solltest du dich fragen, was den der Mehrgewinn beim Platzieren des Servers in Orange ist, gegenüber dem Platzieren direkt in Rot hinter dem Router deines Providers.
Ich habe z.B. alle meine moodleserver und owncloudserver auch in “Rot” stehen: warum auch nicht: die stehen hinter einem Cisco Router von BelWÜ.
Da sind nur die Ports von außen aus offen, die ich “bestelle”: das ist genau das selbe wie “Ornage” oder macht der IPFire eine deep paket inspection?
Ich habe z.B. alle meine moodleserver und owncloudserver auch in „Rot“ stehen: warum auch nicht: die stehen hinter einem Cisco Router von BelWÜ.
Da sind nur die Ports von außen aus offen, die ich „bestelle“: das ist genau das selbe wie „Ornage“ oder macht der IPFire eine deep paket inspection?
Hinter Ipfire oder einen Router ist es egal, hauptsächlich sollten nur einige Ports offen sein, mehr nicht.
Aber bei uns ist dann der Server direkt an den Router gehängt, und die Netzwerkdose am Router in Bridge-Modus ( um die richtige IP vom Internetprovider zu ziehen ).
D.h., damit ist der Server direkt im Internet, natürlich mit entsprechenden Sicherheitssotfware ( fail2ban, rkhunter, … ).
Hallo Arnaud,
… na dann kauf einen 30 EUR Router, häng ihn an deinen ersten Router und gib ihm die IP deines Providers: dann hast du erreicht was du willst, ohne groß in die lml ein zu greifen oder den IPFire.
