News: This forum is now permanently frozen.
Pages: [1]
Topic: DMZ Problem  (Read 4075 times)
« on: August 31, 2008, 21:09:30 »
ritschi *
Posts: 17

Hallo Zusammen,

da ich ja jetzt als frischer m0n0wall Besitzer die Möglichkeit habe, eine vernünftige DMZ einzurichten, habe
ich dies auch direkt probiert.

Szenario:

Interfaces
WAN: *.*.*.*
LAN: 192.168.1.1/24
DMZ: 192.168.2.1/24

Routes:
Interface: DMZ  Network: 192.168.1.0/24 Mask: 255.255.255.0 Gateway: 192.168.2.1
Interface: LAN  Network: 192.168.2.0/24 Mask: 255.255.255.0 Gateway: 192.168.1.1

Firewall Regeln:
LAN und DMZ momentan keine wegen Test


Folges Problem nun:

Den Webserver den ich hinter der DMZ betreiben will ist unter IP 192.168.2.2 nicht auf dem Netzwerk
erreichbar. Pinge ich diesen allerdings über das Diagnostiktool der m0n0wall an, erhalte ich eine Antwort
von der Adresse 192.168.2.2

Intern kann ich ebenso das DMZ Interface anpingen.


Wo liegt das Problem?


Gruss, ritschi
« Reply #1 on: August 31, 2008, 21:43:18 »
Manuel Kasper
Administrator
*****
Posts: 364

Interface: DMZ  Network: 192.168.1.0/24 Mask: 255.255.255.0 Gateway: 192.168.2.1
Interface: LAN  Network: 192.168.2.0/24 Mask: 255.255.255.0 Gateway: 192.168.1.1

Du brauchst keine statischen Routen für Subnets auf direkt angeschlossenen Interfaces zu machen; das ist sogar ziemlich sicher die (Haupt-)Ursache das Problems.

LAN und DMZ momentan keine wegen Test

m0n0wall verwendet (wie jede gute Firewall :) das Default-to-Deny-Paradigma. Das heisst: wenn es keine passende Firewall-Regel gibt, werden die Pakete verworfen. In der Standardconfig ist einfach eine Regel vorhanden, die von LAN -> any erlaubt (damit erstmalige Benutzer nicht ganz wahnsinnig werden); für alles andere müssen jedoch explizit Regeln erstellt werden.
« Last Edit: August 31, 2008, 21:45:54 by Manuel Kasper »
« Reply #2 on: September 01, 2008, 11:55:15 »
ritschi *
Posts: 17

Ok, dann habe ich jetzt mal die DMZ Regeln aus der Doku http://doc.m0n0.ch/handbook/examples.html#id11641322 übernommen.

Problem bleibt bestehen, ich kann das DMZ Interface (192.168.2.1) anpingen aber nicht die Adresse
des Webservers (192.168.2.2)

Oder müssen noch Regeln fürs LAN Interface getroffen werden?

Grüße, ritschi
« Reply #3 on: September 01, 2008, 13:52:14 »
Manuel Kasper
Administrator
*****
Posts: 364

Nein, die Standardregel auf LAN (from LAN to any) sollte genügen - wenn du sie nicht gelöscht hast.

Hast du die statischen Routen jetzt entfernt? Denn solange die vorhanden sind, wundert es mich nicht, wenn es nicht funktioniert. Andernfalls: bitte mal die (anonymisierte) config.xml hier posten.
« Reply #4 on: September 01, 2008, 17:20:03 »
ritschi *
Posts: 17

Hallo,

die Routen sind gelöscht, anbei mal die config.xml.
Danke und Gruss,
ritschi

P.S.: So ein paar sachen wie Captive Portal etc. habe ich mal rausgenommen. Die Firewall Regeln sollten alle drin sein.

Code:
<?xml version="1.0"?>
<m0n0wall>
<version>1.8</version>
<lastchange>1220244946</lastchange>
<system>
<hostname>internetgateway001</hostname>
<domain>local</domain>
<dnsallowoverride/>
<username>admin</username>
<password>******/</password>
<timezone>Europe/Berlin</timezone>
<time-update-interval>300</time-update-interval>
<timeservers>0.m0n0wall.pool.ntp.org</timeservers>
<webgui>
<protocol>https</protocol>
<port/>
</webgui>
</system>
<interfaces>
<lan>
<if>vr1</if>
<ipaddr>192.168.1.1</ipaddr>
<subnet>24</subnet>
<media/>
<mediaopt/>
</lan>
<wan>
<if>vr0</if>
<media/>
<mediaopt/>
<spoofmac/>
<ipaddr>pppoe</ipaddr>
<blockpriv/>
</wan>
<opt1>
<descr>DMZ</descr>
<if>vr2</if>
<ipaddr>192.168.2.1</ipaddr>
<subnet>24</subnet>
<bridge/>
<enable/>
</opt1>
</interfaces>
<staticroutes/>
<pppoe>
<username>****</username>
<password>****</password>
<provider/>
</pppoe>
<pptp/>
<dyndns>
<type>dyndns</type>
<username>fsdo</username>
<password>*****</password>
<host>fsdo.dyndns.org</host>
<mx/>
<server/>
<port/>
<enable/>
</dyndns>
<dnsupdate>
<host/>
<ttl>60</ttl>
<keyname/>
<keydata/>
</dnsupdate>
<dhcpd>
<lan>
<range>
<from>192.168.1.200</from>
<to>192.168.1.254</to>
</range>
<defaultleasetime>7200</defaultleasetime>
<maxleasetime/>
<next-server/>
<filename/>
<enable/>
<staticmap>
<mac>00:14:0b:02:**:**</mac>
<ipaddr>192.168.1.10</ipaddr>
<descr>DANIEL-PC</descr>
</staticmap>
</lan>
</dhcpd>
<pptpd>
<mode>server</mode>
<nunits>16</nunits>
<redir/>
<localip>192.168.1.100</localip>
<remoteip>192.168.1.128</remoteip>
<radius>
<server/>
<secret/>
</radius>
<req128/>
<user>
<name>richert-da</name>
<ip>192.168.1.129</ip>
<password>****</password>
</user>
<user>
<name>vpntest</name>
<ip>192.168.1.130</ip>
<password>testvpn</password>
</user>
</pptpd>
<dnsmasq>
<enable/>
</dnsmasq>
<snmpd>
<syslocation/>
<syscontact/>
<rocommunity>public</rocommunity>
</snmpd>
<diag/>
<bridge/>
<syslog>
<nentries>100</nentries>
<remoteserver/>
</syslog>
<nat>
<advancedoutbound>
<rule>
<source>
<network>192.168.1.0/24</network>
</source>
<descr>lan_out</descr>
<target/>
<interface>wan</interface>
<destination>
<any/>
</destination>
</rule>
<enable/>
</advancedoutbound>
<rule>
<protocol>tcp/udp</protocol>
<external-port>80</external-port>
<target>192.168.2.2</target>
<local-port>80</local-port>
<interface>wan</interface>
<descr>DMZ httpserver</descr>
</rule>
</nat>
<filter>
<rule>
<interface>wan</interface>
<protocol>tcp/udp</protocol>
<source>
<any/>
</source>
<destination>
<address>192.168.2.2</address>
<port>80</port>
</destination>
<descr>NAT DMZ httpserver</descr>
</rule>
<rule>
<type>pass</type>
<interface>opt1</interface>
<source>
<network>opt1</network>
</source>
<destination>
<network>lan</network>
<not/>
</destination>
<descr>permit DMZ to any *BUT* LAN</descr>
</rule>
<rule>
<type>pass</type>
<interface>lan</interface>
<source>
<any/>
</source>
<destination>
<any/>
</destination>
<descr>Default LAN -&gt; any</descr>
</rule>
<rule>
<type>pass</type>
<descr>Default IPsec VPN</descr>
<interface>ipsec</interface>
<source>
<any/>
</source>
<destination>
<any/>
</destination>
</rule>
<rule>
<type>block</type>
<interface>opt1</interface>
<source>
<any/>
</source>
<destination>
<network>lan</network>
</destination>
<descr>Reject DMZ traffic to LAN</descr>
</rule>
</filter>
<shaper/>
<ipsec/>
<aliases/>
<proxyarp/>
<wol/>
<captiveportal>

<interface>lan</interface>
<maxproc/>
<timeout>180</timeout>
<idletimeout>30</idletimeout>
<auth_method>local</auth_method>
<reauthenticateacct/>
<httpsname/>
<certificate/>
<private-key/>
<bwdefaultdn/>
<bwdefaultup/>
<redirurl/>
<radiusip/>
<radiusip2/>
<radiusport/>
<radiusport2/>
<radiusacctport/>
<radiuskey/>
<radiuskey2/>
<radiusvendor>default</radiusvendor>
<radmac_format>default</radmac_format>
<page>

</element>
<passthrumac>
<mac>00:A7:35:9E:**:**</mac>
<descr>Server</descr>
</passthrumac>
<enable/>
</captiveportal>
<vlans/>

</m0n0wall>
« Reply #5 on: September 01, 2008, 17:33:06 »
Manuel Kasper
Administrator
*****
Posts: 364

Ein Ping von einem Host am LAN-Interface zu 192.168.2.2 sollte mit dieser Config eigentlich möglich sein (vorausgesetzt natürlich das Captive Portal auf LAN ist entweder abgeschaltet, oder der jeweilige LAN-Host ist daran angemeldet).

Der Server in der DMZ muss natürlich 192.168.2.1 als Default Gateway verwenden. Sonst ggf. mal im Firewall-Log nachsehen, ob da noch was blockiert wird. Im Zweifelsfall auch auf dem Server mit Wireshark/tcpdump/etc. sniffen, um zu sehen, ob das Problem nur in einer Richtung besteht (also z.B. die ICMP Echo Requests am DMZ-Server ankommen, aber die Antwort nicht zurück zum LAN-Host geht).
« Reply #6 on: September 01, 2008, 20:38:28 »
ritschi *
Posts: 17

mööppp, manchmal sitz man echt auf den augen, das gateway im server war noch auf 192.168.1.1 gesetzt.

Bitte mal testen ob die Adresse erreichtbar ist: http://fsdo.dyndns.org/daten

Danke für deine Hilfe!
« Last Edit: September 01, 2008, 21:06:57 by ritschi »
« Reply #7 on: September 01, 2008, 20:53:16 »
Manuel Kasper
Administrator
*****
Posts: 364

mööppp, manchmal sitz man echt auf den augen, das gateway im server war noch auf 192.168.1.1 setzt.

Bitte mal testen ob die Adresse erreichtbar ist: http://fsdo.dyndns.org/daten

Da bin ich doch froh, dass es nur sowas einfaches war. Smiley Zugriff von aussen funktioniert tadellos.
« Reply #8 on: September 01, 2008, 21:07:39 »
ritschi *
Posts: 17

Thx - dann würde ich mal sagen Thema gelöst!
 
Pages: [1]
 
 
Powered by SMF 1.1.20 | SMF © 2013, Simple Machines