Beide Seiten der vorigen RevisionVorhergehende ÜberarbeitungNächste Überarbeitung | Vorhergehende Überarbeitung |
tachtler:dns_isc_bind_centos_6_-_master-slave_und_tsig [2012/08/06 15:14] – [Zonen-Transfer über NAT-Firewall] klaus | tachtler:dns_isc_bind_centos_6_-_master-slave_und_tsig [2012/12/19 13:15] (aktuell) – [Konstellationsbeschreibung] klaus |
---|
<code> | <code> |
| |
+-------------------+ +---------------------+ | +-------------------+ +---------------------+ |
| | | | | | | | | |
| MASTER-Server | | SLAVE-Server | | | MASTER-Server | | SLAVE-Server | |
| ============= | | ============ | | | ============= | | ============ | |
| | | | | | | | | |
| Präsenz: | | Präsenz: | | | Präsenz: | | Präsenz: | |
| DMZ | | DMZ, Intranet | | | DMZ | | DMZ, Intranet | |
| | | | | | | | | |
+-------------------+ +---------------------+ | +-------------------+ +---------------------+ |
| | | | | | | | | |
| DMZ-IP-Adresse: | | DMZ-IP-Adresse: | | | DMZ-IP-Adresse: | | DMZ-IP-Adresse: | |
| 192.168.0.20 | -------> Transfer der Zone DMZ <------> Anfrage des Transfers der Zone DMZ <------- | 192.168.0.10 | | | 192.168.0.20 | -------> Transfer der Zone DMZ ------> | 192.168.0.10 | |
| | | | | | | | | |
| DMZ-IP-Adresse: | | intra-IP-Adresse: | | | DMZ-IP-Adresse: | | intra-IP-Adresse: | |
| 192.168.0.20 | -------> Transfer der Zone intra <------> Anfrage des Transfers der Zone intra <------- | 192.168.1.1 | | | 192.168.0.20 | -------> Transfer der Zone intra ------> | 192.168.1.1 | |
| | | | | | | | | |
+-------------------+ +---------------------+ | +-------------------+ +---------------------+ |
| |
</code> | </code> |
===== Zonen-Transfer über NAT-Firewall ===== | ===== Zonen-Transfer über NAT-Firewall ===== |
| |
Um einen **Zonen-Transfer** über eine Firewall, welche z.B. bei alle ausgehenden Verbindungen, via **NAT** die Absender-IP-Adresse umschreibt (MASQUERADING), sind nachfolgende **iptables**-Regeln - **VOR** - der **MASQUERADING**-Regel einzufügen: | Um einen **Zonen-Transfer** über eine Firewall, welche z.B. bei alle ausgehenden Verbindungen, via **NAT** die Absender-IP-Adresse umschreibt (MASQUERADING), sind nachfolgende **iptables**-Regeln |
| * :!: **VOR** :!: |
| der **MASQUERADING**-Regel einzufügen: |
| |
Um die aktuellen ''iptables''-Regeln erweitern zu können, sollten diese erst einmal aufgelistet werden, was mit nachfolgendem Befehl durchgeführt werden kann: | Um die aktuellen ''iptables''-Regeln **(CHAIN NAT)** erweitern zu können, sollten diese erst einmal aufgelistet werden, was mit nachfolgendem Befehl durchgeführt werden kann: |
<code> | <code> |
# iptables -t nat -nvL --line-numbers | # iptables -t nat -nvL --line-numbers |
</code> | </code> |
| |
Nachfolgende Befehle, fügen folgende ''iptables''-Regeln dem ''iptables''-Regelwerk jeweils ab der **Position 1** hinzu, ohne das der Paketfilter angehalten werden muss: | Nachfolgende Befehle, fügen folgende ''iptables''-Regeln dem ''iptables''-Regelwerk **(CHAIN NAT)** jeweils ab der **Position 1** hinzu, ohne das der Paketfilter angehalten werden muss: |
* <code>-A POSTROUTING -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT</code> | * <code>-A POSTROUTING -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p tcp -m tcp --dport 53 -j ACCEPT</code> |
* <code>-A POSTROUTING -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT</code> | * <code>-A POSTROUTING -s 192.168.1.1/32 -d 192.168.0.20/32 -o eth0 -p udp -m udp --dport 53 -j ACCEPT</code> |
</code> | </code> |
| |
Ein erneute Abfrage des ''iptables''-Regelwerts, sollte dann nachfolgend dargestellte Ausgabe ergeben, was mit folgendem Befehl durchgeführt werden kann: | Ein erneute Abfrage des ''iptables''-Regelwerts **(CHAIN NAT)** , sollte dann nachfolgend dargestellte Ausgabe ergeben, was mit folgendem Befehl durchgeführt werden kann: |
<code> | <code> |
# iptables -t nat -nvL --line-numbers | # iptables -t nat -nvL --line-numbers |