maexx77
Goto Top

Netscreen NS5GT: Routing auf Grund von eingehenden IP-Adressen

Hallo,

bisher routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server.

Network / Interfaces / VIP

Nun haben wir den Fall, dass wir nicht auf Grund eines Ports, sondern auf Grund einer eingehenden IP-Adresse an einen Server routen müssen.

Wie kann ich das in der NS5GT einstellen?

Gruß Mäxx

Content-ID: 245080

Url: https://administrator.de/forum/netscreen-ns5gt-routing-auf-grund-von-eingehenden-ip-adressen-245080.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

Maexx77
Maexx77 30.07.2014 um 11:32:42 Uhr
Goto Top
Ist das die MIP?
aqui
aqui 30.07.2014 aktualisiert um 16:58:15 Uhr
Goto Top
routen wir den Datenverkehr auf Grund von eingehenden Ports auf gestimmte Server.
Sehr ungewöhnlich aber durchaus machbar. Der gemeine Netzwerker nennt sowas Policy Based Routing. In der Regel basiert das auch einer ACL (Accesslist) bzw. bei dir vermutlich einer Firewall Regel die dann den entsprechenden inbound Traffic filtert und mit einem neuen next Hop Gateway versieht.
Im Grunde ist das was du jetzt willst vollkommen identisch. Du filterst eben halt nur nicht auf den TCP oder UDP Port sondern auf eine Destination IP Adresse.
Du musst also nichts anderes machen als die Regel etwas anzupassen !
Wer oder was MIP ist kann dir vermutlich keiner sagen Multicast IP oder Medium Independent Port....?? Ist ein unüblicher Begriff im Netzwerk Umfeld.
Maexx77
Maexx77 31.07.2014 um 08:09:29 Uhr
Goto Top
Ok, danke für deine Antwort.

Habe es aber noch nicht ganz verstanden.

Routen auf Grund von Ports:
Bisher stelle ich beim Interface (VIP) ein, dass und wohin ich routen möchte.
Dieses Routen muss ich dann aber noch über eine Policy erlauben.


Nun kann ich in der Policy auch einstellen, dass es nur für bestimmte externe Adressen gilt. Das ist auch richtig.


Ich verstehe hier jetzt aber die Arbeitsweise der Firewall nicht.
Nur weil ich was erlaube, heißt es ja nicht, dass die Firewall das dann auch macht.
Ich erlaube den Datenverkehr zwischen einer externen Adresse und einem internen Server. Aber wo sage ich nun, dass der Datenverkehr auch umgeleitet wird.


MIP steht für Mapped-IP. Dort kann ich eine Mapped-IP, Host IP, Netmask und einen VRouter eintragen. Leider kann ich aber nicht "mal eben" testen was passiert.

Hintergrund:
Es kommen in Zukunft über ein und den selben Port Daten rein. Diese werden aber von zwei verschiedenen Softwaresystem verarbeitet. Die einzige Unterscheidung ist die externe IP-Adresse. Da es sich um die Automobilindustrie handelt, ist hier alles SEHR starr. Ich kann also nicht einfach sagen, dass die einen anderen Port nehmen sollen face-sad. Auch eine Verbindung der Softwaresysteme ist nicht möglich.
aqui
aqui 31.07.2014 aktualisiert um 10:02:59 Uhr
Goto Top
Du musst, bzw. die Firewall, ja zuallererst auch mal den Traffic Flow vorher klassifizieren. D.h. sie muss wissen WELCHEN Flow also welche Pakete du von welchen Quelladressen zu welcher Zieladresse mit einem anderen next Hop Gateway versehen willst !
Raten oder dir von der Stirn ablesen kann die Firewall das ja (noch) nicht...logisch !
Folglich musst du diesen Traffic erst klassifizieren was mit einer ACL oder einer Regel passiert.
Erst danach sagst du der FW dann was mit diesem Flow passieren soll....anderes next Hop Gateway z.B. in deinem Fall.
Das ist die simple Logik die dahinter steht.
Nur mal um den Begriff "Port" hier zu klären den du nicht eindeutig in deiner Beschreibung klärst...
Meinst du damit den TCP oder UDP Port in einem Datenpaket oder den physischen Netzwerkport am Gerät ??
Maexx77
Maexx77 31.07.2014 um 10:07:17 Uhr
Goto Top
Ich meine den TCP - Port!
(aber im Grunde meine ich in diesem speziellen Fall sogar beides, das ist aber eine andere Geschichte).

Das Klassifizieren passiert -meiner Meinung nach- aber in der Netscreen nicht über eine Regel=Policy?!?

Die Regel "erlaubt" nur den klassifizierten Verkehr zwischen den beiden Partner. Ich muss aber erst mal "die Brücke schlagen" zwischen intern und extern, also die Weiterleitung.