Proxy - Zwei Gateways

[achim89]

Hallo,

ich stehe vor einem Problem, das ich alleine nicht lösen kann.

Ich habe in der DMZ einen Server der die Aufgabe des Proxyservers (squid) und des Mail-exchangeservers (qmail) übernimmt.

die DMZ hat das Netz: 10.0.0.0/24 mit dem gateway 10.0.0.254 (Router S-DSL), das den Weg über die S-DSL-Leitung ins Internet findet (Mail-Server).

Der Mailserver hat die IP-Adresse 10.0.0.1 (eth0) und verlässt standardmäßig über die 10.0.0.254 das Netz ins Internet.

Nun haben wir eine A-DSL-Leitung hinzubekommen. Der Proxyserver soll hierbei den kompletten Surf-Traffic über diese Leitung schicken.

Der Mail/Proxyserver nutzt nun also seine zweite Netzwerkkarte (eth1) mit der IP-Adresse 172.16.0.1.
Mit iproute2 wurde ein zweites Gateway für das System auf diesem Netz festgelegt, sodass alle Pakete mit der 10ner IP das zweite Gateway (Router A-DSL) verwenden.

Den Squid kann man mit tcp_outgoing_address dazu bringen, Anfragen über das 10ner-Netz zuverlassen.

Das funktioniert soweit einwandfrei, der komplette web-traffic läuft nun mit Hilfe von Squid über eth1, dennoch hab ich das Problem, dass alle DNS-Anfragen nachwievor über eth0 gestellt werden.

Ist es irgendwie möglich, dass Squid die DNS-Anfragen auch über eth1 stellt, bzw gibt es eine andere Möglichkeit, die DNS-Anfragen über eth1 laufen zu lassen?

Gruß,
achim

 

[Krik]

Du könntest einen eigenen DNS (bind9) auf den Server installieren und alle DNS-Abfragen darüber laufen lassen.
Der DNS wiederum leitet alle Abfragen dann über eth1 weiter. Ein DNS-Relay sozusagen.

 

[awo]

was für nen dns ist den bei dir eingetragen?

 

[achim89]

als erster nameserver ist die firewall zu sdsl eingetragen
danach 8.8.8.8
danach 8.8.4.4
danach die firewall der adsl

wenn ich aber alle dns anfragen mit hilfe eines dns relays über die adsl leitung laufen lasse, gehen auch die mail dns anfragen über die adsl

 

[Krik]

Alle DNS-Abfragen sollen generell über eth1 laufen, während DNS-Abfragen von eMails über eth0 laufen sollen?
Ich wüsste nicht, dass man da eine Unterscheidung machen kann. Für den Computer ist beides gleich.

Einzige Möglichkeit, die mir noch dazu einfällt, ist, den Mailserver in eine VM zu packen und dem das eth1-Interface komplett vor zu enthalten.

 

[metallica2006]

Hi,

(Falls ich mich nicht vollkommen irre)

es gibt router mit mehr als einem wan port. Dort kannst du dann einstellen, dass er die Daten auf die leitungen verteilt. eventuell kann man dann auch festlegen, dass bestimmte Hosts oder Netze nur über eine der beiden leitungen laufen sollen.

Käme was in der Richtung in frage?

 

[achim89]

ne nur ftp, http, https und deren dns-abfragen sollten eth1 laufen,
über eth0 der rest (in der dmz stehen noch mehr server mit diensten)
ja ich weiß pro system eig nur ein standardgateway
aber ich dachte dass ich mit iproute2 und tcp_outgoing_address tricksen könnte

der router käme nicht in frage
bleibt wohl nur noch eine physikalische trennung der server =/

falls jemand noch was einfallen sollte, bitte posten
ansonsten, danke soweit

 

[Krik]

DNS ist ein System, dass keinen Unterschied bei Protokollen wie ftp, http usw. macht. Es bearbeitet ausschließlich Domainabfragen. Einen Unterschied zwischen ftp://seite.de und http://seite.de kann es nicht sehen.

 

[BasCom]

mit iptables ist mehr oder minder alles moeglich. du kannst z.b. bestimmen, welche pakete wohin gehen, abhängig davon,welcher prozess es ist. sendet also postfix mail server, als beispiel, ein paket auf dem Port für DNS, lässt sich auch dafür eine weiterleitungs-regel definieren. Bissl einlesen muss allerdings sein -)

http://www.frozentux.net/iptables-tutorial/iptables-tutorial.html#OWNERMATCH