Win2k Server richtig als Router einrichten?

[Elharter 11]

Hallo Leute....

 

ich steh da mit einem kleinem Problem an....

 

folgendes Scenario:

 

 

Ich hab einen Internetzugang, ne 2MB Standleitung.....gleich danach hängt ne Firewall die an einem Router hängt im 194.37.239er Netz.

 

Nun.....ich will nun ein "neues" Netz erstellen für ca. 100 Client die über einen Win2k Softwarerouter ins INternet können.

 

Das Problem jedoch ist nur jenes das die Leuteaus dem 172.16.20er Netz auf keinen FALL!!!! auf den LaborWebSErver zugreifen dürfen! Nur der Zugang zum Internet soll gegeben sein.....

 

Da der Win2k Router (auf Eth0) ja die Firewall als Standardgateway eingetragen hat routet die zwar die Anfragen alle dorthin, was ja auch gut so ist....NUR!!, und jetzt kommts, sollte einer der 100 Clients die Ip vom WebServer wissen kommt er sehrwohl hin weil der win2k Router dann nicht über den Gateway routet weils ja im "lokalen" Netz ist.

 

Wie unterbinde ich nun (auf dem Win2k Router) das die 100 Client NUR!!! einen Internetzugang haben und sonst nichts im 194.37.239er Netz machen können?????

[Workaholic4u 10]

Hi!

 

von wo aus muss denn auf den Webserver zu gegriffen werden?

 

sonst würde ich aus dem stand heraus sagen einen statischen Routeneintrag auf dem Router zwischen Firewall und Labor Server der anfragen auf die IP des Webservers ins nirvana schickt.

 

Oder eine Firewall zwischen Labor Server und Router, die besagt Clients die über den Router zischen Eth0 und Eth1 kommen haben keinen Zugriff auf den Webserver.

 

Wie gesagt ich weiss nicht von wo aus auf den Webserver zugegriffen werden muss, weitere Informationen dies bezüglich wären sehr hilfreich...

[Elharter 11]

vergiss von wo man auf den server zugreifen muss......

 

Der WebServer hängt in dem 239er Netz und die Leute DORT können darauf zugreifen und das gehört auch so.

 

 

Das ist jdeoch für mich total unrelevant. für mich ist wichtig das die leute (100 Clients) dort auf keinen fall hinkommen.......

 

ein weitere router kommt auch nicht in frage, da der Win2k router schon gerade mal gedulded wird!

[nitchle 10]

Wäre es da nicht am einfachsten auf dem Router zwischen Firewall und Labor Server den IPs aus dem 172.60.er Netz mit einer ACL den Zugang zur IP vom Labor Server zu verweigern?

[grizzly999 11]

Geht doch relativ einfach: du richtest im RRAS für die Schnittstelle Eth0 einen "negativen" Ausgabefilter ein, "Alle Pakete übertragen mit Ausnahme der angebenen". Der angegebene Filter hat dann als Quellnetz das 172er Netz und als Ziel 194.37.239.25 255.255.255.255 . So sollte es gehen.

 

grizzly999

[Elharter 11]

Thx grizzley...

 

auf so eine antwort hab ich gewartet ;)))

 

genau auf so eine antwort habe ich gewartet...ich werde das mal am Sonntag, bzw. am Montag in der Arbeit ausprobieren.

 

Ich hoffe das ist es....anhören tut es sich genau richtig.

 

danke vorErst mal für die Mühe, an alle!

[Der Newbie 10]

hm..mal ne Frage nebenbei...

 

die 172 liegen doch in einem anderen Subnetz, ich dachte bisher, das damit die Netzwerkfunktionen gesteuert werden???

 

Wenn ich das Netzwerk absuche, dürfte ich das andere subnetz garnicht sehen, oder denke ich falsch?

 

gruss newbie

[Elharter 11]

naja im grunde genommen hast du recht.....

 

nur ich habe ja dazu geschrieben das es auch sein kann, das jemand eine IP des 194.37.239er Netzes herausbekommt....und in diesem Fall kann er dann sehrwohl in das Netz zugreifen, eben deswegen weil der Router ja alles ganz gewöhnlich durchroutet.

 

Auch das Scannen des 194er Netzes, zB mit einem Ip-Scanner, würde meiner Meinung nach funktionieren....auch hier routet der routet die diversen ICMP Anfragen ganz normal ins 194er Netz weiter...