guybrush

danke dann mal an alle, ich werd schauen, wann ich zeit finde, dieses projekt zu verwirklichen, und poste dann hier das ergebnis, bez. ein kleines how-to, da dieses szenario vielleicht für viele, so wie für mich, neuland ist. aber net böse sein, wenn noch eine weile dauert, muß ja nebenbei noch arbeiten ;) mfg hannes alias roat

naja, die billigen router mit "echter" firewall kenn ich schon, das sind auch nur schlechtere mittelklassepacketfilter. das mit dem isa bekomm ich schon hin, ich hab bis dato einen daheim laufen... auch ist mir bewusst, daß eine dmz oder ein "exposed host" wie auch immer die versch. hersteller das bezeichnen, nie am selben switch hängen dürfen wie das interne lan!! bei abb. b ist das interne lan eh durch den zyxel (welches meiner meinung nach um 2 stufen über solchen teilen wie netgear oder d-link ist) von der 3. nic der firewall getrennt, also müsste ein angreifer sich erst mal des dmz-rechners bemächtigen, dann sich durch die firewall kämpfen und sich dann noch durch den router, der dann ja (fast) keine offenen ports hat, schleichen. also glaub ich liege ich mit lösung b schon recht gut. sicher, ich könnte noch eine 2 firewall einsetzen, nur würde ich gerne den router verwenden, da ich das gerät recht günstig erstanden habe und es schade wäre, ihn verstauben zu lassen... außerdem ist eine 2. fw auch gleich installiert (als austausch zum router)... linux-firewalls hab ich mir schon genügend runtergeladen, ich hab also eine gute auswahl ;) aber danke mal für die schnelle antworten... noch eine kleinigkeit zur mailerei: muß ich für den exchange eine eigene maildomäne einrichten? und wie läuft das domänenübergreifend ab mit der benutzerauthentifizierung? kann mir das vielleicht jemand sagen oder muß ich mich da sonstwo informieren? mfg roat

prinzipiell, wenn möglich, würde ich beide wege von mag und wiggum verwenden. also server durchstarten und dann secedit anwenden. so kann man sich fast sicher sein, daß die policys greifen... so sind halt zumindest meine erfahrungen mfg hannes alias roat

ich kenn jetzt deine umgebung nicht so gut, aber ich würde vorschlagen (ist zwar ein wenig umständlich, aber dafür eine sehr gute lösung), daß du vom keller ein netzwerkkabel nach oben ins erdgeschoß/ersten stock, je nach bedarf, ziehst, und dir da noch einen access point anhängst, oder den router überhaupt an dieses netzwerkkabel anschliesst. aus deiner beschreibung geht halt nicht hervor, warum der router im keller steht! aber allgemein würde ich dir vorschlagen, den router da zu platzieren, wo auch die pc´s stehen, oder wenigstens im mittel zu pc-standort und maximaler reichtweite (garten, usw...) zu stellen... mfg hannes alias roat

hallo Board!als erstes möchste ich euch alle begrüßen, da dies hier mein erster post ist! ich habe eine kleine prinzipfrage zum aufbau einer dmz: ich will zu testzwecken bei mir daheim ein netzaufbauen, welches folgendermaßen ausschauen soll: internet | | router/fw | \ | \ | dmz | router/fw | | interne lan der rechner in der dmz soll mein interner webserver (evtl.) sein, ftp-server, ex2003 und vielleicht noch andere dienste anbieten (streaming, game-server, so zum testen halt). da ich bis jetzt eigentlich fast nichts mit exchange zu tun hatte, will ich mir dies jetzt etwas genauer anschauen. ich habe einen zyxel prestige 310 zur verfügung, der allerdings nur 2 ports (wan/lan) aufweisst, das heisst, damit eine dmz zu realisieren wäre dann schon wieder etwas umständlich. des weiteren würde ich gerne noch eine firewall dazwischenschalten (isa, intergate, evtl. eine linux zum antesten) nun zu den konzeptionellem fragen: ist es sinnvoll, die firewall am anfang, also gleich zwischen inet und lan zu schalten oder soll ich dort den router platzieren und die dmz an die firewall (die ja dann 3 oder mehr nics beherbergen kann) koppeln? gibt es da sicherheitstechnische bedenken, wenn ich wie in Abb. A die dmz an die firewall, die gleich am internen lan hängt, anhänge, oder sollte ich besser wie in Abb. B die firewall als erstes schalten, und dann zum abgrenzen der dmz/lan den router verwenden? der vorteil von lösung B wäre nat., daß ich auch für den traffic in der dmz detailierte auswertungen hätte! ist das sicherheitstechnisch alles in ordnung so wie ich mir das vorgestellt habe? zu meiner schande hatte ich noch nie das vergnügen, mit einer dmz zu arbeiten, deshalb hier die fragen. im lan würde sich ein 2003-server mit domäne befinden, in der dmz müsste ich dann halt auch einen server (wegen exchange, muß emeines wissens nach ja auch auf einem server laufen) mit einer eigenen maildomäne laufen, oder? wie läuft das dann mit der zugriffsberechtigung? müsste ich dann eine vertrauensstellung von lan nach dmz einrichten? kann mir da jemand ein paar tips geben, wie ich das am besten einrichte? zum laufen bringe ich es sicher auch ohne jegliche hilfe, nur will ich es nach allen richtlinien der netzwerkkonzeption und sicherheit einrichten... sodala, ich hoffe ich habe mich verständlich genug ausgedrückt und euch nicht mit meinen ausführungen verwirrt :D dann bleibt mir nur noch eins übrig, und zwar euch allen ein schönes wochenende zu wünschen und auf hoffentlich zahlreiche antworten zu warten... mfg hannes alias roat

ich bin jetzt als freiberufler in einer riesigen firma mit mehreren geografischen standorten (ich hab keine ahnung wie viele, aber rund um den globus verteilt in allen ländern) und ca. 20000 mitarbeitern, und ich hab den job trotz ausbildung und erfahrung nur bekommen, weil ich zertifiziert bin auf 2000 (MCSE, MCSA) mfg roat