bernardo 10 Geschrieben 17. November 2011 Melden Teilen Geschrieben 17. November 2011 Guten Abend allerseits, ich habe zum Thema DMZ eine Verständnisfrage: Wenn ich einen Webserver in die DMZ stelle, an der externen Firewall den Port 80 öffne, und einen dynDNS Namen erstelle, welcher mit meiner vom ISP zugewiesenen Adresse synchron läuft, dann ist der Zugriff auf den Webserver möglich. In wirklichkeit hat mein Router ja diese IP Adresse und die Anfragen an den Port werden dann an den Server in der DMZ Weitergeleitet. Jetzt würde ich gerne wissen wie das in Unternehmen läuft, die 5 oder 10 Server in der DMZ habe, die alle ereichbar sein müssen. Das Unternehmen ordert dann die gewünschte zahl an öffentlichen IP Adressen, aber wie geht es dann weiter? Wie bekommen dann die server diese IP Adressen zugeteilt? Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 17. November 2011 Melden Teilen Geschrieben 17. November 2011 Da gibt es mehrere Möglichkeiten. Erstmal macht man das als Professionelle Firma nicht mit Dyndns, aber das ist etwas anderes. Mehrere IP's ist eine Möglichkeit. Eine andere ist z.B. öffentliche IP's zu nutzen. Dann gibt es direkte Verbindungen zu den Servern. Noch eine andere Möglichkeit ist mit einem Reverse Proxy zu arbeiten. Da geht z.B. domain.de/site1 an Server1/site1 und domain.de/site2 an Server2/site2 (oder alternativ das ganze mit subdomänen). Zitieren Link zu diesem Kommentar
bernardo 10 Geschrieben 17. November 2011 Autor Melden Teilen Geschrieben 17. November 2011 Danke für die Antwort. Das mit dynDNS war nur das Beispiel für zu Hause. Wenn man öffentliche IP's benutzt dann ist die Verbindung zu den Servern direkt vorhanden, wie du sagtest. Steht dann also keine Firewall mehr vor dem Server der für ein wenig Schutz sorgt? Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 17. November 2011 Melden Teilen Geschrieben 17. November 2011 Eine Firewall schließt das ja nicht aus. Zitieren Link zu diesem Kommentar
bernardo 10 Geschrieben 17. November 2011 Autor Melden Teilen Geschrieben 17. November 2011 Kannst du mir das evtl ein bischen näher erklären? Da wäre ich dir sehr verbunden. Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 17. November 2011 Melden Teilen Geschrieben 17. November 2011 Wenn du eine DMZ mit öffentlichen IPs hast, besitzt du als Kunde sozusagen ein komplettes Netz. Und dieses Netz ist natürlich Routingtechnisch irgendwie erreichbar. Meist über ein entsprechendes Transfernetz. Die Firewall vor der DMZ routet dann die erlaubten Protokolle zu den entsprechenden IPs (Servern). Anders wenn du mit NAT arbeitest, dann besitzt deine Firewall sozusagen mehrere externe IPs und dann wird mittels Port-Forward pro IP gearbeitet. Das ist natürlich nur eine grobe Erklärung. ;) Bye Norbert Zitieren Link zu diesem Kommentar
bernardo 10 Geschrieben 17. November 2011 Autor Melden Teilen Geschrieben 17. November 2011 Wenn du eine DMZ mit öffentlichen IPs hast, besitzt du als Kunde sozusagen ein komplettes Netz. Und dieses Netz ist natürlich Routingtechnisch irgendwie erreichbar. Meist über ein entsprechendes Transfernetz. Die Firewall vor der DMZ routet dann die erlaubten Protokolle zu den entsprechenden IPs (Servern). Bedeutet dies also wenn ich ein komplettes Netz bestehen aus 8 Adressen erhalte, habe ich 5 nutzbare Adressen für Server und die anderen 3 Adressen gehen für die Netzadresse, Broadcastadresse und den Router drauf? Die Firewall leitet die Protokolle weiter, das ist doch auch einer art Port- Forwarding oder nicht? Wieviele LAN Ports hat die Firewall denn dann auf der öffentlichen Seite? Anders wenn du mit NAT arbeitest, dann besitzt deine Firewall sozusagen mehrere externe IPs und dann wird mittels Port-Forward pro IP gearbeitet. Wo ist der Unterschied zum ersten? Hmm also so ganz schlüßig ist mir das noch nicht, hast du evtl eine möglkichkeit mir das anhand eines Szenariosn zu erklären, bzw. einen Link wo es gut veranschaulicht wird oder noch besser, einen Tip wonach ich suchen soll.:-) Vielen Dank schonmal Zitieren Link zu diesem Kommentar
NorbertFe 1.836 Geschrieben 17. November 2011 Melden Teilen Geschrieben 17. November 2011 Bedeutet dies also wenn ich ein komplettes Netz bestehen aus 8 Adressen erhalte, habe ich 5 nutzbare Adressen für Server und die anderen 3 Adressen gehen für die Netzadresse, Broadcastadresse und den Router drauf? Korrekt. Die Firewall leitet die Protokolle weiter, das ist doch auch einer art Port- Forwarding oder nicht? Nein, das ist Routing durch das nur bestimmte Ports durchgelassen werden. Port Forwarding ist das Weiterleiten eines Ports, der an einer IP ankommt an eine weitere IP. Wieviele LAN Ports hat die Firewall denn dann auf der öffentlichen Seite? Einen. Wo ist der Unterschied zum ersten? Der Unterschied zwischen Routing und NAT? Das wirst du wohl per google auch selbst finden, oder? ;) Hmm also so ganz schlüßig ist mir das noch nicht, hast du evtl eine möglkichkeit mir das anhand eines Szenariosn zu erklären, bzw. einen Link wo es gut veranschaulicht wird oder noch besser, einen Tip wonach ich suchen soll.:-) Ja, nach Routing und NAT. ;) und Szenarien hab ich dir zwei "einfache" genannt. Wenn dir das nicht klar wird, dann baus mal nach, dann wirst du den Unterschied schon bemerken. Bye Norbert Zitieren Link zu diesem Kommentar
Dukel 437 Geschrieben 17. November 2011 Melden Teilen Geschrieben 17. November 2011 Bei ersterem schickt der Client eine Anfrage direkt an den Server (die Firewall hängt dazwischen und lässt das Paket durch oder verwirft es, je nachdem ob es erlaubt oder verboten ist. Bei letzterem bekommt der Router das Paket, schaut in seiner Tabelle nach, ob es für ihn oder jemand anderes ist und schreibt dann die IP's um (und merkt sich die Verbindung). Off-Topic: Deswegen sind die NAT Router eigentlich keine Router sondern NAT Gateways und werden immer fälschlicherweise als Router bezeichnet. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.