Jump to content

Webserver in DMZ / Netz


Recommended Posts

einen schönen guten Abend,

ich hoffe, daß mir hier jemand mit einem Verständnissproblem helfen kann.

Es geht um Web Server in einer DMZ (Perimeternetzwerk).

Aus meinem Verständniss, heraus, würde es doch ausreichen, die Server in der DMZ in ein anderes privates Netzwerk zu packen als das restliche LAN.

Also zB.   das LAN in   192.168.0.0/24  und die DMZ in 192.1681.0/24 mit einer öffentlichens IP (NAT). 

Weshalb wäre es sinnvoll (so habe ich es in einem Erklärungsvideo gesehen), ein öffentliches Netz durch Subnetting in 2 Teilnetze zu zerlegen, die DMZ in das eine öffentliche Teilnetz zu legen (z.B. 194.88.223.130/25)  und das LAN über das zweite öffentliche Teilnetz (z.B. 194.88.223.126/25)  zu verbinden (Schaubild aus dem Video im Anhang (Quelle:https://www.youtube.com/watch?v=hAQxrBlCAiE  )

Was mir nicht ganz einleuchtet:  Wann macht es überhaupt Sinn, nicht mit privaten Netzwerken zu arbeiten, sondern mit öffentlichen Subnetzen.

Würde es in einem großen Unternehmen mit verschiedenen Filialen oder Abteilungen mehr Sinn machen mit verschiedenen öffentlichen Netzen oder mit verschiedenen privaten Netzen zu arbeiten? 

 

 

Ich danke für eure Hilfe.

Oli

 

DMZ.JPG

Link to post

Moin,

 

wenn es um die Erreichbarkeit von draußen geht, muss *jemand* auf öffentliche IP-Adressen hören. Klar geht einiges - aber nicht alles! - mit NAT, aber bereits beim Reverse Proxy muss doch dieser ein Bein im "großen Schwarzen" haben.

 

Daher gibt es so etwas wie "private DMZ", die oft private IP-Adressen haben und mit dem Internet nur über NAT/PAT verbunden sind, und "öffentliche DMZ", wo die einzelnen Hosts tatsächlich öffentliche IP-Adressen haben.

 

Wenn es ausschließlich um die Sicherheitszonen-Zuordnung geht, ist es egal, aus welchem Pool die IP-Adressen der DMZ-Hosts kommen, solange es nicht LAN ist und die Firewalls korrekt konfiguriert sind. Aber wenn man z.B. multitier-Anwendungen in der DMZ hat, dann sieht man häufig den Frontend-Tier in der öffentlichen DMZ, während Applikations- und Datenbank-tier in einer privaten DMZ sind.

Link to post
vor 14 Stunden schrieb cj_berlin:

Moin,

 

wenn es um die Erreichbarkeit von draußen geht, muss *jemand* auf öffentliche IP-Adressen hören. Klar geht einiges - aber nicht alles! - mit NAT, aber bereits beim Reverse Proxy muss doch dieser ein Bein im "großen Schwarzen" haben.

 

Daher gibt es so etwas wie "private DMZ", die oft private IP-Adressen haben und mit dem Internet nur über NAT/PAT verbunden sind, und "öffentliche DMZ", wo die einzelnen Hosts tatsächlich öffentliche IP-Adressen haben.

 

Wenn es ausschließlich um die Sicherheitszonen-Zuordnung geht, ist es egal, aus welchem Pool die IP-Adressen der DMZ-Hosts kommen, solange es nicht LAN ist und die Firewalls korrekt konfiguriert sind. Aber wenn man z.B. multitier-Anwendungen in der DMZ hat, dann sieht man häufig den Frontend-Tier in der öffentlichen DMZ, während Applikations- und Datenbank-tier in einer privaten DMZ sind.

Jo, dann liege ich ja mit meiner Sicht gar nicht so verkehrt und beides ist möglich. Vielen Dank für Deine ausführliche Antwort. 

Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...