Jump to content

ISA 2000 - DMZ

redbull

By redbull
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Recommended Posts

redbull Apprentice

redbull   10

Posted
Posted

Hallo Zusammen!

 

Habe ein großes Problem, aber wahrscheinlich ist die Lösung recht einfach:

 

Zur Konfiguration:

 

Firewall ISA 2000 mit öffentlicher IP 194.x.x.2 auf w2k3

seperater Mailserver mit IP 194.x.x.5 und 194.x.x.7 auf w2k3

seperater Webserver mit IP 194.x.x.3

 

Möchte gerne einen privaten Bereich für die PC mit der Adresse 192.168.x.x einrichten (das funktioniert auch einwandfrei).

 

Jedoch die DMZ mit einem 172.16.0.x Adressenpool bring ich einfach nicht zum Laufen. Habe es mit IP-Paketfilter und auch mit Veröffentlichung probiert.

 

Wie bringe ich die Netzwerkkarte mit der Nummer 194.x.x.2 dazu, auf Pakete, die für die -3, -5, und -7 bestimmt sind zu lauschen und diese ins 172.x.x.x Netz zu leiten. Muss ich dazu auch den Routerdienst am Server aktivieren.

 

Danke im Voraus für eure Unterstützung!

grizzly999 Grand Master

grizzly999   11

Posted
Posted

Ja, das Routing muss aktiviert sein, aber nicht über RAS, sondern in den Eigenschaften von Paketfilterung.

 

Keine Serververöffentlichung. Und: sollen die Rechner von ausserhalb erreichbar sein, müssen in der DMZ offizielle IP-Adressen verwendet werden, es wird zwischen DMZ und externem Netz nur geroutet, nicht genattet!!

 

grizzly999

redbull Apprentice

redbull   10

Posted
  • Author
Posted

Danke erstmal für deine Antwort!

 

IP-Routing in der IP-Paketfilterung ist aktiviert (funkt. trotzem nicht).

 

DMZ mit öffentlichen IP - meinst du da die 194.x.x.x Adressen? Das bedeutet, dass die 2 Server (Mail + Web) weiterhin ungeschütz arbeiten.

 

Vielleicht habe ich einen Denkfehler, aber kann ich meine externe Schnittstelle dazu bringen, auf mehrere öffentliche IP-Adressen zu hören? Damit wäre das Problem eigentlich gelöst.

 

Eine Änderung im DNS des Providers habe ich mir auch schon überlegt. Jedoch bringt das bei Ausfall des ISA-Servers auch nur Probleme.

grizzly999 Grand Master

grizzly999   11

Posted
Posted

Ja, ein routbarer Teil des 194er muss in die DMZ gelegt werden. Die externe Karte muss gar nicht auf mehrere Adressen hören, weil die nichts da zu hören hat. Wie gesagt, die Pakete müssen in die DMZ geroutet werden. Dazu muss man sein offizielles Netz dann in mind. 2 Subnetze subnetten, eines vorne, eines in der DMZ.

 

grizzly999

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
Go to topic listing


×
×
  • Create New...