Jump to content

Anzahl der notwendigen öffentl. IP-Adressen für DMZ und LAN

Herbert Leitner

Von Herbert Leitner
in Windows Forum — Security

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Herbert Leitner

Herbert Leitner   10

Geschrieben
Geschrieben

Hallo!

 

Ich möchte mein Netzwerk, dass im moment aus einem LAN (Clients und 1 Server) und einer Firewall besteht um eine DMZ erweitern. Dazu würde ich gerne vor "außerhalb" von der bestehenden Firewall eine zweite (kleine) Firewall anschließen und damit eine DMZ bilden. In der DMZ sollten nur 1 oder zwei Rechner stehen.

 

Die DMZ sollte ins Internet geroutet (1:1 = öffentliche IPs) werden, das LAN geNATet (Masquarading = NAT = NPAT). Auf der inneren der beiden Firewalls (Cisco Pix) möchte ich meinen VPN Tunnel enden lassen.

 

Nun frage ich mich, wieviele IP - Adressen ich dafür brauche und wie die Netzwerknummern und die Routingtabellen aussehen sollen.

 

Ein sg. 8er Subnetz ist ohne Probleme zu haben, nur damit (denke ich) komme ich nicht durch. Von den 6 möglichen IP-Adressen fällt nich eine weg für das Gateway nach außen. Blieben 5 übrig. Davon werden für die DMZ zumindest 4 benötigt.

 

Die andere Möglichkeit ist wohl, eine Firewall zu verwenden, die einen DMZ-Port hat. Damit spare ich mir mir eine zweite Firewall und würde mit den Adressen durchkommen.

 

Diese Lösung scheint mir aber weniger sicher!?

 

Wie habt ihr das gemacht?

 

tks!

Herbert

Link zu diesem Kommentar
dready

dready   10

Geschrieben
Geschrieben

Am billigsten und einfachsten kommst du weg wenn du dir in einen Rechner 3 Netzwerkkarten (LAN,WAN,DMZ) einbaust und BSD mit zB der pf firewall installierst. Die Regeln für die firewall kannst du prima grafisch unter windows mit dem firewall builder (fwbuilder) erstellen. Für VPN das OpenVPN benutzen, das kostet nichts und die Probleme mit NAT auf der clientseite fallen nicht an wie bei anderen Lösungen weil das nur einen UDP port nutzt.

Ich würde auch in die DMZ nicht bridgen sondern natten. Hat den großen Vorteil daß alle öffentlichen IPs auf dem externen Interface der Firewall liegen. IP Adressen brauchst du nur eine für das LAN NAT und für die DMZ so viele wie du Ports doppelt brauchst. Hast du nur nen web und nen ftp server reicht dir eine IP. Du kannst die ports ja per firewall regel auf verschiedene rechner forwarden.

Hast du zwei webserver brauchst du zwei IP's weil du den port 80 ja doppelt ansprechen willst usw.

Bei uns funktioniert das Ganze seit Jahren prima, BSD ist sehr sicher und wenn man sich noch ein snort IDS system dazubastelt bleiben eigentlich keine Wünsche offen.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...