Jump to content
Sign in to follow this  
Wolke2k4

Firewall ohne Routing?

Recommended Posts

Hallo,

 

bisher hatte ich nur mit Firewalls zu tun, die nur über ein entsprechendes Routing funktionieren.

Mal eine dumme Frage: Gibt es einen Weg und/oder Produkte, die Firewallfunktionalität auch ohne Routing ermöglicht?

Sozusagen sowas wie eine Bridge Firewall?

 

Beispiel:

 

Host A | Firewall | secure LAN

 

Host A = 192.168.20.1/24

Firewall = 192.168.20.2/24

secure LAN = 192.168.20.3 - 254/24

Share this post


Link to post

Hallo,

 

geht natürlich auch als Bridging Firewall. Hab ich allerdings noch nie so gesehen und wüsste aus dem Stehgreif nicht die passende Konfig dafür :(

 

Kleine Nebenfrage: was für ein Hintergrund bewegt dich, über so eine Konstruktion nachzudenken?

 

Gruß

Olaf

Share this post


Link to post

Ein spezielles Modell? Sollte nicht zu teuer sein.

 

Würde sowas auch mit einer Windows XP Maschine gehen? Da kann man doch auch sowas wie Bridging aktivieren...

 

Nachtrag:

 

Szenario ist ganz einfach:

 

Host A ist eine Firewall von einem Fremdanbieter mit einer IP aus dem secure Lan, die nicht unter der Kontrolle des Admins steht sondern extern betreut wird und relativ offen ist. Auf Host A könnten bspw. mit ACLs entsprechende Sicherheitsfilter aktiviert werden, aber der Fremdanbieter sieht keine Veranlassung dazu. Ergo, benötigt man eine Bridge Firewall um sich den Kram mit dem Routing zu ersparen, denn die IP des Host A kann nicht ohne Weiteres angepasst werden.

Share this post


Link to post

Ich denke schon, mit Netzwerkbrücken ...

Was verstehst Du unter "nicht zu teuer" ? :D Die X-Core oder E-Series-Modelle können das ...

Share this post


Link to post

Hallo Wolke2k4,

 

wenns preisgünstig sein muss, schau Dich mal bei Zyxel um. Bridging-Mode ist derzeit ab der ZW2Plus aufwärts implementiert. Ab ca. 160 EUR bist Du also dabei. Mehr Durchsatz und mehr Features treiben natürlich auch da schnell den Preis nach oben - aber immer noch meilenweit von Cisco & co entfernt.

 

Gruß

Steffen

Share this post


Link to post

Servus,

 

da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt.

 

Gruß

Dirk

Share this post


Link to post
da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt.

Nöö, sehe ich nicht so zwingend. Was ist mit Bridging? Da ist eine FW auf MAC-Ebene denkbar und es ist nix mit NAT oder Routing.

Gruß

Olaf

Share this post


Link to post

Naja, bei der Watchguard im Dropin-Mode liegt auf jeder Schnittstelle die gleiche Adresse an, was dem klassischen Routing widerspricht und auch kein NAT ist ...

Share this post


Link to post
Servus,

 

da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt.

 

Gruß

Dirk

 

Man könnte auch beide oder alle Interfaces in's selbe Subnetz legen - macht zwar das Ruleset komplexer da eventuell nicht gruppierbar und mit Address-Spoofing wird man auch Probleme kriegen.

Share this post


Link to post

Hi.

 

Was ist mit Bridging? Da ist eine FW auf MAC-Ebene denkbar und es ist nix mit NAT oder Routing.

Richtig - einfach einmal wie schon empfohlen bei Zyxel oder Fortigate nachlesen. Hier gibt es einige Modelle die diesen Modus beherrschen. Ein weiteres typisches Proukt ist die IDP 10 (Intrusion Dedection und Prevention) von Zyxel.

 

Wenn diese Produkte im Bridge Modus betrieben werden, benötigen sie eine IP-Adresse ausschließlich dazu, damit sie verwaltet werden können. Siehe z.B. - ZyXEL ZyWALL IDP 10 - Gerät zur Erkennung und zum Schutz vor Eindringlingen

 

Ein Einsatz derartiger Geräte ist z.B. auch im LAN denkbar, um z.B. VPN Verbindungen abzusichern, da ja bei den meisten Firewalls VPN Verbindungen an der Firewall vorbeigehen.

 

LG Günther

Share this post


Link to post

@Wolke2k4: eine weitere Option wäre die Verwendung einer freien Firewalldistribution. Als filtering bridge lässt sich z.B. die M0n0wall betreiben.

 

Gruß

Steffen

Share this post


Link to post

Hier ein Link von Watchguard. Ich mach mich gerade schlau, was das einfachste Modell kostet.

 

Parallel habe ich mal mit dem Support eines Routerherstellers gesprochen. Dort meinte man, dass diese Art des "Firewallings" IP technisch "nicht sauber" ist und von seinem Unternehmen nicht untersützt wird.

 

Mich interessiert aber schon, wie das technisch geht. Logisch wäre für mich, dass das Filtering auf Layer 2 beginnt. Ziel soll aber sein bestimmte Pakte, IP Adressen (meist "any") usw. zu filtern. Hier verlassen wir aber wieder Layer 2...

 

Arbeiten die "Teile" wirklich so transparent, dass bei korrekter Einrichtung der (erwünschte) Traffic auch über diese "Bridgewall" geht?

Gibt es für dieses Verfahren eigentlich einen offiziellen Standard oder sind das Herstellerstandard?

 

Ich wäre sehr an ein paar technischen Backgroundinfos (die den Vorgang technisch ein wenig ausführlicher erklären) interessiert .

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...