Jump to content

Firewall ohne Routing?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo,

 

bisher hatte ich nur mit Firewalls zu tun, die nur über ein entsprechendes Routing funktionieren.

Mal eine dumme Frage: Gibt es einen Weg und/oder Produkte, die Firewallfunktionalität auch ohne Routing ermöglicht?

Sozusagen sowas wie eine Bridge Firewall?

 

Beispiel:

 

Host A | Firewall | secure LAN

 

Host A = 192.168.20.1/24

Firewall = 192.168.20.2/24

secure LAN = 192.168.20.3 - 254/24

Link zu diesem Kommentar

Ein spezielles Modell? Sollte nicht zu teuer sein.

 

Würde sowas auch mit einer Windows XP Maschine gehen? Da kann man doch auch sowas wie Bridging aktivieren...

 

Nachtrag:

 

Szenario ist ganz einfach:

 

Host A ist eine Firewall von einem Fremdanbieter mit einer IP aus dem secure Lan, die nicht unter der Kontrolle des Admins steht sondern extern betreut wird und relativ offen ist. Auf Host A könnten bspw. mit ACLs entsprechende Sicherheitsfilter aktiviert werden, aber der Fremdanbieter sieht keine Veranlassung dazu. Ergo, benötigt man eine Bridge Firewall um sich den Kram mit dem Routing zu ersparen, denn die IP des Host A kann nicht ohne Weiteres angepasst werden.

Link zu diesem Kommentar

Servus,

 

da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt.

 

Gruß

Dirk

Link zu diesem Kommentar
da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt.

Nöö, sehe ich nicht so zwingend. Was ist mit Bridging? Da ist eine FW auf MAC-Ebene denkbar und es ist nix mit NAT oder Routing.

Gruß

Olaf

Link zu diesem Kommentar
Servus,

 

da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt.

 

Gruß

Dirk

 

Man könnte auch beide oder alle Interfaces in's selbe Subnetz legen - macht zwar das Ruleset komplexer da eventuell nicht gruppierbar und mit Address-Spoofing wird man auch Probleme kriegen.

Link zu diesem Kommentar

Hi.

 

Was ist mit Bridging? Da ist eine FW auf MAC-Ebene denkbar und es ist nix mit NAT oder Routing.

Richtig - einfach einmal wie schon empfohlen bei Zyxel oder Fortigate nachlesen. Hier gibt es einige Modelle die diesen Modus beherrschen. Ein weiteres typisches Proukt ist die IDP 10 (Intrusion Dedection und Prevention) von Zyxel.

 

Wenn diese Produkte im Bridge Modus betrieben werden, benötigen sie eine IP-Adresse ausschließlich dazu, damit sie verwaltet werden können. Siehe z.B. - ZyXEL ZyWALL IDP 10 - Gerät zur Erkennung und zum Schutz vor Eindringlingen

 

Ein Einsatz derartiger Geräte ist z.B. auch im LAN denkbar, um z.B. VPN Verbindungen abzusichern, da ja bei den meisten Firewalls VPN Verbindungen an der Firewall vorbeigehen.

 

LG Günther

Link zu diesem Kommentar

Hier ein Link von Watchguard. Ich mach mich gerade schlau, was das einfachste Modell kostet.

 

Parallel habe ich mal mit dem Support eines Routerherstellers gesprochen. Dort meinte man, dass diese Art des "Firewallings" IP technisch "nicht sauber" ist und von seinem Unternehmen nicht untersützt wird.

 

Mich interessiert aber schon, wie das technisch geht. Logisch wäre für mich, dass das Filtering auf Layer 2 beginnt. Ziel soll aber sein bestimmte Pakte, IP Adressen (meist "any") usw. zu filtern. Hier verlassen wir aber wieder Layer 2...

 

Arbeiten die "Teile" wirklich so transparent, dass bei korrekter Einrichtung der (erwünschte) Traffic auch über diese "Bridgewall" geht?

Gibt es für dieses Verfahren eigentlich einen offiziellen Standard oder sind das Herstellerstandard?

 

Ich wäre sehr an ein paar technischen Backgroundinfos (die den Vorgang technisch ein wenig ausführlicher erklären) interessiert .

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...