Entenfisch 10 Geschrieben 4. März 2009 Melden Teilen Geschrieben 4. März 2009 Hallo Leute, hätte folgende Problemstellung, zu der mir keine richtige Lösung einfällt. Gegeben sind: Netz A mit höherer Sicherheit Netz B mit niedriger Sicherheit Zwischen den Netzen routet ein SBS 2003. Clients aus Netz A sollen auf Netz B zugreifen können. Das ganze soll aber nicht umgekehrt möglich sein. Daher ist die NIC des SBS für Netz B mit NAT eingerichtet. Etwa so: (NetzA: 192.168.1.0) -- (192.168.1.1[sBS03]192.168.2.1;NAT) -- (NetzB: 192.168.2.0) Soweit so gut ... jetzt kommt die berühmte Ausnahme: Ein Client (nennen wir ihn mal 192.168.2.200) aus Netz B soll uneingeschränkt auf Netz A zugreifen können. Stelle ich NAT aus und betrachte Netz B als privates Netzwerk funktioniert es. Allerdings natürlich auch für alle anderen Clients aus Netz B, was ja nicht sein soll. Wenn ich jetzt statische Paketfilter einsetze, wird der Zugriff aber in beide Richtungen eingeschränkt. Optimal wäre also aktiviertes NAT und eine statische Route von Netz B in Netz A. Diese Route müsste praktisch das NATten umgehen. Lässt sich so etwas konfigurieren oder bin ich da auf einem Holzweg? Zitieren Link zu diesem Kommentar
grizzly999 11 Geschrieben 4. März 2009 Melden Teilen Geschrieben 4. März 2009 Hallo und willkommmen im Board :) Ich verstehe noch nicht ganz, wieso man da NAT braucht. Zwei NICs, RRAS für LAN-Routing eingerichtet, und dann in der RRAS-Konsole in den Schnittstellen Eingangs-, bzw. Ausgangsfilter eingerichtet. Die lassen sich sehr fein einstellen ;) grizzly999 Zitieren Link zu diesem Kommentar
Entenfisch 10 Geschrieben 5. März 2009 Autor Melden Teilen Geschrieben 5. März 2009 Hallo grizzly999, danke für das (re-)Willkommen. War schon mal aktiv, hab nur meine Nutzerdaten vergessen. :) Aber zurück zum Problem. Nur das wir uns richtig verstehen: RRAS-Konsole = "Start->Verwaltung->Routing und RAS", richtig? Das NAT sorgt dafür, dass Netz B auf das Netz A nicht zugreifen kann und Netz A weitestgehend ungehindert auf Netz B zugreifen kann. Ich versuche mein Problem, sowie den Unterschied dabei zwischen NAT und Routen mal an einem Beispiel zu beschreiben. Nehmen wir an ein Client (192.168.1.10) aus Netz A ruft eine Webseite von einem HTTP-Server (192.168.2.20) in Netz B ab. Das Request-Pakte geht an 192.168.2.20:80. Die Antwort des Servers geht z.B. an 192.168.1.10:1234. Wichtiger Unterschied beim Client ist der Port. Dieser wird ja dynamisch vergeben und kann alle Werte größer als 1024 annehmen. Mit NAT ... ... ist dies kein Problem. Da alles dynamisch übersetzt wird und nur für genau diese Verbindung gültig ist. Sollte jetzt jemand versuchen mit dem Server 192.168.2.20 auf Netz A zuzugreifen, scheitert die Verbindung am Router/NAT. Das ist hier auch so gewünscht. Mit Routing und Filtern ... ... würde ich im ersten Schritt einen "Ausgehenden Filter" (RRAS-Konsole: "[sBS2003-Name] -> IP-Routing -> Allgemein [oder NAT/Basisfirewall] -> [Rechtklick Schnittstelle zum Netz B] -> Eigenschaften -> Ausgehende Filter") für den Zugriff auf Netz A anlegen. Jetzt kann das erste Datenpaket den Router in Richtung Netz B passieren. Für das Antwortpaket des Servers, kommt jetzt ein "eingehender Filter" hinzu. Da der Client die Antwort aber auf einem dynamischen Port ober halb von 1024 erwartet, muss der gesamte Portbereich zu der Clientadresse weitergeleitet werden. Denken wir jetzt noch einen Schritt weiter. Der Aufruf unserer Beispielwebseite kann von jedem Client in Netz A kommen. Folglich muss der eingehende Filter so definiert sein, dass die Antwort von 192.168.2.20 an alle Clients aus Netz A gerichtet werden kann. Korrekt? Jetzt habe ich schon ein Sicherheitsproblem mit dem normalen Routing. In Netz A laufen auf vielen Clients diverse Serverdienste (Remotedesktops, spezielle Steuersoftware für Maschinen, etc.) auf Ports oberhalb von Port 1024. Es wird also möglich über 192.168.2.20 Datenpakete an diese Dienste zu richten. Wenn ich jetzt jeden Dienst über Regeln ausschließe, wird die Regeldefinition sehr komplex. Und damit kann ich erst einen Host in Netz B aus Netz A heraus ansprechen. Die Komplexität wird exponentiell größer, je mehr Ziele ich in Netz B ansprechen will. Dazu kommt, dass ich nie in Echtzeit weiss, welche und wieviele Hosts in Netz B stehen und welche Hosts aus Netz A auf Netz B wohin zugreifen werden. Daher ist NAT bisher die optimale Lösung (zumindest soweit ich weiss). Wie ich oben schon geschrieben habe, soll jetzt die berühmte Ausnahme hinzukommen ... Hoffe das macht mein Problem verständlicher. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.