s.F 10 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Hallo zusammen, Ich beabsichtige eine Linux Box im HomeLab innerhalb einer DMZ für diverse Dienste laufen zu lassen. Wie ich das ganze dann allerdings Technisch realisiere, weiss ich bisher noch nicht. Wäre klasse wenn Ihr mir paar Tips geben könntet, was man am besten machen kann. Folgende Hardware steht zur Verfügung: - Cisco 836 DSL Router (2x 10Mbit Eth Interfaces + DSL Einwahl via atm0) - FreeBSD (M0n0wall) Router/Firewall (3x 100Mbit + 2x 10Mbit Interfaces) - Cisco WS-C2916M-XL (4 Meg Switch c2900XL-hs-mz-112.8.12-SA6.bin) Kann mir jemand von euch sagen, ob die DMZ unbedingt am ersten "Router" erfolgen muss (wegen NAT oder so? Wäre wohl nicht so Klug, weil alle Systeme in der DMZ dann nur Netzwerk Intern mit 10 Mbit erreichbar wären ... Wenn es sich Technisch umsetzen lässt, dann stelle ich mir das so vor. Internet <-> c836 Einwahl pppoe/atm0 <-> M0n0wall <---> Switch <-> LAN Ich hab ein Desktop System (PII-400MHZ-786MB SDRam) mit 3 SCSI HDDS am ICP Raid-5 Controller und 5 NIC´s zusammengebaut. Diese Monowall-Box untersützt 802.1Q VLAN tagging und übernimmt Routing/Firewall Aufgaben. Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Ja genau, du machst an der 2ten NIC der Mono deine DMZ und routest am 836 das Netz ueber die externe NIC der Mono. An der 836 dann fuer die einzelnen Dienste das NAT zur DMZ IP. Zitieren Link zu diesem Kommentar
s.F 10 Geschrieben 27. November 2009 Autor Melden Teilen Geschrieben 27. November 2009 Hallo Wordo, Ich mache mir schon seit einer weile darüber gedanken wie dieser Netzwerk Aufbau Designmäßig aussehen könnte. Monowall unterstützt ja 802.1Q VLAN tagging. Sofern alles Software/Hardware seitig untersützt wird, wäre es wohl sinnvoll VLANs auf dem Switch zu verwenden, oder? Bisher kenne ich vieles nur aus der Theorie, und muss das alles auch so langsam mal praktisch ausprobieren/umsetzen :) Dein "Ja genau" war bezogen auf was genau? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Das bedeutet es wird auf jeden Fall irgendwie funktionieren (mit 100Mbit) :) Also wenn du schon auf der Monowall 3 100Mbit NIC's hast wuerde ich auf Tagging verzichten, da du dann ja 2 Netze ueber eine 100Mbit NIC routest ;) Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Hi, grundsätzlich sollte man VLans nur zur "logischen" Trennung von Netzen einsetzen. Rubust (gegen Angriffe) ist ein VLan in aller Regel nicht. Wenn es dir bei der Umgebung primär ums lernen geht, dann würde ich es auch gleich richtig machen (Netzwerkkarten kosten ja nicht die Welt). Server in einer DMZ sollten auch dual homed sein (sprich ein interface für externen traffic und ein interface für internen traffic). Im Enterprise Umfeld würde man die beiden DMZen dann auch noch an pyhsich getrennte Firewalls hängen - aber das geht wohl für den ersten Schritt etwas zu weit ;) Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 (bearbeitet) Off-Topic: @nerd - du schreibst VLAN ist nicht robust gegen angriffe - ok es ist kein ePhysikalische Sicherheit - aber es ist mir bisher noch wie was in die Hände gefallen - das ein Hacker das geschafft hat - wenn er "eh" auf dem Switch ist - hat er ja alle möglichkeiten. Hast du da evtl. mehr Infos zu der Aussage ? bearbeitet 27. November 2009 von blackbox Zitieren Link zu diesem Kommentar
nerd 28 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Off-Topic:jup hab dazu viel mehr infos - die hier zu posten wäre aber keine so gute Idee. Es gab aber z. B. in der Vergangenheit bei diversen Produkten immer wieder Schwächen, die es z. B. ermöglichten einen Port zum trunken zu "überreden". Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 27. November 2009 Melden Teilen Geschrieben 27. November 2009 Off-Topic:jup hab dazu viel mehr infos - die hier zu posten wäre aber keine so gute Idee. Es gab aber z. B. in der Vergangenheit bei diversen Produkten immer wieder Schwächen, die es z. B. ermöglichten einen Port zum trunken zu "überreden". Sorry, aber dann den vorherigen Post bitte auch als Offtopic markieren. Hier gehts weder um die Sicherheit von VLANs, noch um Lerneffekte. Es wurde um den einfachen Aufbau einer DMZ (wohl im privaten Umfeld) mit bestehenden Mitteln gefragt. Zitieren Link zu diesem Kommentar
s.F 10 Geschrieben 27. November 2009 Autor Melden Teilen Geschrieben 27. November 2009 Hallo ihr zwei :) @Wordo Wahrscheinlich ist geplant, dass ich mir noch einen WLAN Access Point eventuell zulegen werde. Dieser soll dann ebenfalls dan die Monowall dran. Daheim habe ich - wenn man es so Sagen kann - meine Infrastruktur auf 3 Räume im Haus verteilt. In einem kleinen Raum befindet sich das ganze Telefon/Netzwerk zeugs sowie die Monowall und meine Backup Kiste. In einem Raum ist mein Arbeitszimmer/Büro sowie der letzte Raum ist meine Schrauberbude für diverse Wartungsarbeiten an Hardware ect pp. Vorhandene NIC´s der Monowall sind sogesehn eigentlich schon im groben alle bereits verplant :D @nerd Die 100% Sicherheit wird es vermutlich nie geben, jedoch verstehe ich schon wie du das gemeint hast :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.