Oli72 1 Geschrieben 12. Januar 2021 Melden Teilen Geschrieben 12. Januar 2021 einen schönen guten Abend, ich hoffe, daß mir hier jemand mit einem Verständnissproblem helfen kann. Es geht um Web Server in einer DMZ (Perimeternetzwerk). Aus meinem Verständniss, heraus, würde es doch ausreichen, die Server in der DMZ in ein anderes privates Netzwerk zu packen als das restliche LAN. Also zB. das LAN in 192.168.0.0/24 und die DMZ in 192.1681.0/24 mit einer öffentlichens IP (NAT). Weshalb wäre es sinnvoll (so habe ich es in einem Erklärungsvideo gesehen), ein öffentliches Netz durch Subnetting in 2 Teilnetze zu zerlegen, die DMZ in das eine öffentliche Teilnetz zu legen (z.B. 194.88.223.130/25) und das LAN über das zweite öffentliche Teilnetz (z.B. 194.88.223.126/25) zu verbinden (Schaubild aus dem Video im Anhang (Quelle:https://www.youtube.com/watch?v=hAQxrBlCAiE ) Was mir nicht ganz einleuchtet: Wann macht es überhaupt Sinn, nicht mit privaten Netzwerken zu arbeiten, sondern mit öffentlichen Subnetzen. Würde es in einem großen Unternehmen mit verschiedenen Filialen oder Abteilungen mehr Sinn machen mit verschiedenen öffentlichen Netzen oder mit verschiedenen privaten Netzen zu arbeiten? Ich danke für eure Hilfe. Oli Zitieren Link zu diesem Kommentar
tesso 375 Geschrieben 12. Januar 2021 Melden Teilen Geschrieben 12. Januar 2021 In dem Video geht es einfach nur um IP-Adressen und Adressierung. Zitieren Link zu diesem Kommentar
cj_berlin 1.315 Geschrieben 13. Januar 2021 Melden Teilen Geschrieben 13. Januar 2021 Moin, wenn es um die Erreichbarkeit von draußen geht, muss *jemand* auf öffentliche IP-Adressen hören. Klar geht einiges - aber nicht alles! - mit NAT, aber bereits beim Reverse Proxy muss doch dieser ein Bein im "großen Schwarzen" haben. Daher gibt es so etwas wie "private DMZ", die oft private IP-Adressen haben und mit dem Internet nur über NAT/PAT verbunden sind, und "öffentliche DMZ", wo die einzelnen Hosts tatsächlich öffentliche IP-Adressen haben. Wenn es ausschließlich um die Sicherheitszonen-Zuordnung geht, ist es egal, aus welchem Pool die IP-Adressen der DMZ-Hosts kommen, solange es nicht LAN ist und die Firewalls korrekt konfiguriert sind. Aber wenn man z.B. multitier-Anwendungen in der DMZ hat, dann sieht man häufig den Frontend-Tier in der öffentlichen DMZ, während Applikations- und Datenbank-tier in einer privaten DMZ sind. Zitieren Link zu diesem Kommentar
Oli72 1 Geschrieben 13. Januar 2021 Autor Melden Teilen Geschrieben 13. Januar 2021 vor 14 Stunden schrieb cj_berlin: Moin, wenn es um die Erreichbarkeit von draußen geht, muss *jemand* auf öffentliche IP-Adressen hören. Klar geht einiges - aber nicht alles! - mit NAT, aber bereits beim Reverse Proxy muss doch dieser ein Bein im "großen Schwarzen" haben. Daher gibt es so etwas wie "private DMZ", die oft private IP-Adressen haben und mit dem Internet nur über NAT/PAT verbunden sind, und "öffentliche DMZ", wo die einzelnen Hosts tatsächlich öffentliche IP-Adressen haben. Wenn es ausschließlich um die Sicherheitszonen-Zuordnung geht, ist es egal, aus welchem Pool die IP-Adressen der DMZ-Hosts kommen, solange es nicht LAN ist und die Firewalls korrekt konfiguriert sind. Aber wenn man z.B. multitier-Anwendungen in der DMZ hat, dann sieht man häufig den Frontend-Tier in der öffentlichen DMZ, während Applikations- und Datenbank-tier in einer privaten DMZ sind. Jo, dann liege ich ja mit meiner Sicht gar nicht so verkehrt und beides ist möglich. Vielen Dank für Deine ausführliche Antwort. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.