Herbert Leitner 10 Geschrieben 24. November 2005 Melden Teilen Geschrieben 24. November 2005 Hallo! Ich möchte mein Netzwerk, dass im moment aus einem LAN (Clients und 1 Server) und einer Firewall besteht um eine DMZ erweitern. Dazu würde ich gerne vor "außerhalb" von der bestehenden Firewall eine zweite (kleine) Firewall anschließen und damit eine DMZ bilden. In der DMZ sollten nur 1 oder zwei Rechner stehen. Die DMZ sollte ins Internet geroutet (1:1 = öffentliche IPs) werden, das LAN geNATet (Masquarading = NAT = NPAT). Auf der inneren der beiden Firewalls (Cisco Pix) möchte ich meinen VPN Tunnel enden lassen. Nun frage ich mich, wieviele IP - Adressen ich dafür brauche und wie die Netzwerknummern und die Routingtabellen aussehen sollen. Ein sg. 8er Subnetz ist ohne Probleme zu haben, nur damit (denke ich) komme ich nicht durch. Von den 6 möglichen IP-Adressen fällt nich eine weg für das Gateway nach außen. Blieben 5 übrig. Davon werden für die DMZ zumindest 4 benötigt. Die andere Möglichkeit ist wohl, eine Firewall zu verwenden, die einen DMZ-Port hat. Damit spare ich mir mir eine zweite Firewall und würde mit den Adressen durchkommen. Diese Lösung scheint mir aber weniger sicher!? Wie habt ihr das gemacht? tks! Herbert Zitieren Link zu diesem Kommentar
dready 10 Geschrieben 24. November 2005 Melden Teilen Geschrieben 24. November 2005 Am billigsten und einfachsten kommst du weg wenn du dir in einen Rechner 3 Netzwerkkarten (LAN,WAN,DMZ) einbaust und BSD mit zB der pf firewall installierst. Die Regeln für die firewall kannst du prima grafisch unter windows mit dem firewall builder (fwbuilder) erstellen. Für VPN das OpenVPN benutzen, das kostet nichts und die Probleme mit NAT auf der clientseite fallen nicht an wie bei anderen Lösungen weil das nur einen UDP port nutzt. Ich würde auch in die DMZ nicht bridgen sondern natten. Hat den großen Vorteil daß alle öffentlichen IPs auf dem externen Interface der Firewall liegen. IP Adressen brauchst du nur eine für das LAN NAT und für die DMZ so viele wie du Ports doppelt brauchst. Hast du nur nen web und nen ftp server reicht dir eine IP. Du kannst die ports ja per firewall regel auf verschiedene rechner forwarden. Hast du zwei webserver brauchst du zwei IP's weil du den port 80 ja doppelt ansprechen willst usw. Bei uns funktioniert das Ganze seit Jahren prima, BSD ist sehr sicher und wenn man sich noch ein snort IDS system dazubastelt bleiben eigentlich keine Wünsche offen. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.