Wolke2k4 11 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hallo, bisher hatte ich nur mit Firewalls zu tun, die nur über ein entsprechendes Routing funktionieren. Mal eine dumme Frage: Gibt es einen Weg und/oder Produkte, die Firewallfunktionalität auch ohne Routing ermöglicht? Sozusagen sowas wie eine Bridge Firewall? Beispiel: Host A | Firewall | secure LAN Host A = 192.168.20.1/24 Firewall = 192.168.20.2/24 secure LAN = 192.168.20.3 - 254/24 Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Mit Watchguard z.B. funktioniert sowas. Die nennen das Dropin-Modus ... Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hallo, geht natürlich auch als Bridging Firewall. Hab ich allerdings noch nie so gesehen und wüsste aus dem Stehgreif nicht die passende Konfig dafür :( Kleine Nebenfrage: was für ein Hintergrund bewegt dich, über so eine Konstruktion nachzudenken? Gruß Olaf Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Einfach reinstellen und nichts an der IP-Config verändern ... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 21. August 2006 Autor Melden Teilen Geschrieben 21. August 2006 Ein spezielles Modell? Sollte nicht zu teuer sein. Würde sowas auch mit einer Windows XP Maschine gehen? Da kann man doch auch sowas wie Bridging aktivieren... Nachtrag: Szenario ist ganz einfach: Host A ist eine Firewall von einem Fremdanbieter mit einer IP aus dem secure Lan, die nicht unter der Kontrolle des Admins steht sondern extern betreut wird und relativ offen ist. Auf Host A könnten bspw. mit ACLs entsprechende Sicherheitsfilter aktiviert werden, aber der Fremdanbieter sieht keine Veranlassung dazu. Ergo, benötigt man eine Bridge Firewall um sich den Kram mit dem Routing zu ersparen, denn die IP des Host A kann nicht ohne Weiteres angepasst werden. Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Ich denke schon, mit Netzwerkbrücken ... Was verstehst Du unter "nicht zu teuer" ? :D Die X-Core oder E-Series-Modelle können das ... Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 21. August 2006 Autor Melden Teilen Geschrieben 21. August 2006 OK danke erstmal für die Infos! Werd mich mal schlau machen. Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 21. August 2006 Melden Teilen Geschrieben 21. August 2006 Hallo Wolke2k4, wenns preisgünstig sein muss, schau Dich mal bei Zyxel um. Bridging-Mode ist derzeit ab der ZW2Plus aufwärts implementiert. Ab ca. 160 EUR bist Du also dabei. Mehr Durchsatz und mehr Features treiben natürlich auch da schnell den Preis nach oben - aber immer noch meilenweit von Cisco & co entfernt. Gruß Steffen Zitieren Link zu diesem Kommentar
Dirk_privat 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Servus, da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt. Gruß Dirk Zitieren Link zu diesem Kommentar
edv-olaf 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt. Nöö, sehe ich nicht so zwingend. Was ist mit Bridging? Da ist eine FW auf MAC-Ebene denkbar und es ist nix mit NAT oder Routing. Gruß Olaf Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Naja, bei der Watchguard im Dropin-Mode liegt auf jeder Schnittstelle die gleiche Adresse an, was dem klassischen Routing widerspricht und auch kein NAT ist ... Zitieren Link zu diesem Kommentar
Velius 10 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Servus, da eine Firewall in aller Regel die Schnittstelle vom internen Netz zum externen Netz ist, oder auch die Verbindung von privaten IP Adressen zu öffentlichen, findet automatisch ein Routing statt. Falls es eine interne Firewall ist, die zwischen zwei privaten Adressbereichen verbindet, findet zumindest ein NAT statt. Gruß Dirk Man könnte auch beide oder alle Interfaces in's selbe Subnetz legen - macht zwar das Ruleset komplexer da eventuell nicht gruppierbar und mit Address-Spoofing wird man auch Probleme kriegen. Zitieren Link zu diesem Kommentar
GuentherH 61 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 Hi. Was ist mit Bridging? Da ist eine FW auf MAC-Ebene denkbar und es ist nix mit NAT oder Routing. Richtig - einfach einmal wie schon empfohlen bei Zyxel oder Fortigate nachlesen. Hier gibt es einige Modelle die diesen Modus beherrschen. Ein weiteres typisches Proukt ist die IDP 10 (Intrusion Dedection und Prevention) von Zyxel. Wenn diese Produkte im Bridge Modus betrieben werden, benötigen sie eine IP-Adresse ausschließlich dazu, damit sie verwaltet werden können. Siehe z.B. - ZyXEL ZyWALL IDP 10 - Gerät zur Erkennung und zum Schutz vor Eindringlingen Ein Einsatz derartiger Geräte ist z.B. auch im LAN denkbar, um z.B. VPN Verbindungen abzusichern, da ja bei den meisten Firewalls VPN Verbindungen an der Firewall vorbeigehen. LG Günther Zitieren Link zu diesem Kommentar
s.k. 11 Geschrieben 22. August 2006 Melden Teilen Geschrieben 22. August 2006 @Wolke2k4: eine weitere Option wäre die Verwendung einer freien Firewalldistribution. Als filtering bridge lässt sich z.B. die M0n0wall betreiben. Gruß Steffen Zitieren Link zu diesem Kommentar
Wolke2k4 11 Geschrieben 23. August 2006 Autor Melden Teilen Geschrieben 23. August 2006 Hier ein Link von Watchguard. Ich mach mich gerade schlau, was das einfachste Modell kostet. Parallel habe ich mal mit dem Support eines Routerherstellers gesprochen. Dort meinte man, dass diese Art des "Firewallings" IP technisch "nicht sauber" ist und von seinem Unternehmen nicht untersützt wird. Mich interessiert aber schon, wie das technisch geht. Logisch wäre für mich, dass das Filtering auf Layer 2 beginnt. Ziel soll aber sein bestimmte Pakte, IP Adressen (meist "any") usw. zu filtern. Hier verlassen wir aber wieder Layer 2... Arbeiten die "Teile" wirklich so transparent, dass bei korrekter Einrichtung der (erwünschte) Traffic auch über diese "Bridgewall" geht? Gibt es für dieses Verfahren eigentlich einen offiziellen Standard oder sind das Herstellerstandard? Ich wäre sehr an ein paar technischen Backgroundinfos (die den Vorgang technisch ein wenig ausführlicher erklären) interessiert . Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.