zeiman Geschrieben 16. Mai 2008 Geschrieben 16. Mai 2008 Hallo! Weiß vll. jmd. konkret wie das bei Astaro mit dem Einrichten einer DMZ funktionier? Paketfilterregeln? Bräuchte einen Anstoß für mein Projekt... MfG Zitieren
Crash2001 Geschrieben 16. Mai 2008 Geschrieben 16. Mai 2008 Wie wie das einrichten einer DMZ funktioniert? Das wird man wohl wie bei jeder anderen Firewall auch einrichten. Internet - Firewall - DMZ - Firewall - Intranet In der DMZ stehen die öffentlich zugänglichen Server (Mail- und Webserver normalerweise). Auf die darf von aussen und innen zugegriffen werden. jeglicher andere unerwünschte Traffic wird an der ersten Firewall abgeblockt. Bei der zweiten Firewall wird dann nochmal mit verfeinerten Regeln gearbeitet. Ob VPN-Konzentratoren in der DMZ oder im Intranet stehen, ist die Frage. Ich persönlich würde sie eher ins Intranet stecken. Zitieren
zeiman Geschrieben 16. Mai 2008 Autor Geschrieben 16. Mai 2008 Hai, ja, das ist klar. Ist keine Back-to-Back Firewall sondern eine kleine Astaro Box mit 3 Netzwerkbuchsen: WAN - Firewall - LAN ..............| ............DMZ Meine Frage: Macht man das mit Paketfilterregeln? Wenn ich zb. HTTP von LAN über DMZ nach WAN zulasse und umgekehrt, da ist ja die DMZ auch für die Katz, oder? Zitieren
zeiman Geschrieben 16. Mai 2008 Autor Geschrieben 16. Mai 2008 Hab diese Regeln angelegt im Paketfilter, lieg ich da total Falsch? Zitieren
Crash2001 Geschrieben 16. Mai 2008 Geschrieben 16. Mai 2008 (bearbeitet) Klar - wie willst du das sonst machen? Wieso ist die DMZ dann für die Katz? Die DMZ ist dazu da, um "unsichere" Server in einer seperaten Zone hinzustellen. Sollte dort jemand drauf kommen, so ist er noch lange nicht im LAN. Verbindungen von innen nach aussen sind teils erlaubt (wenn die User z.B. Internetzugang brauchen) oder auch komplett verboten bis auf den Zugriff auf Email und Intraweb, wobei die interenen User evtl über einen anderen Port auf den Webserver gehen könnten. Von aussen initiierte Verbindungsversuche sollten (bis auf VPN-Zugriffe) eigentlich nicht ins LAN kommen. Könntest also nach Quell-IP-Adressen, Ziel-IP-Adressen, Ports oder MAC-Adressen filtern. IP-Adressen und Ports sind wohl am sinnvollsten. [edit] Man sollte auch mal auf aktualisieren klicken... Ob die Regeln so richtig sind oder nicht kann ich dir so nicht sagen. Das kommt ja ganz drauf an, was funktionieren muss und was alles unterbunden werden soll. Vom externen Netzwerk in die DMZ würde ich aber auf alle Fälle nicht alles erlauben, sondern nur die Ports für die Dienste, die auch erreichbar sein sollen. Port 23 z.B. (telnet) sowie Port 20 und 21 (ftp) sollten - falls das dort nicht verwendet wird definitiv zugemacht werden. [/edit] Bearbeitet 16. Mai 2008 von Crash2001 Zitieren
zeiman Geschrieben 16. Mai 2008 Autor Geschrieben 16. Mai 2008 Von aussen initiierte Verbindungsversuche sollten (bis auf VPN-Zugriffe) eigentlich nicht ins LAN kommen. Ich lasse also Verbindungen mit HTTP z.b. vom LAN nach WAN zu, aber nicht umgekehrt - also die HTTP-Antworten der Webserver müssen durch das DMZ, oder? Quasi: LAN > WAN (allow, http) WAN > LAN (deny, any) WAN > DMZ (allow, http) DMZ > LAN (allow, http) Bei meinem Astaro werden die 3 Netzwerkkarten vorkonfiguriert: LAN ist (int) mit 192.168.2.254 WAN ist (ext) mit 192.168.0.254 DMZ ist (dmz) mit 192.168.3.254 und ich muss nur die Dienste auswählen - das hängt dann auch mit den Ports zusammen... ----------------- Ich hab folgendes Szenario: in der DMZ steht ein FTP-Server und im LAN steht ein Windows 2003 mit Lexware und die Clients. Die Rechner ausm LAN durfen mit allem raus. Der FTP in der DMZ kann vom LAN und WAN angesteuert werden. Zitieren
zeiman Geschrieben 16. Mai 2008 Autor Geschrieben 16. Mai 2008 Hab grad nochwas gefunden: Durch Stateful Inspection wird die Antwort immer durchgelassen. Quasi, wenn ich vom LAN nach WAN was sende kommt die antwort auch wieder durch... Hab hierzu folgende regeln entworfen: sieht das nach einer funktionierenden Paketfilterung aus damit die DMZ-Firewall so funktioniert wie sie soll? Merci für die ganze Hilfe! Zitieren
Crash2001 Geschrieben 16. Mai 2008 Geschrieben 16. Mai 2008 DMZ nach ext muss auch gehen, wenn da z.B. ein Mailserver steht. Mehr Tipps gebe ich jetzt aber nicht mehr. Sollst dein Projekt ja schliesslich selber machen. also überlege dir, welcher traffic erlaubt sein soll, bzw. erlaubt sein muss, damit alles funktioniert und welcher Traffic verboten werden kann/muss. Zitieren
zeiman Geschrieben 16. Mai 2008 Autor Geschrieben 16. Mai 2008 vielen Dank! ich brauchte nur einen Einstieg damit ich damit zurecht komme...! Zitieren
zeiman Geschrieben 19. Mai 2008 Autor Geschrieben 19. Mai 2008 hai! ich glaub ich habs... damit auch andre davon was ham... ausserdem noch den HTTP, FTP und POP Proxy rein - aber kein Masquerading. und funzt. Hoff das stimmt. Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.