Zum Inhalt springen

Astaro Firewall mit DMZ - wie geht das?


Empfohlene Beiträge

Geschrieben

Wie wie das einrichten einer DMZ funktioniert? Das wird man wohl wie bei jeder anderen Firewall auch einrichten.

Internet - Firewall - DMZ - Firewall - Intranet

In der DMZ stehen die öffentlich zugänglichen Server (Mail- und Webserver normalerweise). Auf die darf von aussen und innen zugegriffen werden. jeglicher andere unerwünschte Traffic wird an der ersten Firewall abgeblockt. Bei der zweiten Firewall wird dann nochmal mit verfeinerten Regeln gearbeitet. Ob VPN-Konzentratoren in der DMZ oder im Intranet stehen, ist die Frage. Ich persönlich würde sie eher ins Intranet stecken.

Geschrieben

Hai,

ja, das ist klar. Ist keine Back-to-Back Firewall sondern eine kleine

Astaro Box mit 3 Netzwerkbuchsen:

WAN - Firewall - LAN

..............|

............DMZ

Meine Frage: Macht man das mit Paketfilterregeln?

Wenn ich zb. HTTP von LAN über DMZ nach WAN zulasse und umgekehrt, da ist ja die DMZ auch für die Katz, oder?

Geschrieben (bearbeitet)

Klar - wie willst du das sonst machen?

Wieso ist die DMZ dann für die Katz?

Die DMZ ist dazu da, um "unsichere" Server in einer seperaten Zone hinzustellen. Sollte dort jemand drauf kommen, so ist er noch lange nicht im LAN.

Verbindungen von innen nach aussen sind teils erlaubt (wenn die User z.B. Internetzugang brauchen) oder auch komplett verboten bis auf den Zugriff auf Email und Intraweb, wobei die interenen User evtl über einen anderen Port auf den Webserver gehen könnten.

Von aussen initiierte Verbindungsversuche sollten (bis auf VPN-Zugriffe) eigentlich nicht ins LAN kommen.

Könntest also nach Quell-IP-Adressen, Ziel-IP-Adressen, Ports oder MAC-Adressen filtern. IP-Adressen und Ports sind wohl am sinnvollsten.

[edit]

Man sollte auch mal auf aktualisieren klicken...

Ob die Regeln so richtig sind oder nicht kann ich dir so nicht sagen. Das kommt ja ganz drauf an, was funktionieren muss und was alles unterbunden werden soll.

Vom externen Netzwerk in die DMZ würde ich aber auf alle Fälle nicht alles erlauben, sondern nur die Ports für die Dienste, die auch erreichbar sein sollen. Port 23 z.B. (telnet) sowie Port 20 und 21 (ftp) sollten - falls das dort nicht verwendet wird definitiv zugemacht werden.

[/edit]

Bearbeitet von Crash2001
Geschrieben
Von aussen initiierte Verbindungsversuche sollten (bis auf VPN-Zugriffe) eigentlich nicht ins LAN kommen.

Ich lasse also Verbindungen mit HTTP z.b. vom LAN nach WAN zu, aber nicht umgekehrt - also die HTTP-Antworten der Webserver müssen durch das DMZ, oder? Quasi:

LAN > WAN (allow, http)

WAN > LAN (deny, any)

WAN > DMZ (allow, http)

DMZ > LAN (allow, http)

Bei meinem Astaro werden die 3 Netzwerkkarten vorkonfiguriert:

LAN ist (int) mit 192.168.2.254

WAN ist (ext) mit 192.168.0.254

DMZ ist (dmz) mit 192.168.3.254

und ich muss nur die Dienste auswählen - das hängt dann auch mit den Ports zusammen...

zwischenablage023kk1.jpg

-----------------

Ich hab folgendes Szenario:

in der DMZ steht ein FTP-Server und im LAN steht ein Windows 2003 mit Lexware und die Clients. Die Rechner ausm LAN durfen mit allem raus. Der FTP in der DMZ kann vom LAN und WAN angesteuert werden.

zwischenablage01dp7.jpg

Geschrieben

Hab grad nochwas gefunden: Durch Stateful Inspection wird die Antwort immer durchgelassen. Quasi, wenn ich vom LAN nach WAN was sende kommt die antwort auch wieder durch... Hab hierzu folgende regeln entworfen:

zwischenablage0222zj5.jpg

sieht das nach einer funktionierenden Paketfilterung aus damit die DMZ-Firewall so funktioniert wie sie soll?

Merci für die ganze Hilfe! :D

Geschrieben

DMZ nach ext muss auch gehen, wenn da z.B. ein Mailserver steht.

Mehr Tipps gebe ich jetzt aber nicht mehr.

Sollst dein Projekt ja schliesslich selber machen. also überlege dir, welcher traffic erlaubt sein soll, bzw. erlaubt sein muss, damit alles funktioniert und welcher Traffic verboten werden kann/muss.

Geschrieben

hai!

ich glaub ich habs...:D damit auch andre davon was ham...

zwischenablage03uj4.jpg

ausserdem noch den HTTP, FTP und POP Proxy rein - aber kein Masquerading. und funzt.

Hoff das stimmt.

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...