Cruzshail Geschrieben 23. Juli 2008 Geschrieben 23. Juli 2008 Hallöchen, ich muß für einen Kunden 2 eigenständige Netze verbinden um den Datenaustausch zwischen dem Server in Netz A und einem Client in Netz B zu ermöglichen. Alle anderen Verbindungen sind zu sperren. Da in die Richtung noch nicht viel gearbeitet habe wäre es net wenn jemand mir eine Hardwarefirewall vorschlagen könnte. So klein wie möglich natürlich. Vielen Dank Cruz Zitieren
flashpixx Geschrieben 23. Juli 2008 Geschrieben 23. Juli 2008 Du benötigst keine Firewall, sondern einen Router. Nimm einen altern Rechner, installiere ein Linux und passe entsprechend die Routen an. HTH Phil Zitieren
Unclebence Geschrieben 23. Juli 2008 Geschrieben 23. Juli 2008 Je nach dem: entweder wie mein Vorposter schon meinte: nimm nen Router und trag die Route ein, das wäre aber unsicher... oder nimm eine Side 2 Side SSL VPN gateway, z.B. von Astaro, da haste ne leistungsstarke HW Firweall, und ein SSL abgesichertes VPN (verbindung) Zitieren
Freak One Geschrieben 23. Juli 2008 Geschrieben 23. Juli 2008 Es ist erwiesen, das die meisten Angriffe von innen aus dem eigenen Netz kommen. Trotzdem sollte man Aufwand und Leistung abwegen. Ich meine in diesem Fall sollte ein Router vollkommen ausreichen. Zitieren
flashpixx Geschrieben 23. Juli 2008 Geschrieben 23. Juli 2008 Der OP hat nicht gesagt, ob diese beiden Netze über eine WAN Verbindung zusammen gebracht werden müssen, darum eben der Router (inkl. IPTables lässt sich auch eine Filterung der Pakete erreichen). Wenn es über eine WAN Verbindung gehen soll, dann natürlich VPN, obwohl wenn nur ein dedizierter Rechner und ein Client miteinander kommunizieren müssen, würde ich hier einfach einen SSH Tunnel einsetzen, der direkt vom Client zum Server aufgebaut wird Phil Zitieren
DocInfra Geschrieben 27. Juli 2008 Geschrieben 27. Juli 2008 Warum sollte man da einen Router nehmen? Schon mal daran gedacht das die beiden Netze auch voreinander geschützt werden sollten? Klar kann man das über einen Router und ein paar ACLs machen, ich würde dort aber trotzdem eine Firewall hinsetzen. Alles andere wäre Pfusch. Ich setze für sowas Geräte von Juniper ein. Die Netscreens gibt es in verschiedenen Größen. Einfach mal bei Juniper schauen. Zitieren
flashpixx Geschrieben 27. Juli 2008 Geschrieben 27. Juli 2008 Ich kann unter Linux (ab Kernel 2.2) auch die Routen direkt beeinflussen, anhand des ToS, Source- und Destination Adresse, Protokoll / Dienst. Somit benötige ich keine Firewall, da ich eine entsprechende Route für einen einzelnen Client passend konfigurieren kann. Aber wenn ich einen dedizierten Rechner erreichen möchte, würde ich eine zu diesem direkt eine Verbindung aufbauen, da nur ein Client diesen Server erreichen kann. Aber es fehlen leider weitere Netzwerkinformationen. Denn kann durch den Benutzer die Client IP Adresse geändert werden, entstünde eine Lücke im Konzept. Denn damit könnte jeder Client eine Verbindung auch durch eine Firewall aufbauen, die auf IP Sourcen / Destinations filtert Phil Zitieren
hades Geschrieben 27. Juli 2008 Geschrieben 27. Juli 2008 anhand des ToS Du meinst eher Differentiated Services Code Point (DSCP), denn ToS gibt es seit 1998 nicht mehr. Mehr siehe RFC2474 und RFC3168 Zitieren
DocInfra Geschrieben 1. August 2008 Geschrieben 1. August 2008 IPTables ist ein Paketfilter, eine Firewall, wie z.B. eine Netscreen, filtert den Verkehr noch etwas besser. Zudem ist das Device selber weniger fehleranfällig als eine Linuxkiste. Linux kann ich zu Hause für sowas verwenden. Zitieren
Crash2001 Geschrieben 4. August 2008 Geschrieben 4. August 2008 [...]So klein wie möglich natürlich[...] [...]Ich setze für sowas Geräte von Juniper ein. Die Netscreens gibt es in verschiedenen Größen. Einfach mal bei Juniper schauen.Ich glaube die Juniper-Geräte sind nicht wirklich für diesen Fall prädestiniert, sondern eher für hohe Leistungen, wo der Preis ziemlich egal ist. So klein dimensioniert wie möglich ist das jedenfalls nicht... Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.