4
Zyxel Zywall 5 - Einrichten einer DMZ
Hallo ans Forum
Bei der Temporärstelle, wo ich momentan arbeite, wurde ich dazu verknurrt, eine DMZ auf einer Zywall 5 einzurichten. Momentan sieht es so aus:
Internet - VDSL Bridge - ZyWall - LAN
Neu soll es so aussehen:
DMZ
Internet - VDSL Bridge - ZyWall <
LAN
Da ich während meiner Ausbildung nie etwas mit Firewalls in der Praxis zu tun hatte, bin ich momentan etwas überfordert (habe das Thema nur theoretisch studiert). In die DMZ soll eine Buffalo Linkstation kommen, auf der ein FTP-Server läuft, sodass die User dieser Firma mit anderen Firmen Daten austauschen können. Vom WAN her sollten also sicher alle Pakete mit TCP20/21 an die DMZ geschickt werden. Vom LAN aus muss man danach ebenfalls darauf zugreifen können, und zwar über FTP TCP20/21. Zudem muss ich auf die Device Webpage der NAS draufkommen und ein Verknüpfung mit dem AD muss auch möglich sein, damit ich die Ablage des FTP-Servers mit globalen Gruppen absichern kann.
Ich habe nun mal auf der Device-Webpage der ZyWall die DMZ eingerichtet (Network -> DMZ -> Registerkarte "DMZ"). Dieser habe ich das Subnetz 192.168.101.0 zugewiesen. Dieses Subnetz gibt es nicht auf meinem DHCP-Server, die IP-Adressen innerhalb der DMZ sind sowieso statisch. Nun soll ich eine Firewall-Rule dazu einrichten.
Bitte keine Links für Usermanuals schicken, die habe ich schon. Ich brauche eine genaue Beschreibung, was ich nun tun soll. Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.
Habe ich mich deutlich ausgedrückt? Falls nein, bitte sagen. Mir fehlt einfach die praktische Erfahrung mit Firewalls, ich bin zu unsicher, als dass ich einfach abdrücken würde.
Mit Gruss
TuXHunT3R
Bei der Temporärstelle, wo ich momentan arbeite, wurde ich dazu verknurrt, eine DMZ auf einer Zywall 5 einzurichten. Momentan sieht es so aus:
Internet - VDSL Bridge - ZyWall - LAN
Neu soll es so aussehen:
DMZ
Internet - VDSL Bridge - ZyWall <
LAN
Da ich während meiner Ausbildung nie etwas mit Firewalls in der Praxis zu tun hatte, bin ich momentan etwas überfordert (habe das Thema nur theoretisch studiert). In die DMZ soll eine Buffalo Linkstation kommen, auf der ein FTP-Server läuft, sodass die User dieser Firma mit anderen Firmen Daten austauschen können. Vom WAN her sollten also sicher alle Pakete mit TCP20/21 an die DMZ geschickt werden. Vom LAN aus muss man danach ebenfalls darauf zugreifen können, und zwar über FTP TCP20/21. Zudem muss ich auf die Device Webpage der NAS draufkommen und ein Verknüpfung mit dem AD muss auch möglich sein, damit ich die Ablage des FTP-Servers mit globalen Gruppen absichern kann.
Ich habe nun mal auf der Device-Webpage der ZyWall die DMZ eingerichtet (Network -> DMZ -> Registerkarte "DMZ"). Dieser habe ich das Subnetz 192.168.101.0 zugewiesen. Dieses Subnetz gibt es nicht auf meinem DHCP-Server, die IP-Adressen innerhalb der DMZ sind sowieso statisch. Nun soll ich eine Firewall-Rule dazu einrichten.
Bitte keine Links für Usermanuals schicken, die habe ich schon. Ich brauche eine genaue Beschreibung, was ich nun tun soll. Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.
Habe ich mich deutlich ausgedrückt? Falls nein, bitte sagen. Mir fehlt einfach die praktische Erfahrung mit Firewalls, ich bin zu unsicher, als dass ich einfach abdrücken würde.
Mit Gruss
TuXHunT3R
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 125402
Url: https://administrator.de/contentid/125402
Printed on: April 20, 2024 at 03:04 o'clock
4 Comments
Latest comment
Hallo.
Nun, dazu gibt es ja das User Manual. Zudem kannst du auf der Webseite von Zyxel jede Oberfläche der lieferbaren Firewall aufrufen, und testen.
Schau dann auch einmal hier nach - http://www.zyxel.ch/knowledgebase.html - hier findest du jede Menge praktische Beispiele.
Dazu ist aber auch im User Manual beschrieben wie man eine Datensicherung anlegt.
LG Günther
Mir fehlt einfach die praktische Erfahrung mit Firewalls
Nun, dazu gibt es ja das User Manual. Zudem kannst du auf der Webseite von Zyxel jede Oberfläche der lieferbaren Firewall aufrufen, und testen.
Schau dann auch einmal hier nach - http://www.zyxel.ch/knowledgebase.html - hier findest du jede Menge praktische Beispiele.
Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.
Dazu ist aber auch im User Manual beschrieben wie man eine Datensicherung anlegt.
LG Günther
Falls du über eine NAT Firewall musst (wenn die Zywall z.B. IP Adress Translation macht) wie vermutlich in deinem Falle (oder ist es der VDSL Router davor ??), denn du benutzt ja keine öffentlichen IPs in deiner DMZ sondern private nach RFC_1918 dann achte zwingend darauf das du dein remoter FTP Client im passive Mode arbeitet !
Andernfalls kommst du nicht über eine NAT Firewall bzw. Adress Translation Firewall per FTP auf die Linkstation !
Warum das so ist erklärt dir diese Webseite:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
FTP Clients wie Filezilla oder die embeddeten in den Browsern wie z.B. Firefox (ftp://...) benutzen von sich aus den passive Mode. Das musst du in jedem Falle sicherstellen
Der Rest ist nichts anderes als einfaches Firewall Accesslisten Customizing, das nix anderes durchkommt als FTP. Sollte mit Hilfe des Handbuchs dann ja kein Problem sein...
Andernfalls kommst du nicht über eine NAT Firewall bzw. Adress Translation Firewall per FTP auf die Linkstation !
Warum das so ist erklärt dir diese Webseite:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html
FTP Clients wie Filezilla oder die embeddeten in den Browsern wie z.B. Firefox (ftp://...) benutzen von sich aus den passive Mode. Das musst du in jedem Falle sicherstellen
Der Rest ist nichts anderes als einfaches Firewall Accesslisten Customizing, das nix anderes durchkommt als FTP. Sollte mit Hilfe des Handbuchs dann ja kein Problem sein...
Danke für die Antworten. Ich bin schon erheblich weitergekommen, habe die DMZ konfiguriert und die Buffalo LinkStation in die DMZ gekriegt (ist noch kein FTP eingerichtet, mache ich, sobald die DMZ richtig läuft).
Ich habe die folgenden Rules definiert:
LAN => DMZ:
Default Rule: Drop,
Separate Regel: Alle Dienste erlauben (temporäre Lösung)
DMZ => LAN:
Default Rule: Drop
Separate Regel: Alle Dienste erlauben (temporäre Lösung)
WAN => DMZ (sprich auf die IP der Buffalo):
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben
DMZ (sprich auf die IP der Buffalo) => WAN:
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben
Was haltet ihr davon? Ich muss mir noch überlegen, welche Dienste ich vom LAN=> DMZ und umgekehrt wieder aus der separaten Regel rausnehme. Aber sonst bin ich einigermassen zufrieden.
Ich habe die folgenden Rules definiert:
LAN => DMZ:
Default Rule: Drop,
Separate Regel: Alle Dienste erlauben (temporäre Lösung)
DMZ => LAN:
Default Rule: Drop
Separate Regel: Alle Dienste erlauben (temporäre Lösung)
WAN => DMZ (sprich auf die IP der Buffalo):
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben
DMZ (sprich auf die IP der Buffalo) => WAN:
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben
Was haltet ihr davon? Ich muss mir noch überlegen, welche Dienste ich vom LAN=> DMZ und umgekehrt wieder aus der separaten Regel rausnehme. Aber sonst bin ich einigermassen zufrieden.
Hab eine Konfiguration hingekriegt, die relativ sicher ist, mit der aber auch die Administrierbarkeit aus dem LAN heraus gewährleistet ist.
Danke für die Antworten.
Danke für die Antworten.
