1
Hardwarefirewall (DFL-700) einrichten mit WAN, LAN, DMZ und festen IPs
Ich möchte ein kleines Netzwerk einrichten mit einem QSC-Zugang mit festen IPs, einer Hardwarefirewall und einem LAN sowie einer DMZ. Wie gehe ich hier am besten vor?
Ausgangsdaten:
- QSC-SDSL-Leitung mit 2 MBit
- fester IP-Bereich mit 13 nutzbaren IPs
- Hardware-Firewall DFL-700 mit WAN, LAN und DMZ
- ins LAN sollen 3 Arbeitsplatzrechner, ein Laptop, ein Fileserver und ein Drucker
- in die DMZ sollen 2 Webserver und ein SQL-Server
- alle Rechner haben Windows 2003, bzw. XP
Meine Fragen:
- Ich würde kein DHCP verwenden wollen und allen Rechnern, sind ja nicht so viele, manuell eine feste IP zuweisen
- die IPs würden den 13 (noch sind es ja weniger Rechner, es werden wohl auch nicht mehr) von QSC entsprechen
- dann brauche ich wohl kein NAT oder?
- welche Subnetze konfiguriere ich in der Firewall? Welche Bereiche eignen sich hier am besten
- würde es evtl. Sinn machen andere als die von QSC zugewiesenen IP-Adressen zu verwenden und doch ein NAT zu machen?
- welche Regeln richte ich ein (DMZ, Port 80 und 25 auf), vom LAN raus alles zulassen, rein nichts?
- Gibt es irgendwo ein Tutorial hierfür, es ist ja eher eine Standardsituation
Für Hilfe und Anregungen bin ich dankbar
Tapirus
- QSC-SDSL-Leitung mit 2 MBit
- fester IP-Bereich mit 13 nutzbaren IPs
- Hardware-Firewall DFL-700 mit WAN, LAN und DMZ
- ins LAN sollen 3 Arbeitsplatzrechner, ein Laptop, ein Fileserver und ein Drucker
- in die DMZ sollen 2 Webserver und ein SQL-Server
- alle Rechner haben Windows 2003, bzw. XP
Meine Fragen:
- Ich würde kein DHCP verwenden wollen und allen Rechnern, sind ja nicht so viele, manuell eine feste IP zuweisen
- die IPs würden den 13 (noch sind es ja weniger Rechner, es werden wohl auch nicht mehr) von QSC entsprechen
- dann brauche ich wohl kein NAT oder?
- welche Subnetze konfiguriere ich in der Firewall? Welche Bereiche eignen sich hier am besten
- würde es evtl. Sinn machen andere als die von QSC zugewiesenen IP-Adressen zu verwenden und doch ein NAT zu machen?
- welche Regeln richte ich ein (DMZ, Port 80 und 25 auf), vom LAN raus alles zulassen, rein nichts?
- Gibt es irgendwo ein Tutorial hierfür, es ist ja eher eine Standardsituation
Für Hilfe und Anregungen bin ich dankbar
Tapirus
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 40040
Url: https://administrator.de/contentid/40040
Printed on: April 25, 2024 at 10:04 o'clock
1 Comment
Hi,
- DHCP könntest Du schon gut verwenden, nur die wirklichen Server würde ich statisch versorgen. Das macht evtl. nachträgliche Änderungen leichter durchführbar und kostet auch nichts (sollte ja auch nur auf dem internen Interface laufen der DHCP Server).
- NAT ist nie schelcht, da Du dadurch schon eine gewisse Abschottung von aussen erreichst - es kann niemand erst mal per se von aussen auf deine Rechner.
- Welche regeln du einrichtest, hängt im wesentlichen von Deinen Einsatzgebieten ab. Wenn Du kein SMTP brauchts, dann kanst Dir ja Port 25 sparen. Generell sollte man nur Ports aus der DMZ (die übrgiens im amerikanischen Sprachgebrauch nicht mehr DMZ heisst, sondern Perimeter Network - DMZ war den Amis wohl zu martialisch
freigeben, die Ihrerseits dann eventuelle Ports ins ineterne LAN freigeben (laienhaft gesprochen), d.h. es sollten keine Clients direkt nach aussen dürfen - nur über Proxyserver o.ä.
- Wenn der SQL-Server auch vom Internet aus erreichbar sein soll, dann musst Du halt zusätzlich noch die SQL-Server Ports freimachen. Ansonsten würde ich den SQL-Server ins interne Netz stellen und nur vom internen Netz den SQL-Port zur DMZ freimachen - so ist der SQL-Server nicht mehr so "freigestellt".
cu,
Alex
- DHCP könntest Du schon gut verwenden, nur die wirklichen Server würde ich statisch versorgen. Das macht evtl. nachträgliche Änderungen leichter durchführbar und kostet auch nichts (sollte ja auch nur auf dem internen Interface laufen der DHCP Server).
- NAT ist nie schelcht, da Du dadurch schon eine gewisse Abschottung von aussen erreichst - es kann niemand erst mal per se von aussen auf deine Rechner.
- Welche regeln du einrichtest, hängt im wesentlichen von Deinen Einsatzgebieten ab. Wenn Du kein SMTP brauchts, dann kanst Dir ja Port 25 sparen. Generell sollte man nur Ports aus der DMZ (die übrgiens im amerikanischen Sprachgebrauch nicht mehr DMZ heisst, sondern Perimeter Network - DMZ war den Amis wohl zu martialisch
freigeben, die Ihrerseits dann eventuelle Ports ins ineterne LAN freigeben (laienhaft gesprochen), d.h. es sollten keine Clients direkt nach aussen dürfen - nur über Proxyserver o.ä.- Wenn der SQL-Server auch vom Internet aus erreichbar sein soll, dann musst Du halt zusätzlich noch die SQL-Server Ports freimachen. Ansonsten würde ich den SQL-Server ins interne Netz stellen und nur vom internen Netz den SQL-Port zur DMZ freimachen - so ist der SQL-Server nicht mehr so "freigestellt".
cu,
Alex
