DMZ aufbau mit IPCOP-Rechner und NAT-Router wiklich sicher?
Hallo,
ich wollte mir privat einen FTP-Server einrichten, diesen jedoch vom eigentlichen LAN trennen.
Würde gerne wissen ob mein geplanter Aufbau irgendwelche gravierenden Fehler aufweist. (hab so was vorher noch nicht gemacht)
momentan Gegebenheiten:
Kabelmodem an SMC Router angeschlossen, dahinter per NAT mein LAN
wollte folgendes machen:
Kabelmodem an einen Rechner mit IPCOP anschließen (Adresse ins WWW per DHCP vom Modem), dahinter auf IPCOP Verbindung BLAU Netzwerkfestplatte als FTP-Server, an Verbindung GRÜN NAT-Router, dahinter privates LAN. kann ich den Router so einrichten, dass er am WAN anschluß den IPCOP-rechner hängen hat und den gesamten Transfer der nicht für sein internes LAN bestimmt ist darüber an den IPCOP -Rechner weitergibt?
noch 2 verständniss fragen:
1. die SPI-firewall im Router schützt die nur den WAn Anschluß oder das gesamte LAN, auch wenn am WAN-anschluß kein Gerät hängt;
2. Hab nen WLAN zugang eingerichtet, wenn ich (was eine weiteres konzept von mir ist) den IPCOP-rechner an einen LAN Port des Routers hänge und die WAN schnittstelle leer lasse kan ich ja per WLAN trotzdem online gehen.
ich wollte mir privat einen FTP-Server einrichten, diesen jedoch vom eigentlichen LAN trennen.
Würde gerne wissen ob mein geplanter Aufbau irgendwelche gravierenden Fehler aufweist. (hab so was vorher noch nicht gemacht)
momentan Gegebenheiten:
Kabelmodem an SMC Router angeschlossen, dahinter per NAT mein LAN
wollte folgendes machen:
Kabelmodem an einen Rechner mit IPCOP anschließen (Adresse ins WWW per DHCP vom Modem), dahinter auf IPCOP Verbindung BLAU Netzwerkfestplatte als FTP-Server, an Verbindung GRÜN NAT-Router, dahinter privates LAN. kann ich den Router so einrichten, dass er am WAN anschluß den IPCOP-rechner hängen hat und den gesamten Transfer der nicht für sein internes LAN bestimmt ist darüber an den IPCOP -Rechner weitergibt?
noch 2 verständniss fragen:
1. die SPI-firewall im Router schützt die nur den WAn Anschluß oder das gesamte LAN, auch wenn am WAN-anschluß kein Gerät hängt;
2. Hab nen WLAN zugang eingerichtet, wenn ich (was eine weiteres konzept von mir ist) den IPCOP-rechner an einen LAN Port des Routers hänge und die WAN schnittstelle leer lasse kan ich ja per WLAN trotzdem online gehen.
Please also mark the comments that contributed to the solution of the article
Content-Key: 93895
Url: https://administrator.de/contentid/93895
Printed on: April 23, 2024 at 06:04 o'clock
3 Comments
Latest comment
Moin,
Ich gehe von folgendem aus:
Internet --> Rot IPCop Grün --> WLAN-Router --> PCs
Dann bitte den DHCP-Server im WLAN-Router deaktivieren und den PCs den IPCop als DNS-Server und Standard-Gateway eintragen.
Ich denke, das Konzept unter Frage Nr. 2 ist das beste, wenn du LAN und WLAN nicht trennen möchtest und das WLAN benötigst.
Zum IPCop selber: Die DMZ ist am Orangen Anschluss und NICHT am Blauen (WLAN) vorgesehen.
VW
kann ich den Router so einrichten, dass er am WAN anschluß den IPCOP-rechner hängen hat und den gesamten Transfer der nicht für sein internes LAN bestimmt ist darüber an den IPCOP -Rechner weitergibt?
Ja, wenn DMZ, IPCop-Grün und das LAN hinter dem NAT-WLAN-Router verschiedene Subnetze haben und du entweder dem WAN-Port eine feste IP gibst oder auf dem IPCop den DHCP-Server aktivierst. Der Router muss dann nur auf TCP/IP am WAN eingestellt werden.1. die SPI-firewall im Router schützt die nur den WAn Anschluß oder das gesamte LAN, auch wenn am WAN-anschluß kein Gerät hängt;
IMO wird nur beim Routing zwischen WAN und LAN gefiltert.2. Hab nen WLAN zugang eingerichtet, wenn ich (was eine weiteres konzept von mir ist) den IPCOP-rechner an einen LAN Port des Routers hänge und die WAN schnittstelle leer lasse kan ich ja per WLAN trotzdem online gehen.
WLAN hinterm IPCop oder andersrum?Ich gehe von folgendem aus:
Internet --> Rot IPCop Grün --> WLAN-Router --> PCs
Dann bitte den DHCP-Server im WLAN-Router deaktivieren und den PCs den IPCop als DNS-Server und Standard-Gateway eintragen.
Ich denke, das Konzept unter Frage Nr. 2 ist das beste, wenn du LAN und WLAN nicht trennen möchtest und das WLAN benötigst.
Zum IPCop selber: Die DMZ ist am Orangen Anschluss und NICHT am Blauen (WLAN) vorgesehen.
VW
VW hat das richtig beschrieben, ich würde allerdings den FTP-Server ins LAN hängen und IPCOP mittels Zerina als OpenVPN-Lösung laufen lassen. Wenn der FTP-Server nicht für die Allgemeinheit betrieben wird, dann lieber nicht in eine "öffentliche DMZ" stellen. IPCOP kann den FTP-Server nicht schützen, sondern nur den Zugriff auf die DMZ begrenzen. Viel einfacher läßt sich meines Erachtens ein VPN mit der Monowall realisieren (PPTP).
Gruß, Arch Stanton
Gruß, Arch Stanton