Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Dedizierte Firewall, Zweiter Router oder Rechner mit IPCop nehmen für DMZ

Mitglied: 113395

113395 (Level 1)

18.09.2013, aktualisiert 15:22 Uhr, 4615 Aufrufe, 9 Kommentare, 2 Danke

Hallo Leute,

ich bräuchte privat eine DMZ weil ich meine Persönliche Website hosten möchte.
Mein komplettes Intranet und auch der DMZ Server für die Website läuft auf einem ESXi als VM.
Die meisten Firewalls wie Astaro, ZyWall, Fortigate kostet endweder ein haufen Geld, oder benötigen
Lizenzen welche man ständig erneuern muss. Jetzt bin ich am Überlegen wie
ich mir kostengünstig und zugleich "sauber" eine DMZ einrichte.

Die eine Möglichkeit wäre es ja über einen zweiten Router (TP-Link oder so) das Intranet von der DMZ zu trennen. Die andere Möglichkeit wäre mir nen Rechner zusammenzustellen, dual Port Netzwerkadapter rein und IPCop installieren.

Welche dieser 3 Methoden würdet Ihr machen? Das Budget sollte nicht über 300 Euro liegen. Wichtig ist das ich keine Lizenzgebühren bezahlen will.

Vielleicht hat auch noch jemand einen anderen einfall.

Gruß
Mitglied: certifiedit.net
18.09.2013 um 12:19 Uhr
Persönlich für privat?

-> Website bei einem Hoster hosten. Da hast du dann keine Probleme mit DMZ usw, 100% (annähernd) Onlinezeit und kommst um eine solche Lösung herum.
Bitte warten ..
Mitglied: 113395
18.09.2013 um 12:24 Uhr
Die Hostinggebühren möchte ich mir gerne sparen.
Vorallem möchte ich wissen wo meine Daten liegen, wohin diese Repliziert werden und wer Zugriff darauf hat (Bin auf gesunde weise Paranoid ;))
Abgesehen davon läuft mein ESXi eh rund um die Uhr und braucht frisst Strom, warum also Hosting Gebühren bezahlen wenn ich alles zu Hause habe?
Hosting möchte ich gerne vermeiden.

Trotzdem danke für die Antwort.
Bitte warten ..
Mitglied: certifiedit.net
18.09.2013 um 12:30 Uhr
Zum Thema Paranoia: Wenn du das Netzwerk aufgrund eines billigen Routers (vodafone, telekom etc) aufreist bringt es dir auch nichts (mehr), wenn du weisst, dass ursprünglich deine Daten bei dir lagen. Abgesehen davon - Daten auf dem Webspace, die niemand sehen soll? Um was handelt es sich denn?

Daher: Hoster in Deutschland mit folgender Begründung: Ein Einfacher Router (wie hier als Idee fürs DMZ) kostet dich zwischen 30-40€ Stromkosten p.a zzgl. Anschaffungskosten.

Wie sicherst du denn den ESXI nach außen hin ab?
Bitte warten ..
Mitglied: 108012
18.09.2013, aktualisiert um 13:17 Uhr
Hallo,

ich bräuchte privat eine DMZ weil ich meine Persönliche Website hosten möchte.
Ok
Mein komplettes Intranet und auch der DMZ Server für die Website läuft auf einem ESXi als VM.
Tja das mit den VMs ist immer so eine Sache, zumindest meiner Meinung nach, entweder ich stelle einen
Webserver in eine DMZ oder ich mache das eben nicht! Aber als VM ist der Server dann doch eigentlich im
LAN und auch wieder in der DMZ, das ist meiner Meinung nach nichts Halbes und nichts Ganzes.
Wird ein dezidierter Webserver in einer DMZ "geknackt" ist der Eindringling "nur" in der DMZ, bei Deiner Lösung
ist die DMZ eigentlich nichts wert, denn wenn bei Dir der Webserver geknackt wird ist man auch fast schon im LAN!

Die meisten Firewalls wie Astaro, ZyWall, Fortigate kostet endweder ein haufen Geld,
Es müssen ja nicht die großen Dinger sein, oder? Ich meine Du sagst das es sich um ein privates Netzwerk handelt.
MikroTik Router ab ~50 €
Netgear FVS336Gv2 für ~200 €
Lancom Router für ~200 €
Buffalo Router mit installiertem DD-WRT für rund ~100 €
Eigenbau Firewalls mit;
- Alix Boards für ~150 € bis 200 €
- Soekris Boards mit mehr RAM für ~200 € bis 250 €

oder benötigen Lizenzen welche man ständig erneuern muss.
Ja aber dafür bekommt man dann ja auch Webkontentfilter, Spam Signaturen, AV Signaturen,
24 Stunden Austauschservice und IDS Regelupdates.

Wenn Du das alles nicht brauchst kann man so ein Gerät auch locker gebraucht kaufen und
dann einfach nicht die Lizenzen kaufen, klar man hat dann auch nicht diesen Schutz und alle
Funktionen aber der eigentlichen Leistung der Firewall tut das sicherlich keinen Abbruch!

Jetzt bin ich am Überlegen wie ich mir kostengünstig und zugleich "sauber" eine DMZ einrichte.
Einen Router oder eine Firewall mit einem DMZ Port oder frei konfigurierbaren LAN Ports!
Das geht bei 30 € los (MikroTik) und hört da auf wo es Dir weh tut oder das Geld nicht mehr reicht!
Man kann das natürlich auch Ste-by-Step machen, also ich würde einmal über die Anschaffung einer
Alix und/oder Soekris Lösung nachdenken und dann eben so etwas wie pfSense anschaffen wollen
oder MikroTik RouterOS und zwar aus folgendem Grund;
- Man kann zu pfSense ein Buch kaufen
- Man kann zu MikroTik RouterOS drei Bücher kaufen und auch Trainingskurse belegen!

Die eine Möglichkeit wäre es ja über einen zweiten Router (TP-Link oder so) das Intranet von der DMZ zu trennen.
Ja das geht natürlich.

Die andere Möglichkeit wäre mir nen Rechner zusammenzustellen, dual Port Netzwerkadapter rein und IPCop installieren.
Nun ja das macht jeder für sich ab, wie er das realisieren möchte, aber wenn Geld ein Rolle spielt und es handelt
sich ja um eine Lösung für den Privatbereich und Strom soll bis zu 30% teurer werden, also das ist dann wohl eher
eine der schlechtesten Lösungswege, zumindest so wie ich das sehe!
Selbst das Geld für eine schon recht teure Soekris Lösung nach nur 4 Jahren anhand der Stromersparnis wieder raus.

Welche dieser 3 Methoden würdet Ihr machen?
Das muss jeder für sich selber entscheiden da lässt sich immer schlecht etwas raten, aber es gibt eben auch nur
3 Hauptvarianten um eine DMZ zu bilden!
- Pseudo DMZ (Exposed Host) ist eh nur für einige Szenarien geeignet und/oder für Testnetzwerke bzw. Labor LANs
- Firewall oder Router mit separaten DMZ Port (True and dirty DMZ)
- Zwei Router bzw. Firewalls zu einer Kaskade hintereinander zusammenschließen (True and clean DMZ)

Das Budget sollte nicht über 300 Euro liegen.
Also ich würde mir eine Alix oder wenn Du jetzt schon weißt dass Du einmal mehrere zusätzliche Dienste installieren
möchtest sogar eine Soekris Box kaufen und der gebotenen Funktions- und Optionsvielfalt wegen über den Einsatz
von pfSense und MikroTik RouterOS nachdenken.

Wichtig ist das ich keine Lizenzgebühren bezahlen will.
Jo bei pfSense kann man rein theoretisch noch folgendes dazu installieren:
- Snort
- ClamAV
- Squid + Squidgaurd
- Dansguardian
- mini PCI oder mini PCIe WLAN Karte
- mini PCI Karte zur VPN Beschleunigung

Gruß
Dobby

P.S.
Hier im Forum gibt es auch eine gute Anleitung zu dem Thema Alix + pfSense die musst Du dann nur abtippen!
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Kopplung von 2 Routern am DSL Port
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik

Es gibt auch noch andere Firewall oder Router Distributionen die das locker abdecken können,
eventuell ist da auch etwas für mit dabei!
- RouterOS
- OpenWRT
- DD-WRT
- FreeWRT
- pfSense
- mOnOwall
- ZeroShell
- IPCop
- IPFire
- ClearOS
- OpenBSD + OpenBGP
- Vyatta
- Quagga

Kleiner Tipp, Ubiquitti hat zwei kleine neue Router auf den Markt gebracht die eventuell auch in Deine Preisklasse
fallen und Dir mitunter mehr zusagen!


(Bin auf gesunde weise Paranoid ;))
Und wie möchtest Du dann die Anbindung eines ESXi an den Router, an dem Port geöffnet sind und auf eine VM zeigen erklären,
ich denke hier passt etwas nicht, sorry.

Also entweder bin ich paranoid und lege mir eine DMZ an und die wird dann auch richtig gesichert und verteidigt, aber dann
steht dort auch ein kleiner Webserver drin der nicht als VM auf einem ESXi läuft.

Nimm Dir die Alix Box mit pfSense und als Server die Soekris Box, das sieht dann schon anders aus!
Bitte warten ..
Mitglied: 113395
18.09.2013 um 13:10 Uhr
Natürlich hat dein Kommentar mit dem Hoster viele Vorteile, muss ich zugestehen. Wirklich kritische Daten liegen nicht auf dem Webspace. Es ist ein CMS (Joomla) mit Mitgliederbereich. Da kann man nicht mehr abgreifen als Benutzername, Verschlüsseltes Passwort, E-Mail Adresse. Vorallem habe ich beim Hoster den luxus dass ich nicht den umständlichen Weg mit Zertifikatrequests gehen muss, sondern direkt über den Hoster (Webfrontend) mir eins bestellen und reinklicken kann.

Den ESXI würde ich dann nur ins Intranet stellen. Die VM mit dem Webserver würde ich nicht mehr über den ESXI zur Verfügung stellen (Router 2), sondern die Seite auf dem NAS laufen lassen und das NAS einen anderen Adressbereich geben und direkt an den ersten Router hängen.

Also so:
-Fritzbox
------>NAS (192.168.50.2/32 oder 192.168.50.2/24???) (Hier läuft Webserver)

------>TPLinkRouter
--------------->ESXI (Hier Intranet)
----------------------------->Diverse VMs (192.168.51.x/24)

Bin in Netzwerke nicht ganz so fit. Programmierung liegt mir mehr wie Ihr vielleicht merkt :D
Bitte warten ..
Mitglied: 113395
18.09.2013 um 13:13 Uhr
Hallo Dobby,

danke für deinen Umfangreichen Beitrag! Werde auf jeden Fall mal einen Blick auf diese produkte werfen!
Bitte warten ..
Mitglied: brammer
18.09.2013, aktualisiert um 13:22 Uhr
Hallo,

wie üblich...
zu diesem Thema gibt es ein sehr gutes Tutorial von @aqui.

https://www.administrator.de/wissen/preiswerte-vpn-f%C3%A4hige-firewall- ...

brammer

@D.o.b.b.y

Sorry, habe deine Link überlesen!
brammer
Bitte warten ..
Mitglied: manuel1985
18.09.2013 um 16:02 Uhr
Hi,

habe jetzt den Thread nur fix überflogen. Dabei ist mir Sophos/Astaro in den Sinn gekommen.
Die haben (vor ca. 3 Jahren zumindest) für den Heimanwender die SW kostenlos angeboten. Die installierst du einfach auf einem PC mit 2+ LAN-Ports und hast vollen Funktionsumfang, allerdings ohne Support.
Vllt. ist das eine Option für dich!?

Gruß Manuel
Bitte warten ..
Mitglied: aqui
19.09.2013 um 17:33 Uhr
Ist das gleiche wie die pfSense die aber von einer größeren Community gepflegt wird.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Richtige DMZ mit 2 Routern
gelöst Frage von linuxverbrezlerRouter & Routing4 Kommentare

Hallo Ein Schönes Neues , will Webserver @ home am DSL Anschluß betreiben. Kann ich das so aufziehen? Internet ...

DSL, VDSL
DMZ mit Speedport - Asus Router
Frage von BVBSPEZIDSL, VDSL13 Kommentare

Hallo Kollegen, versuche seit Tagen, mit meinen 2 Routern eine DMZ zu konfigurieren, bislang ohne Erfolg. Habe die 2. ...

Firewall

Firewall für DMZ und Intranet richtig konfigurieren

Frage von vGavenFirewall3 Kommentare

Hi, ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne ...

Netzwerkmanagement

Zweite firewall ja oder nein

gelöst Frage von Black-MacNetzwerkmanagement9 Kommentare

Hallo liebe Gemeinde, Mich plagt zur zeit eine frage und zwar fange ich von vorne an. Ich überdenke meinen ...

Neue Wissensbeiträge
Windows 10

Neue Sicherheitslücke in Windows 10 (Version 1709) durch Google öffentlich geworden

Information von kgborn vor 15 StundenWindows 10

Vor ein paar Tagen haben Googles Sicherheitsforscher vom Projekt Zero eine Sicherheitslücke im Edge-Browser publiziert. Jetzt wurde eine weitere ...

iOS
IOS 11.2.6 verfügbar
Information von sabines vor 20 StundeniOS

Mit dem Update soll der Bug behoben werden, bei dem eine bestimmte Zeichenkette IOS zum Absturz gebracht hat.

Sicherheit
Sicherheitsrisiko: Die Krux mit 7-Zip
Information von kgborn vor 1 TagSicherheit8 Kommentare

Bei vielen Anwendern ist das Tool 7-Zip zum Entpacken von Archivdateien im Einsatz. Die Software ist kostenlos und steht ...

Internet

Datendealing im WWW Tracking Methoden immer brutaler

Information von sabines vor 1 TagInternet

Interessanter Artikel zum Thema Tracking im WWW und die immer "besseren" Methoden des Trackings. Professor Arvind Narayanan (Princeton-Universität) betreibt ...

Heiß diskutierte Inhalte
Router & Routing
LANCOM VPN CLIENT einrichten
Frage von Finchen961988Router & Routing27 Kommentare

Hallo, ich habe ein Problem und hoffe ihr könnt mir helfen, wir haben einen Kunden der hat einen Speedport ...

Windows Server
AD DS findet Domäne nicht, behebbar?
Frage von schapitzWindows Server25 Kommentare

Guten Tag, ich habe bei einem Kunden ein Problem mit den AD DS. Umgebung ist folgende: Windows Server 2016 ...

LAN, WAN, Wireless
VPN Cisco ASA5505 PaloAlto PA-200
gelöst Frage von YannoschLAN, WAN, Wireless22 Kommentare

Hallo zusammen, ich würde gerne ein Site-to-Site VPN zwischen den beiden Standorten aufbauen. PaloAlto PA200 Internetanschluss Deutsche Telekom GK ...

SAN, NAS, DAS
Qnap TS-453S Pro - Anbindung Active Directory
Frage von JuckieSAN, NAS, DAS13 Kommentare

Hallo zusammen, ich habe hier eine Qnap TS-453S Pro die sich mal so absolut gar nicht in das Active ...