113395
Sep 18, 2013, updated at 13:22:26 (UTC)
5936
9
0
Dedizierte Firewall, Zweiter Router oder Rechner mit IPCop nehmen für DMZ
Hallo Leute,
ich bräuchte privat eine DMZ weil ich meine Persönliche Website hosten möchte.
Mein komplettes Intranet und auch der DMZ Server für die Website läuft auf einem ESXi als VM.
Die meisten Firewalls wie Astaro, ZyWall, Fortigate kostet endweder ein haufen Geld, oder benötigen
Lizenzen welche man ständig erneuern muss. Jetzt bin ich am Überlegen wie
ich mir kostengünstig und zugleich "sauber" eine DMZ einrichte.
Die eine Möglichkeit wäre es ja über einen zweiten Router (TP-Link oder so) das Intranet von der DMZ zu trennen. Die andere Möglichkeit wäre mir nen Rechner zusammenzustellen, dual Port Netzwerkadapter rein und IPCop installieren.
Welche dieser 3 Methoden würdet Ihr machen? Das Budget sollte nicht über 300 Euro liegen. Wichtig ist das ich keine Lizenzgebühren bezahlen will.
Vielleicht hat auch noch jemand einen anderen einfall.
Gruß
ich bräuchte privat eine DMZ weil ich meine Persönliche Website hosten möchte.
Mein komplettes Intranet und auch der DMZ Server für die Website läuft auf einem ESXi als VM.
Die meisten Firewalls wie Astaro, ZyWall, Fortigate kostet endweder ein haufen Geld, oder benötigen
Lizenzen welche man ständig erneuern muss. Jetzt bin ich am Überlegen wie
ich mir kostengünstig und zugleich "sauber" eine DMZ einrichte.
Die eine Möglichkeit wäre es ja über einen zweiten Router (TP-Link oder so) das Intranet von der DMZ zu trennen. Die andere Möglichkeit wäre mir nen Rechner zusammenzustellen, dual Port Netzwerkadapter rein und IPCop installieren.
Welche dieser 3 Methoden würdet Ihr machen? Das Budget sollte nicht über 300 Euro liegen. Wichtig ist das ich keine Lizenzgebühren bezahlen will.
Vielleicht hat auch noch jemand einen anderen einfall.
Gruß
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 217236
Url: https://administrator.de/contentid/217236
Printed on: April 18, 2024 at 04:04 o'clock
9 Comments
Latest comment
Persönlich für privat?
-> Website bei einem Hoster hosten. Da hast du dann keine Probleme mit DMZ usw, 100% (annähernd) Onlinezeit und kommst um eine solche Lösung herum.
-> Website bei einem Hoster hosten. Da hast du dann keine Probleme mit DMZ usw, 100% (annähernd) Onlinezeit und kommst um eine solche Lösung herum.
Die Hostinggebühren möchte ich mir gerne sparen.
Vorallem möchte ich wissen wo meine Daten liegen, wohin diese Repliziert werden und wer Zugriff darauf hat (Bin auf gesunde weise Paranoid ;))
Abgesehen davon läuft mein ESXi eh rund um die Uhr und braucht frisst Strom, warum also Hosting Gebühren bezahlen wenn ich alles zu Hause habe?
Hosting möchte ich gerne vermeiden.
Trotzdem danke für die Antwort.
Vorallem möchte ich wissen wo meine Daten liegen, wohin diese Repliziert werden und wer Zugriff darauf hat (Bin auf gesunde weise Paranoid ;))
Abgesehen davon läuft mein ESXi eh rund um die Uhr und braucht frisst Strom, warum also Hosting Gebühren bezahlen wenn ich alles zu Hause habe?
Hosting möchte ich gerne vermeiden.
Trotzdem danke für die Antwort.
Zum Thema Paranoia: Wenn du das Netzwerk aufgrund eines billigen Routers (vodafone, telekom etc) aufreist bringt es dir auch nichts (mehr), wenn du weisst, dass ursprünglich deine Daten bei dir lagen. Abgesehen davon - Daten auf dem Webspace, die niemand sehen soll? Um was handelt es sich denn?
Daher: Hoster in Deutschland mit folgender Begründung: Ein Einfacher Router (wie hier als Idee fürs DMZ) kostet dich zwischen 30-40€ Stromkosten p.a zzgl. Anschaffungskosten.
Wie sicherst du denn den ESXI nach außen hin ab?
Daher: Hoster in Deutschland mit folgender Begründung: Ein Einfacher Router (wie hier als Idee fürs DMZ) kostet dich zwischen 30-40€ Stromkosten p.a zzgl. Anschaffungskosten.
Wie sicherst du denn den ESXI nach außen hin ab?
Hallo,
Webserver in eine DMZ oder ich mache das eben nicht! Aber als VM ist der Server dann doch eigentlich im
LAN und auch wieder in der DMZ, das ist meiner Meinung nach nichts Halbes und nichts Ganzes.
Wird ein dezidierter Webserver in einer DMZ "geknackt" ist der Eindringling "nur" in der DMZ, bei Deiner Lösung
ist die DMZ eigentlich nichts wert, denn wenn bei Dir der Webserver geknackt wird ist man auch fast schon im LAN!
MikroTik Router ab ~50 €
Netgear FVS336Gv2 für ~200 €
Lancom Router für ~200 €
Buffalo Router mit installiertem DD-WRT für rund ~100 €
Eigenbau Firewalls mit;
- Alix Boards für ~150 € bis 200 €
- Soekris Boards mit mehr RAM für ~200 € bis 250 €
24 Stunden Austauschservice und IDS Regelupdates.
Wenn Du das alles nicht brauchst kann man so ein Gerät auch locker gebraucht kaufen und
dann einfach nicht die Lizenzen kaufen, klar man hat dann auch nicht diesen Schutz und alle
Funktionen aber der eigentlichen Leistung der Firewall tut das sicherlich keinen Abbruch!
Das geht bei 30 € los (MikroTik) und hört da auf wo es Dir weh tut oder das Geld nicht mehr reicht!
Man kann das natürlich auch Ste-by-Step machen, also ich würde einmal über die Anschaffung einer
Alix und/oder Soekris Lösung nachdenken und dann eben so etwas wie pfSense anschaffen wollen
oder MikroTik RouterOS und zwar aus folgendem Grund;
- Man kann zu pfSense ein Buch kaufen
- Man kann zu MikroTik RouterOS drei Bücher kaufen und auch Trainingskurse belegen!
sich ja um eine Lösung für den Privatbereich und Strom soll bis zu 30% teurer werden, also das ist dann wohl eher
eine der schlechtesten Lösungswege, zumindest so wie ich das sehe!
Selbst das Geld für eine schon recht teure Soekris Lösung nach nur 4 Jahren anhand der Stromersparnis wieder raus.
3 Hauptvarianten um eine DMZ zu bilden!
- Pseudo DMZ (Exposed Host) ist eh nur für einige Szenarien geeignet und/oder für Testnetzwerke bzw. Labor LANs
- Firewall oder Router mit separaten DMZ Port (True and dirty DMZ)
- Zwei Router bzw. Firewalls zu einer Kaskade hintereinander zusammenschließen (True and clean DMZ)
möchtest sogar eine Soekris Box kaufen und der gebotenen Funktions- und Optionsvielfalt wegen über den Einsatz
von pfSense und MikroTik RouterOS nachdenken.
- Snort
- ClamAV
- Squid + Squidgaurd
- Dansguardian
- mini PCI oder mini PCIe WLAN Karte
- mini PCI Karte zur VPN Beschleunigung
Gruß
Dobby
P.S.
Hier im Forum gibt es auch eine gute Anleitung zu dem Thema Alix + pfSense die musst Du dann nur abtippen!
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Kopplung von 2 Routern am DSL Port
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik
Es gibt auch noch andere Firewall oder Router Distributionen die das locker abdecken können,
eventuell ist da auch etwas für mit dabei!
- RouterOS
- OpenWRT
- DD-WRT
- FreeWRT
- pfSense
- mOnOwall
- ZeroShell
- IPCop
- IPFire
- ClearOS
- OpenBSD + OpenBGP
- Vyatta
- Quagga
Kleiner Tipp, Ubiquitti hat zwei kleine neue Router auf den Markt gebracht die eventuell auch in Deine Preisklasse
fallen und Dir mitunter mehr zusagen!
ich denke hier passt etwas nicht, sorry.
Also entweder bin ich paranoid und lege mir eine DMZ an und die wird dann auch richtig gesichert und verteidigt, aber dann
steht dort auch ein kleiner Webserver drin der nicht als VM auf einem ESXi läuft.
Nimm Dir die Alix Box mit pfSense und als Server die Soekris Box, das sieht dann schon anders aus!
ich bräuchte privat eine DMZ weil ich meine Persönliche Website hosten möchte.
OkMein komplettes Intranet und auch der DMZ Server für die Website läuft auf einem ESXi als VM.
Tja das mit den VMs ist immer so eine Sache, zumindest meiner Meinung nach, entweder ich stelle einenWebserver in eine DMZ oder ich mache das eben nicht! Aber als VM ist der Server dann doch eigentlich im
LAN und auch wieder in der DMZ, das ist meiner Meinung nach nichts Halbes und nichts Ganzes.
Wird ein dezidierter Webserver in einer DMZ "geknackt" ist der Eindringling "nur" in der DMZ, bei Deiner Lösung
ist die DMZ eigentlich nichts wert, denn wenn bei Dir der Webserver geknackt wird ist man auch fast schon im LAN!
Die meisten Firewalls wie Astaro, ZyWall, Fortigate kostet endweder ein haufen Geld,
Es müssen ja nicht die großen Dinger sein, oder? Ich meine Du sagst das es sich um ein privates Netzwerk handelt.MikroTik Router ab ~50 €
Netgear FVS336Gv2 für ~200 €
Lancom Router für ~200 €
Buffalo Router mit installiertem DD-WRT für rund ~100 €
Eigenbau Firewalls mit;
- Alix Boards für ~150 € bis 200 €
- Soekris Boards mit mehr RAM für ~200 € bis 250 €
oder benötigen Lizenzen welche man ständig erneuern muss.
Ja aber dafür bekommt man dann ja auch Webkontentfilter, Spam Signaturen, AV Signaturen,24 Stunden Austauschservice und IDS Regelupdates.
Wenn Du das alles nicht brauchst kann man so ein Gerät auch locker gebraucht kaufen und
dann einfach nicht die Lizenzen kaufen, klar man hat dann auch nicht diesen Schutz und alle
Funktionen aber der eigentlichen Leistung der Firewall tut das sicherlich keinen Abbruch!
Jetzt bin ich am Überlegen wie ich mir kostengünstig und zugleich "sauber" eine DMZ einrichte.
Einen Router oder eine Firewall mit einem DMZ Port oder frei konfigurierbaren LAN Ports!Das geht bei 30 € los (MikroTik) und hört da auf wo es Dir weh tut oder das Geld nicht mehr reicht!
Man kann das natürlich auch Ste-by-Step machen, also ich würde einmal über die Anschaffung einer
Alix und/oder Soekris Lösung nachdenken und dann eben so etwas wie pfSense anschaffen wollen
oder MikroTik RouterOS und zwar aus folgendem Grund;
- Man kann zu pfSense ein Buch kaufen
- Man kann zu MikroTik RouterOS drei Bücher kaufen und auch Trainingskurse belegen!
Die eine Möglichkeit wäre es ja über einen zweiten Router (TP-Link oder so) das Intranet von der DMZ zu trennen.
Ja das geht natürlich.Die andere Möglichkeit wäre mir nen Rechner zusammenzustellen, dual Port Netzwerkadapter rein und IPCop installieren.
Nun ja das macht jeder für sich ab, wie er das realisieren möchte, aber wenn Geld ein Rolle spielt und es handeltsich ja um eine Lösung für den Privatbereich und Strom soll bis zu 30% teurer werden, also das ist dann wohl eher
eine der schlechtesten Lösungswege, zumindest so wie ich das sehe!
Selbst das Geld für eine schon recht teure Soekris Lösung nach nur 4 Jahren anhand der Stromersparnis wieder raus.
Welche dieser 3 Methoden würdet Ihr machen?
Das muss jeder für sich selber entscheiden da lässt sich immer schlecht etwas raten, aber es gibt eben auch nur3 Hauptvarianten um eine DMZ zu bilden!
- Pseudo DMZ (Exposed Host) ist eh nur für einige Szenarien geeignet und/oder für Testnetzwerke bzw. Labor LANs
- Firewall oder Router mit separaten DMZ Port (True and dirty DMZ)
- Zwei Router bzw. Firewalls zu einer Kaskade hintereinander zusammenschließen (True and clean DMZ)
Das Budget sollte nicht über 300 Euro liegen.
Also ich würde mir eine Alix oder wenn Du jetzt schon weißt dass Du einmal mehrere zusätzliche Dienste installierenmöchtest sogar eine Soekris Box kaufen und der gebotenen Funktions- und Optionsvielfalt wegen über den Einsatz
von pfSense und MikroTik RouterOS nachdenken.
Wichtig ist das ich keine Lizenzgebühren bezahlen will.
Jo bei pfSense kann man rein theoretisch noch folgendes dazu installieren:- Snort
- ClamAV
- Squid + Squidgaurd
- Dansguardian
- mini PCI oder mini PCIe WLAN Karte
- mini PCI Karte zur VPN Beschleunigung
Gruß
Dobby
P.S.
Hier im Forum gibt es auch eine gute Anleitung zu dem Thema Alix + pfSense die musst Du dann nur abtippen!
Preiswerte, VPN fähige Firewall im Eigenbau oder Fertiggerät
Kopplung von 2 Routern am DSL Port
VLAN Installation und Routing mit M0n0wall, pfSense, DD-WRT oder Mikrotik
Es gibt auch noch andere Firewall oder Router Distributionen die das locker abdecken können,
eventuell ist da auch etwas für mit dabei!
- RouterOS
- OpenWRT
- DD-WRT
- FreeWRT
- pfSense
- mOnOwall
- ZeroShell
- IPCop
- IPFire
- ClearOS
- OpenBSD + OpenBGP
- Vyatta
- Quagga
Kleiner Tipp, Ubiquitti hat zwei kleine neue Router auf den Markt gebracht die eventuell auch in Deine Preisklasse
fallen und Dir mitunter mehr zusagen!
(Bin auf gesunde weise Paranoid ;))
Und wie möchtest Du dann die Anbindung eines ESXi an den Router, an dem Port geöffnet sind und auf eine VM zeigen erklären,ich denke hier passt etwas nicht, sorry.
Also entweder bin ich paranoid und lege mir eine DMZ an und die wird dann auch richtig gesichert und verteidigt, aber dann
steht dort auch ein kleiner Webserver drin der nicht als VM auf einem ESXi läuft.
Nimm Dir die Alix Box mit pfSense und als Server die Soekris Box, das sieht dann schon anders aus!
1
Natürlich hat dein Kommentar mit dem Hoster viele Vorteile, muss ich zugestehen. Wirklich kritische Daten liegen nicht auf dem Webspace. Es ist ein CMS (Joomla) mit Mitgliederbereich. Da kann man nicht mehr abgreifen als Benutzername, Verschlüsseltes Passwort, E-Mail Adresse. Vorallem habe ich beim Hoster den luxus dass ich nicht den umständlichen Weg mit Zertifikatrequests gehen muss, sondern direkt über den Hoster (Webfrontend) mir eins bestellen und reinklicken kann.
Den ESXI würde ich dann nur ins Intranet stellen. Die VM mit dem Webserver würde ich nicht mehr über den ESXI zur Verfügung stellen (Router 2), sondern die Seite auf dem NAS laufen lassen und das NAS einen anderen Adressbereich geben und direkt an den ersten Router hängen.
Also so:
-Fritzbox
>NAS (192.168.50.2/32 oder 192.168.50.2/24???) (Hier läuft Webserver)
>TPLinkRouter
>ESXI (Hier Intranet)
>Diverse VMs (192.168.51.x/24)
Bin in Netzwerke nicht ganz so fit. Programmierung liegt mir mehr wie Ihr vielleicht merkt :D
Den ESXI würde ich dann nur ins Intranet stellen. Die VM mit dem Webserver würde ich nicht mehr über den ESXI zur Verfügung stellen (Router 2), sondern die Seite auf dem NAS laufen lassen und das NAS einen anderen Adressbereich geben und direkt an den ersten Router hängen.
Also so:
-Fritzbox
>NAS (192.168.50.2/32 oder 192.168.50.2/24???) (Hier läuft Webserver)
>TPLinkRouter
>ESXI (Hier Intranet)
>Diverse VMs (192.168.51.x/24)
Bin in Netzwerke nicht ganz so fit. Programmierung liegt mir mehr wie Ihr vielleicht merkt :D
1
Hallo Dobby,
danke für deinen Umfangreichen Beitrag! Werde auf jeden Fall mal einen Blick auf diese produkte werfen!
danke für deinen Umfangreichen Beitrag! Werde auf jeden Fall mal einen Blick auf diese produkte werfen!
Hallo,
wie üblich...
zu diesem Thema gibt es ein sehr gutes Tutorial von @aqui.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
brammer
@d.o.b.b.y
Sorry, habe deine Link überlesen!
brammer
wie üblich...
zu diesem Thema gibt es ein sehr gutes Tutorial von @aqui.
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
brammer
@d.o.b.b.y
Sorry, habe deine Link überlesen!
brammer
Hi,
habe jetzt den Thread nur fix überflogen. Dabei ist mir Sophos/Astaro in den Sinn gekommen.
Die haben (vor ca. 3 Jahren zumindest) für den Heimanwender die SW kostenlos angeboten. Die installierst du einfach auf einem PC mit 2+ LAN-Ports und hast vollen Funktionsumfang, allerdings ohne Support.
Vllt. ist das eine Option für dich!?
Gruß Manuel
habe jetzt den Thread nur fix überflogen. Dabei ist mir Sophos/Astaro in den Sinn gekommen.
Die haben (vor ca. 3 Jahren zumindest) für den Heimanwender die SW kostenlos angeboten. Die installierst du einfach auf einem PC mit 2+ LAN-Ports und hast vollen Funktionsumfang, allerdings ohne Support.
Vllt. ist das eine Option für dich!?
Gruß Manuel
Ist das gleiche wie die pfSense die aber von einer größeren Community gepflegt wird.
