Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Firewall zwischen zwei privaten Netzen, Routing oder Portforwarding?

Mitglied: tonabnehmer

tonabnehmer (Level 2) - Jetzt verbinden

20.04.2011 um 17:00 Uhr, 7334 Aufrufe, 3 Kommentare

Hallo,

ich möchte eine Firewall zwischen zwei privaten Netzen (fiktiv: 192.168.1.0/24, 192.168.2.0/24) realisieren. Genauer gesagt zwischen dem internen LAN und der DMZ. Vom LAN aus soll jeder Verkehr in die DMZ erlaubt sein. Von der DMZ aus dürfen nur bestimmte Dienste im LAN erreichbar sein. Klar ist, dass ich entsprechende Firewall Regeln definieren muss, z. B. "erlaube aus der DMZ den Zugriff auf LAN IP xy Port 25". Zusätzlich müssen die beiden Netze entweder die Route in das jeweils andere Netz kennen oder aber ich richte ein Portforwarding ein.

Beispiel Route: Rechner 192.168.2.10 in der DMZ würde seine Mail an den Mailserver 192.168.1.20 im LAN senden

Beispiel Portforwarding: Rechner 192.168.2.10 in der DMZ würde seine Mail an das DMZ Interface 192.168.2.1 der Firewall senden und die Firewall leitet den Port transparent an den Mailserver 192.168.1.20 im LAN weiter

Meine Frage ist also: Setzt man lieber Routen und spricht das Ziel mit seiner richtigen IP an oder macht man besser Portforwarding? Ich glaube das Portforwarding kommt eher aus dem NAT Bereich wenn interne Rechner über eine öffentliche IP des WAN Interface erreichbar sein sollen, richtig?

Danke und Grüße,
tonabnehmer
Mitglied: Crusher79
20.04.2011 um 20:03 Uhr
Hi,

Falsch. NAT ist in dem Fall sehr von nutzen. Da es DMZ Zugriffe ins LAN sehr stark einschränkt. Lies einfach folgenden Anleitung - dann sollte alles klar sein:
https://www.administrator.de/Kopplung_von_2_Routern_am_DSL_Port.html
https://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...

Damit wird die Sache rund.

mfg Crusher
Bitte warten ..
Mitglied: dog
20.04.2011 um 20:39 Uhr
NAT ist quark.
NAT ist ein technischer Hack, der als Notlösung gedacht war, damit DSL funktioniert (das in IPv6 rausgefallen ist und sich alle Hersteller weigern zu implementieren).
NAT mit Sicherheit zu assoziieren wäre genauso Quark.
In modernen Firewalls läuft NAT über die selbe Connection Table wie regulärer Traffic (da ohne Connection Tracking aka SPI gar kein NAT möglich wäre). Der einzige messbare Effekt wäre also eine Mehrlast auf dem Router.
Zudem erfordert jede echte Firwall Regeln für DNAT und für den Firewall-Traffic, weshalb man sich nur doppelte Arbeit macht.

Und NAT würde auch die Nachvollziehbarkeit reduzieren.
Wenn du einen Rechner im LAN mit Virus hast der euren Mailserver in der DMZ attakiert hast du bei NAT keine leichte Möglichkeit zu sehen, um welchen Rechner es sich handelt.
Bitte warten ..
Mitglied: tonabnehmer
22.04.2011 um 10:33 Uhr
@Crusher79

In der ersten verlinkten Anleitung findet sich unter Alternative 2 mein aktuelles Netz. Dort steht folgendes: "Erst alternative Firmwareimages wie z.B. dd-wrt.de oder OpenWRT für den Linksys WRT54G z.B. und auch einige Router wie Getnet GR-154, Asus RX3041, Level One FBR1418, Mikrotik RB750 u.a. und freie FW Lösungen wie Pfsense erlauben auch ein transparentes Routing ohne NAT Funktion. Das Abschalten der NAT Firewall auf dem WAN/DSL Interface wird aber nur von einer Minderheit der Systeme am Markt supported das sollte man immer beachten VOR dem Kauf eines Routers !"

Ich sehe NAT eher als eine nützlich Hilfsfunktion.

@dog

Danke für die Hinweise bzgl. Mehrlast und Maskierung.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Routing zwischen zwei Netzen
gelöst Frage von Xaero1982Router & Routing31 Kommentare

Hallo Zusammen, simples Szenario, was mich aber gerade verzweifeln lässt Fritzbox: 192.168.178.1 Dann habe ich einen Microtik 750gl rangehangen. ...

Router & Routing

Routing zwischen zwei Netzen - welche Hardware

Frage von jochenmuellRouter & Routing2 Kommentare

Hallo Zusammen, Habe ein Problem beim Verbinden von 2 Netzwerken. Hab relativ wenig Ahnung von Routing, bin ansonsten aber ...

LAN, WAN, Wireless

Vom VPN Netz ins private Netz

gelöst Frage von DasBillLAN, WAN, Wireless15 Kommentare

Guten Abend, ich betreibe einen ESXi 6 Server auf dem insgesamt drei virtuelle Maschinen laufen eine Sophos UTM Home ...

Router & Routing

Zwei Netze über WLAN Bridge verbinden. Routing verstehen

gelöst Frage von DerschRouter & Routing14 Kommentare

Hallo, ich möchte gerne zwei Netze miteinander verbinden und mache das zum ersten Mal. Daher möchte ich gerne ein ...

Neue Wissensbeiträge
Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 9 StundenSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 15 StundenWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 19 StundeniOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Windows 7

Windows 7 - Server 2008 R2: Exploit für Total Meltdown verfügbar

Information von kgborn vor 2 TagenWindows 7

Kleine Information für Administratoren, die für die Updates von Windows 7 SP1 und Windows Server 2008 R2 SP1 verantwortlich ...

Heiß diskutierte Inhalte
Batch & Shell
Powershell: Im AD nach Rechnern mit bestimmten IP-Adressen suchen
gelöst Frage von Raven42Batch & Shell36 Kommentare

Hallo zusammen, ich suche nach einer Möglichkeit nach Computern im AD zu suchen , deren IP-Adresse mit 10.11.12. beginnt. ...

C und C++
Frage1 C Programmierung-Makefile Frage2 PHP-Programmierung HTTP-Fehler 404
Frage von KatalinaC und C++34 Kommentare

Hallo, ich habe 2 Fragen, die nichts miteinander zu tun haben aber mit denen ich mich gerade beschäftige: 1. ...

LAN, WAN, Wireless
Watchguard T15 VPN Einrichtung
gelöst Frage von thomasjayLAN, WAN, Wireless25 Kommentare

Hallo zusammen, wir möchten gerne über unsere Watchguard T15 einen VPN-Tunnel (Mobile VPN with IPSec) einrichten! Als Client nutzen ...

Windows Server
Alten DC entfernen
Frage von smartinoWindows Server24 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...