14
Frage Firewall und Router
Hallo ich habe jetzt mal eine (blöde) Frage. Komme grad nicht mit einer logischen Erklärung auf die Lösung.
Wir stellen uns vor wir haben eine Serverstruktur in einem Unternehmen. IM Serverbereich ist ein Router, eine Firewall, mehrere Server DNS usw. Ich habe eine Domäne mit Firmeninternen Netz. Natürlich können die PCs im Netz ins Internet und Firmenintern Daten Versenden.
So ok
Der Router ist ja da um Daten nach aussen ins Internet zu senden und zu empfangen (Osi Schicht 3)
ok jetzt zur Firewall. ich verstehe es nicht. Sie soll ja alle Daten überprüfen nicht nur die Daten die nach aussen ins internet geschickt werden und wieder zurückkommen (Osi Schicht 3 und 4). Sondern natürlich auch die Daten die im Internen Netz versendet werden (OSI Schicht 2).
jetzt kommt die frage
woher wissen die Daten das sie erst an der Firewall vorbeimüssen bevor sie dann gefiltert an den router gelangen und so weiter ins Internet?!?!? Durch welche Einstellung oder DIN Norm oder was weiss ich
wissen die Daten das?????????
Erklärt mir es bitte auch wenn ich mich grad dumm anstelle
Wir stellen uns vor wir haben eine Serverstruktur in einem Unternehmen. IM Serverbereich ist ein Router, eine Firewall, mehrere Server DNS usw. Ich habe eine Domäne mit Firmeninternen Netz. Natürlich können die PCs im Netz ins Internet und Firmenintern Daten Versenden.
So ok
Der Router ist ja da um Daten nach aussen ins Internet zu senden und zu empfangen (Osi Schicht 3)
ok jetzt zur Firewall. ich verstehe es nicht. Sie soll ja alle Daten überprüfen nicht nur die Daten die nach aussen ins internet geschickt werden und wieder zurückkommen (Osi Schicht 3 und 4). Sondern natürlich auch die Daten die im Internen Netz versendet werden (OSI Schicht 2).
jetzt kommt die frage
woher wissen die Daten das sie erst an der Firewall vorbeimüssen bevor sie dann gefiltert an den router gelangen und so weiter ins Internet?!?!? Durch welche Einstellung oder DIN Norm oder was weiss ich
wissen die Daten das?????????Erklärt mir es bitte auch wenn ich mich grad dumm anstelle
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 263638
Url: https://administrator.de/contentid/263638
Printed on: April 19, 2024 at 00:04 o'clock
14 Comments
Latest comment
Hallo,
wenn du dir den Aufbau deines Netzwerkes, logisch und IP seitig mal genau anschaust, inklusive vorhandener Routen und der physikalischen Wege solltest du feststellen das die Pakete gar keinen anderen Weg gehen können.
In deinem Aufbau dürfte die Firewall nur einen logischen Weg zum Router haben. und von der Firewall auch nur einen Weg ins Netz...
Wenn es einen zweiten logischen Weg gibt, ist dieser entweder deaktiviert (z.B. Spanning Tree) oder eure Firewall hat sehr wenig zu tun denn dann geht der Traffic evtl. vorbei...
brammer
wenn du dir den Aufbau deines Netzwerkes, logisch und IP seitig mal genau anschaust, inklusive vorhandener Routen und der physikalischen Wege solltest du feststellen das die Pakete gar keinen anderen Weg gehen können.
In deinem Aufbau dürfte die Firewall nur einen logischen Weg zum Router haben. und von der Firewall auch nur einen Weg ins Netz...
Wenn es einen zweiten logischen Weg gibt, ist dieser entweder deaktiviert (z.B. Spanning Tree) oder eure Firewall hat sehr wenig zu tun
denn dann geht der Traffic evtl. vorbei...brammer
Beispiel:
Client möchte www.xyz.de aufrufen
Simples Routing also ...
Gruß jodel32
Client möchte www.xyz.de aufrufen
- Client PC stellt eine DNS-Anfrage an den DNS-Server und bekommt als Beispiel die IP 3.3.3.3 zurückgeliefert.
- Da der PC diese IP-Adresse bzw. das Subnetz nicht in seiner eigenen Routingtabelle hat, leitet er die Anfrage an sein Default-Gateway (euren Router/Firewall) weiter.
- Der Router hat ebenfalls eine Routing-Tabelle in der er nachschaut, ob das Netz mit der IP 3.3.3.3 an ihm direkt angeschlossen ist. Ist das nicht der Fall leitet er das Paket ebenfalls an das Default-Gateway in seiner Routing-Tabelle (in diesem Fall der des Providers) weiter.
- Von dort geht es dann so weiter bis zur Ziel-IP und den Weg wieder zurück.
Simples Routing also ...
Gruß jodel32
Ne sorry ich verstehe es immernoch nicht. Im Client ist doch als Standard Gateway mein Router eingetragen. Und nicht die Firewall. Router und Firewall sind 2 verschiedene Hardware geräte mit unterschiedlichen ips. Also Leitet der pc Pakete an den router weiter. Warum kommen die Pakete dann aber an der Firewall vorbei.
Ich warte noch auf eine verständliche Erklärung
Ich warte noch auf eine verständliche Erklärung
Hallo,
kannst du bitte mal dein Netzwerk etwas skizzieren?
Wenn deine Clients direkt am Rotuer hängen, dann ist die Firewall aussen vor....
Aber genau das solltest du erst mal prüfen, bevor wir im freien Fall raten
Aber, so wenig wie du über die Infrastruktur wirklich weißt bist du vermutlich nicht der Admin....
brammer
kannst du bitte mal dein Netzwerk etwas skizzieren?
Wenn deine Clients direkt am Rotuer hängen, dann ist die Firewall aussen vor....
Aber genau das solltest du erst mal prüfen, bevor wir im freien Fall raten
Aber, so wenig wie du über die Infrastruktur wirklich weißt bist du vermutlich nicht der Admin....
brammer
Zitat von @OsiMac:
Ne sorry ich verstehe es immernoch nicht.
Ich warte noch auf eine verständliche Erklärung
und wir warten auf mehr Info zu deinem Netz...Ne sorry ich verstehe es immernoch nicht.
Ich warte noch auf eine verständliche Erklärung
Normalerweise ist eine Firewall auch gleichzeitig ein Routing-Device, es kommt also immer darauf an wo diese steht, hinter oder vor dem Router. Eins von beiden wird den Traffic immer zum anderen leiten um zu gewährleisten das der Traffic die Firewall passiert.
sorry ich habe kein Netzwerkskizze. Ja klar von daheim kenn ich es da hat man viele Endgeräte und einen router der auch gleichzeitig eine Firewall ist. Da ist es klar das es funktioniert.
Aber sagen wir jetzt mal wir haben ein Firmennetz. Wo man einen Serverraum hat. Wo eben das Internetsignal rein und rausgeht. Dort sind viele Server wo Fileserver DNS DHCP usw alles läuft. Dort ist eine Firewall in einem 19" Rack. und ein Router in einem 19" Rack. 2 verschiedene Geräte also.
Trägt man dort in dem Fall die Firewall als Standard Gateway ein?? und die leitet dann den Traffic wiederum weiter an den Router??? ich verstehe es echt grad net. Man sagt immer die firewall steht hinter oder vor dem Router ? das verstehe ich nicht.
Bitte muss doch logisch erklärbar sein
Aber sagen wir jetzt mal wir haben ein Firmennetz. Wo man einen Serverraum hat. Wo eben das Internetsignal rein und rausgeht. Dort sind viele Server wo Fileserver DNS DHCP usw alles läuft. Dort ist eine Firewall in einem 19" Rack. und ein Router in einem 19" Rack. 2 verschiedene Geräte also.
Trägt man dort in dem Fall die Firewall als Standard Gateway ein?? und die leitet dann den Traffic wiederum weiter an den Router??? ich verstehe es echt grad net. Man sagt immer die firewall steht hinter oder vor dem Router ? das verstehe ich nicht.
Bitte muss doch logisch erklärbar sein
Hallo OsiMac,
Genau so sollte es aussehen!
Wenn du Firewall und Router mit 2 unterschiedlichen Geräten abbildest, dann sollte nur die Firewall für die Clients erreichbar sein und die Pakete an den Router weiterleiten.
Hier eine kurze Zeichnung. Darin ist sichergestellt, dass jeder Traffic erst durch die Firewall muss.
VG
Valexus
und wir warten auf mehr Info zu deinem Netz...
Normalerweise ist eine Firewall auch gleichzeitig ein Routing-Device, es kommt also immer darauf an wo diese steht, hinter oder
vor dem Router. Eins von beiden wird den Traffic immer zum anderen leiten um zu gewährleisten das der Traffic die Firewall
passiert.
Normalerweise ist eine Firewall auch gleichzeitig ein Routing-Device, es kommt also immer darauf an wo diese steht, hinter oder
vor dem Router. Eins von beiden wird den Traffic immer zum anderen leiten um zu gewährleisten das der Traffic die Firewall
passiert.
Genau so sollte es aussehen!
Wenn du Firewall und Router mit 2 unterschiedlichen Geräten abbildest, dann sollte nur die Firewall für die Clients erreichbar sein und die Pakete an den Router weiterleiten.
Hier eine kurze Zeichnung. Darin ist sichergestellt, dass jeder Traffic erst durch die Firewall muss.
VG
Valexus
1
ah ok danke also ist in Firmen wo es eine Hardware Firewall und Hardware Router gibt (als 2 unterschiedliche Geräte) der Standardgateway nicht der Router sondern die Firewall. Auf der Firewall ist dann eine Portweiterleitung ? eingerichtet an den Router. Und der Routet dann die Pakete weiter an das Internet ?
Auf der Firewall ist dann eine Portweiterleitung ? eingerichtet an den Router.
Keine Portweiterleitung, die Firewall routet das Paket ebenfalls an die richtige Schnittstelle nachdem es das Paket mit seinen ACLs und Filtern überprüft hat.1
der Standardgateway nicht der Router sondern die Firewall.
Ja, so sieht ein einfaches Design aus. Router und Firewall sind in der Regel aus Sicherheitsgründen 2 separate Geräte und die arbeiten in einer Kaskade hintereinander.Hier kannst du mal solch ein Standardszenario sehen:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Auf der Firewall ist dann eine Portweiterleitung ?
Nein, das ist Blödsinn, wozu ? Das muss man nur machen wenn die Firewall oder der Router NAT (IP Adress Translation) macht und auch nur dann wenn man ein Loch in die Firewall bohren muss um von extern über NAT auf interne Geräte zugreifen zu können.Solch einen sicherheitstechnischen Blödsinn machen nur nich unbedarfte Heimuser und Bastler.
Kein verantwortungsvoller Netzwerker wird in einem Firmennetz sowas machen !
Dort benutzt man immer ein sicheres VPN um von remote auf interne Resourcen zugreifen zu können !
also heist das jetzt nochmal zusammengefasst:
Firewall dient eigentlich als Firewall und Router. Also ist meine Firewall der Standardgateway und der ROuter dient eigentlich nur als Modem und Transformiert die Signale
Firewall dient eigentlich als Firewall und Router. Also ist meine Firewall der Standardgateway und der ROuter dient eigentlich nur als Modem und Transformiert die Signale
Hallo,
wie sollen wir das beantworten können?
Schau in die Router und Firewall Konfiguration rein... dann weißt du es ...
brammer
wie sollen wir das beantworten können?
Schau in die Router und Firewall Konfiguration rein... dann weißt du es ...
brammer
und der ROuter dient eigentlich nur als Modem und
Das kann man so machen wenn der Router dann wirklich nur ein reines Modem ist bzw. so konfiguriert ist also ein mehr oder minder passiver Medienwandler. Manche Router kann man zu diesem nur Modem Modus degradieren, es gibt aber auch dedizierte reine Modems ohne IP Paket Forwarding Funktion.Sieht man daran das bei reinem Modem Einsatz die Firewall dann am WAN Port das öffentliche Internet direkt terminiert.
Sobald aber dieses "Modem" irgendwie an der IP Paket Weiterleitung beteiligt ist, ist es KEIN Modem mehr sondern logischerweise ein Router
Sieht man dann daran das der Router dann am WAN Port das öffentliche Internet direkt terminiert. (Grob gesagt...)
Es gibt mehrere Arten einer Firewall.
Früher war beispielsweise die Application Level Proxy Firewall recht verbreitet, das bedeutet, es wird nach außen hin kein NAT betrieben, sondern für jeden wichtigen Dienst gibt es auf dem Firewallrechner ein entsprechendes Proxyprogramm und der übernimmt das Handling.
Dann gibt es Firewalls auf Netzwerkebene, die gewisse IPs beispielsweise sperren, also Portfilter. Fortgechrittenere Versionen dieser Firewalls unterstützen dabei auch noch eine Stateful Inspection, können also Traffic einzelnen Sessions zuordnen.
Und dann gibt es noch Firewalls, die eine Deep Packet Inspection machen und den Inhalt von Traffic analysieren, um darauf ggf. zu reagieren.
Häufig ist eine Firewall eine Kombination aus mehreren dieser Möglichkeiten.
Früher war beispielsweise die Application Level Proxy Firewall recht verbreitet, das bedeutet, es wird nach außen hin kein NAT betrieben, sondern für jeden wichtigen Dienst gibt es auf dem Firewallrechner ein entsprechendes Proxyprogramm und der übernimmt das Handling.
Dann gibt es Firewalls auf Netzwerkebene, die gewisse IPs beispielsweise sperren, also Portfilter. Fortgechrittenere Versionen dieser Firewalls unterstützen dabei auch noch eine Stateful Inspection, können also Traffic einzelnen Sessions zuordnen.
Und dann gibt es noch Firewalls, die eine Deep Packet Inspection machen und den Inhalt von Traffic analysieren, um darauf ggf. zu reagieren.
Häufig ist eine Firewall eine Kombination aus mehreren dieser Möglichkeiten.
