Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IP Bereich für DMZ

Mitglied: kleinemeise

kleinemeise (Level 1) - Jetzt verbinden

23.01.2009, aktualisiert 11:16 Uhr, 4186 Aufrufe, 4 Kommentare

Rechner in DMZ sollen sich gegenseitig nicht sehen

Hallo Leute,

ich würde gern mal von euch paar Ratschläge haben.

Folgendes: Ich bin gerade dabei unsere Firewall um eine zusätzliche DMZ zu erweitern.
Routing usw funktioniert auch.

Da wir in unser DMZ auch Server stehen haben, auf die von Aussen zugegriffen werden kann, würde ich gern verhindern, dass man von einen Rechner in der DMZ auf einen anderen Rechner in der DMZ zugreifen kann.

Wäre es also möglich, auf den Server die Netzwerkmaske so einzugrenzen, dass sie sowieso nur sich selbst sehen. Wollen Sie dann auf einen anderen Rechner in der DMZ zugreifen, müssen Sie über das Gateway (welches die Firewall ist und ich dort die Zugriffe steuern kann).

Beispiel:

Die DMZ hat den gesamten Adressbereich von
01.
10.10.0.0 
02.
255.255.0.0
Ein Rechner, der in dieser Zone alleine sein soll würde ich dann z.B
01.
10.10.10.23 
02.
255.255.255.255
geben.

Funktioniert das so, wie ich mir das vorstelle?
Mitglied: AndreasHoster
23.01.2009 um 11:26 Uhr
Jein.
Das Default-Gateway muß immer im gleichen Netz sein, d.h. die Netmask muß so gewählt sein, daß mindestens 2 Rechner reinpassen: Der Rechner selber und das Default Gateway (also die Firewall Schnittstelle).
Und wenn Du in die DMZ nur eine IP der Firewall hast, müssen alle Rechner der DMZ im selben Subnetz sein.
Wenn Du mehrere IP-Adressen aus verschiedenen Subnetzen an die Netzwerkkarte bindest, geht Deine prinzipielle Idee.

Außerdem sind die Rechner, wenn sie im selben physischen Ethernet sind, durchaus in der Lage miteinander zu kommunizieren. Mittels statischen ARP Einträgen etc. kann ich da von einem Rechner zum anderen kommen, TCP/IP Einstellungen zum Trotz. Wenns sicher sein soll, VLANs verwenden, dann sorgt der Switch dafür, daß die Pakete nicht zu anderen Rechnern kommt.
Bitte warten ..
Mitglied: aqui
23.01.2009 um 11:47 Uhr
Am besten noch ein sog. Private VLAN am Switch verwenden, dann können Endgeräte in einem VLAN NUR über den Uplink kommunizieren nicht mehr untereinander.
Falls du einen dummen Switch hast und der das nicht supportet, dann nimmst du MAC Access Listen auf dem Switch die den Zugang zu den anderen Servern sicher blockieren !
Diese Lösung ist erheblich einfacher als die Frickelei mit den IPs die letztlich niemals funktioniert, da du so inkonsitente Subnetzmasken im DMZ IP Segment bekommst und damit deine Sicherheitsprobleme noch größer werden !!!
Bitte warten ..
Mitglied: kleinemeise
23.01.2009 um 13:09 Uhr
erschwerdend kommt aber hinzu, dass es sich bei den Servern teilweise um virtuelle Maschinen handelt. Wobei es vorkommen kann, dass eine vm zugang haben soll, die andere nicht.
Bitte warten ..
Mitglied: aqui
23.01.2009 um 13:21 Uhr
Wieso erschwerend ??? Die MAC Adressen der Geräte und natürlich auch der VMs sind immer einzigartig so das ein Filtern auch da wirkt sofern du den Bridging Modus ausführst bei VM ??

Innerhalb der VM geht das natürlich niemals..klar ! Da kannst du das nur über die lokalen Firewalls machen...
Bitte warten ..
Ähnliche Inhalte
Monitoring
PRTG Monitoring IP-Bereich
gelöst Frage von supertuxMonitoring7 Kommentare

Hallo, ich habe mir PRTG Monitor installiert, soweit läuft über die Domain-Anmeldung auch alles und die Daten sind auch ...

Windows Server
IP Adresse aus ausgeschlossenem Bereich
gelöst Frage von almeraWindows Server3 Kommentare

Hi, ich habe hier ein Class B Netz mit dem Bereich von 172.16.0.0 bis 172.16.254.254 auf einem 2008 R2. ...

Switche und Hubs

Netzwerk-Erweiterung mit 2.IP-Bereich und IP-Bereich für VOIP mit HP2530-Stack

gelöst Frage von Quincy25Switche und Hubs2 Kommentare

Hallo Zusammen, wir haben in unserem Netzwerk folgende Konstellation: Netzwerk-Bereich-1: 10.125.149.0/24 Netzwerk-Bereich-2: 10.125.176.0/24 Netzwerk-Bereich VOIP: 10.125.177.0/24 und einen HP-Stack mit 7 Switches ...

Netzwerke

PfSense: DMZ andere Public IP zuweisen

gelöst Frage von Fenris14Netzwerke3 Kommentare

Hallo, ich steh mal wieder etwas auf dem Schlauch ich will das die Geräte in der DMZ eine andere ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 StundeWindows 10

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 4 StundenAdministrator.de Feedback8 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 21 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...