Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Zyxel Zywall 5 - Einrichten einer DMZ

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

21.09.2009, aktualisiert 13.10.2009, 15466 Aufrufe, 4 Kommentare

Hallo ans Forum

Bei der Temporärstelle, wo ich momentan arbeite, wurde ich dazu verknurrt, eine DMZ auf einer Zywall 5 einzurichten. Momentan sieht es so aus:

Internet - VDSL Bridge - ZyWall - LAN

Neu soll es so aussehen:
DMZ
Internet - VDSL Bridge - ZyWall <
LAN

Da ich während meiner Ausbildung nie etwas mit Firewalls in der Praxis zu tun hatte, bin ich momentan etwas überfordert (habe das Thema nur theoretisch studiert). In die DMZ soll eine Buffalo Linkstation kommen, auf der ein FTP-Server läuft, sodass die User dieser Firma mit anderen Firmen Daten austauschen können. Vom WAN her sollten also sicher alle Pakete mit TCP20/21 an die DMZ geschickt werden. Vom LAN aus muss man danach ebenfalls darauf zugreifen können, und zwar über FTP TCP20/21. Zudem muss ich auf die Device Webpage der NAS draufkommen und ein Verknüpfung mit dem AD muss auch möglich sein, damit ich die Ablage des FTP-Servers mit globalen Gruppen absichern kann.

Ich habe nun mal auf der Device-Webpage der ZyWall die DMZ eingerichtet (Network -> DMZ -> Registerkarte "DMZ"). Dieser habe ich das Subnetz 192.168.101.0 zugewiesen. Dieses Subnetz gibt es nicht auf meinem DHCP-Server, die IP-Adressen innerhalb der DMZ sind sowieso statisch. Nun soll ich eine Firewall-Rule dazu einrichten.

Bitte keine Links für Usermanuals schicken, die habe ich schon. Ich brauche eine genaue Beschreibung, was ich nun tun soll. Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Habe ich mich deutlich ausgedrückt? Falls nein, bitte sagen. Mir fehlt einfach die praktische Erfahrung mit Firewalls, ich bin zu unsicher, als dass ich einfach abdrücken würde.


Mit Gruss
TuXHunT3R
Mitglied: GuentherH
21.09.2009 um 12:17 Uhr
Hallo.

Mir fehlt einfach die praktische Erfahrung mit Firewalls

Nun, dazu gibt es ja das User Manual. Zudem kannst du auf der Webseite von Zyxel jede Oberfläche der lieferbaren Firewall aufrufen, und testen.

Schau dann auch einmal hier nach - http://www.zyxel.ch/knowledgebase.html - hier findest du jede Menge praktische Beispiele.

Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Dazu ist aber auch im User Manual beschrieben wie man eine Datensicherung anlegt.

LG Günther
Bitte warten ..
Mitglied: aqui
21.09.2009 um 13:34 Uhr
Falls du über eine NAT Firewall musst (wenn die Zywall z.B. IP Adress Translation macht) wie vermutlich in deinem Falle (oder ist es der VDSL Router davor ??), denn du benutzt ja keine öffentlichen IPs in deiner DMZ sondern private nach RFC_1918 dann achte zwingend darauf das du dein remoter FTP Client im passive Mode arbeitet !
Andernfalls kommst du nicht über eine NAT Firewall bzw. Adress Translation Firewall per FTP auf die Linkstation !
Warum das so ist erklärt dir diese Webseite:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html

FTP Clients wie Filezilla oder die embeddeten in den Browsern wie z.B. Firefox (ftp://...) benutzen von sich aus den passive Mode. Das musst du in jedem Falle sicherstellen

Der Rest ist nichts anderes als einfaches Firewall Accesslisten Customizing, das nix anderes durchkommt als FTP. Sollte mit Hilfe des Handbuchs dann ja kein Problem sein...
Bitte warten ..
Mitglied: TuXHunt3R
21.09.2009 um 16:24 Uhr
Danke für die Antworten. Ich bin schon erheblich weitergekommen, habe die DMZ konfiguriert und die Buffalo LinkStation in die DMZ gekriegt (ist noch kein FTP eingerichtet, mache ich, sobald die DMZ richtig läuft).

Ich habe die folgenden Rules definiert:
LAN => DMZ:
Default Rule: Drop,
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

DMZ => LAN:
Default Rule: Drop
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

WAN => DMZ (sprich auf die IP der Buffalo):
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

DMZ (sprich auf die IP der Buffalo) => WAN:
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

Was haltet ihr davon? Ich muss mir noch überlegen, welche Dienste ich vom LAN=> DMZ und umgekehrt wieder aus der separaten Regel rausnehme. Aber sonst bin ich einigermassen zufrieden.
Bitte warten ..
Mitglied: TuXHunt3R
27.09.2009 um 22:06 Uhr
Hab eine Konfiguration hingekriegt, die relativ sicher ist, mit der aber auch die Administrierbarkeit aus dem LAN heraus gewährleistet ist.
Danke für die Antworten.
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
ZyXEL ZyWALL USG20 - DDNS
Frage von devanagerLAN, WAN, Wireless1 Kommentar

Einen wunderschönen guten Morgen Bin auf Ideensuche und erhoffe mir hier ein paar Inputs - sofern ich komplett auf ...

LAN, WAN, Wireless
Zyxel Zywall mit Kabel Deutschland
gelöst Frage von Anulu1LAN, WAN, Wireless6 Kommentare

Hallo zusammen, wir haben einen Kabel Deutschland Anschluß im Haus mit Kabel Modem. Nun würde ich gerne herausfinden ob ...

Firewall
VPN mit Zywall 5 und Android
gelöst Frage von daragusFirewall5 Kommentare

Guten Tag, ich habe mir vor kurzem eine Zywall 5 über eBay zugelegt. Der Hauptsinn davon war, eine DMZ ...

Router & Routing
Kein Internet in der DMZ ZyWALL USG 110
gelöst Frage von letstryandfindoutRouter & Routing18 Kommentare

Hallo zusammen, irgendwie stehe ich auf dem Schlauch und finde nicht meinen Fehler. Ich habe folgende Konfiguartion: 1x USG ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 2 TagenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...

Windows Server
NTFS Berechtigungen Ordnerstruktur
Frage von hukahu23489Windows Server11 Kommentare

Hallo, ich bin seit kurzem in einer neuen IT-Abteilung und bin über das Berechtigungskonzept des Unternehmens sehr schockiert. Ich ...

Exchange Server
NDR umleiten
Frage von isomasterExchange Server10 Kommentare

Hallo Kollege, ich habe ein Problem mit dem Exchange Server. Wir haben unsere info@ Adresse als Verteilergruppe eingebunden (so ...