2 Netze an einem Server .. WAN und LAN - dickes Problem

Deine Angaben dazu sind etwas ungenau!
Am einfachsten wär ne kleine Skizze dazu

Dann kannst du die Sache gleich vergessen und alles an einen Switch hängen!

Alle Netzwerkkarten und Clients müssen wissen, wie Sie dasNächste Ziel erreichen können.
laut Deiner Darstellung soll es wohl so sein, das alle Clients über den Server (LAN-Verbindung) Ins Internet gehen sollen.

Also bedeutet das, die CLIENT IP's sind
z.B. 192.168.2.XX|255.255.255.0

DIE Server LAN Karte muss im selben Bereich liegen: 192.168.2.XX|255.255.255.0

Alle Clients haben dann als default gateway die LANIP des Servers eingetragen.

start->ausführen cmd<-|
route print

Sollte das eigene LAN und den Server als GW eingetragen haben und zwar für alle Adressen (0.0.0.0|0.0.0.0)

Next Step wäre dem Server zu sagen, dass er als default GW den router verwenden soll.
FERTIG.

Durch die LAN KArte und die SUbnetmask 255.255.255.0 Kann er ja schon alle Rechner erreichen, die in diesem Netzsegment liegen. Daher geht auch der Ping zurück.

Verstanden ?

Die Kür wird aber, entweder NAT auf dem Server zu aktivieren, bzw. dem Router mitzuteilen wie die Route ins 2er Netz erfolgen soll UND das NAT fürs 2er Netz zu aktivieren.

mfg Ekki

Hi.

Da gibt es unterschiedliche Lösungsszenarien.

Zum einen: der default gateway Eintrag auf der LAN-Seite muss definitiv raus.
Zweitens: der DNS-Servereintrag auf der LAN-Seite funktioniert nur, wenn auf dem Server eine DNS-Service läuft und konfiguriert ist.

Und jetzt das wesentliche:

Um die Clients auf der LAN-Seite verbinden zu können, muß auf dem Server entweder die Internet-Verbindungsfreigabe oder der RAS-Service konfiguriert werden. Per Default routet ein Windows 2003-Server aus Sicherheitsgründen nicht. Die RAS-Servervariante hätte den Vorteil, das man die Verbindungen zumindest marginal per Firewall-Regeln absichern kann.

Bevor man entweder das eine oder das andere tut, sollte man sich aber überlegen, ob man für die Internet-Verbindung nicht besser eine Firewall einsetzt und den Server dann auf der LAN-Seite belässt. Einen Windows-Server direkt ans Internet zu hängen, halte ich für sehr mutig, um es vorsichtig auszudrücken. Empfehlen würde ich das grundsätzlich nicht.

Gruss

Gerd Schelbert

Eine andere Möglichkeit wäre die Installation eines Internet-Proxys auf dem Server.

Its all on the web !
Hier steht genau wie es geht :


Die Routing Variante ist in jedem Falle vorzuziehen !Es ist zwar genau das umgedrehte Szenario aber das Printip ist ein und dasselbe !
Der Server hängt ja nicht am Internet ! Da ist ja der Router dazwischen und da ist eine Firewall drauf..... (hoffentlich)

Hallo, aqui.

Der Link ist leider defekt.

Nicht ganz konform gehe ich mit der Einschätzung, das, wenn auf dem Router eine Firewallfunktion implementiert ist, alles schon o.k. wäre.

Vorzuziehen ist eine Konstellation, bei der hinter dem Billigrouter (und einer dem Preis angemessenen "Billig"-Firewallfunktion) eine echte Firewall installiert wird (und wenns der Microsoft ISA-Server ab 2004 ist). Dahinter befinden sich das das "interne" LAN-Segment mit den Clients und dem Server.

Also, Reihenfolge: ISP-Router <--> Firewall <--> internes LAN

Bei dem ISA-Server als Firewall können die internen Clients diesen auch gleichzeitig als Web-Proxy benutzen und der Server wird nicht in jede Client-Internetverbindung mit einbezogen.

Die Firewallfunktionen der Billigrouter bestehen in der Regel aus sogenannten NAT-Filtern, welche vom Regelsatz in den meissten Fällen Incoming jeden Verbindungsaufbau blocken und Outgoing alles erlauben. Das Ganze hat mit Sicherheit nichts zu tun.

Und den Server als NAT-Device oder Router für die Clients zu nutzen heisst, dass der Server alle Client-Verbindungen ins Internet forwarded und bei allem at risc ist. Das ist definitiv keine Aufgabe für einen Server, allenfalls für eine Firewall.

Ein Einbruch auf dem Server bedeutet eindeutig den Verlust der Vertrauenswürdigkeit der Gesamtinstallation, da dort die internen Konteninformationen liegen. Einen grösseren Gefallen kann man Angreifern nicht tun.

Gruss

Gerd Schelbert

Na das ist doch toll. Besser als jede andere Idee hier und auch so kostengünstig, weils ja schon da ist .

Wenn Du es so lassen kannst, dann lass es doch so. Warum muss etwas geändert werden ?

Ooops bei mir funktioniert er problemlos. Du kommst da auch "zu Fuss" hin. Hier im Forum folgenden Weg klicken:
Netzwerke -> Lan,WAN Wireless -> Wireless LAN
Dort im Tutorial Bereich findest du das Tutorial. Eigentlich sollte ein Klick auf den URL dich direkt dorthin bringen. Die vermeintlichen Blanks sind Underlines....

Mit der Firewallfunktion hast du Recht wenn man sie mit dedizierten Firewalls vergleicht. Bei einem korrekt konfiguriertem guten Consumer Router sind aber die Hürden dennoch sehr hoch diesen über den NAT Filter zu überwinden zumal etwas gehobene Produkte schon auch einen Firewall Packet Filter haben. Mir sind keine Fälle bekannt wo das gelungen ist von der Maßnahme mal abgesehen die Passwortsperre zu überwinden. Aber auch hier kann man bei guten Produkten jeglichen direkten Zugang über das WAN Interface unterbinden einschliesslich ICMP., das richtige Produkt vorausgesetzt.
Mit einer richtigen Stateful Firewall ist das aber nicht zu vergleichen da hast du zweifelsfrei Recht.

Hallo.

Nur um das abzuschliessen:

Nichts gegen die "Security" eines NAT-Routers, aber die ist im Betrieb nicht viel Wert. Solange alle Clients sowie der Server ungehindert nach aussen kommunizieren können, wird jeder Wurm und jeder Trojaner nach Hause telefonieren können. Und das unabhängig davon, wie man sich den zugezogen hat. Das gleiche gilt für jede Malware, die man sich von verseuchten Webseiten beim Browsen einfängt. Ohne vernünftige Firewall ist eine solche Anbindung im Firmenbereich grob fahrlässig. Das hat nichts mehr mit Spass zu tun.

Wenn eine kommerzielle Firewall zu kostenintensiv ist, versuchts mal mit Opensource-Produkten wie z.B. m0n0wall oder IPCop. Gerade letzterer braucht lediglich eine abgetakelten PC mit 2-3 Interfaces, eine Boot-CD (kostenlos im Internet) und ein wenig Einarbeitungszeit. Wenns ein bisschen was kosten darf für den kommerziellen Einsatz vielleicht eine Astaro Firewall, die gibts als OpenSource basierendes Produkt mit Support für kleines Geld.

Aber, wie gesagt:
Clients oder sogar Server ohne adäquaten Schutz direkt ans Internet gibt im Schadensfall richtig Ärger. Das sollte man noch nicht mal im privaten Bereich tun, im kommerziellen Bereich ist es ein absolutes No-No.

Gruss

Gerd Schelbert

Nicht das du da einem Irrtum aufliegst. "Normale" Firewalls können aber auch nicht den Content in Datenpacketen analysieren, so das sie auch nicht merken würden wenn Würmer oder Trojaner "nach Hause" telefonieren. Schon gar nicht wenn sie dafür Standard Ports wie TCP 80, 443, 20, 21 usw. benutzen die auch auf Firewall freigegeben sind.
Wenn sie dedizierte Ports dafür nutzen kann sogar z.B. ein Linksys WRT mit dd-wrt Software und Packetfilter sowas filtern.
m0n0wall und IPCop machen das auch nicht allein nur im Zusammenspiel mit einer Scanner (z:B. Clam AV Redirector) Software oder Appliances wie DansGuardian.
Das wäre dann insgesamt eine Security Appliance und nicht nur eine nackte Firewall......aber es soll ja nicht in Wortklauberei ausarten hier, denn das ist sicher das was du meinst und in der Tat leistungsstärker als ein einfaches Filter auf einem Consumer System.
Ein sehr gutes Filter- und Scanbeispiel inkl. Installation mit einem transparenten Proxy war im Linux Magazin 10/06 ab Seite 66 genau beschrieben.
Das o.a. NetGear Teil kann sowas ebenfalls nicht. Das kann lediglich eine stateful Inspection auf Layer 4 und etwas URL Filterung inkl. VPN Server. Content Analyse in Packeten ist mit so einem schmalbrüstigen Consumer Teil nicht drin.