istike2
Goto Top

DMZ für kleines LAN

Hallo,

da ich wegen OpenVPN einen zweiten Router (Asus RT-N16 mit DD-WRT) gekauft habe, würde ich den Alten Netgear ProSafe (mit eigenem Firmware) für DMZ benutzen.

mein Netzwerk sieht also so aus

INET--> Modem --> OpenVPN-Router (10.1.1.0) --> LAN (192.168.0.1.)
--> DMZ (10.2.1.0)

Was befindet sich im LAN: 2 x Synology NAS (Datenbackup und Mailserver) bzw. 4 PCs (nur als Workgroup)

Rein theoretisch müsste die Maildienst in DMZ und die zu schützenden Daten bzw. E-Mails im LAN stehen.

Da die Mailserver-GUI der Synology diese Trennung nicht anbietet wäre es rein technisch nur möglich eine NAS nur als Mailserver bzw. als Backup-Speicher der Benutzerdaten im DMZ zu benutzen. Die Benutzerdaten selbst würden sich also auf dem NAS (im LAN) befinden. Die Syncronisierung der Daten auf den Backup-NAS wäre nur in eine Richtung möglich. (ist es ein ausreichender Schutz???)

Ports:

aus dem LAN ins Internet wären alle Ports offen.
aus dem Internet wären also nur Ports 1194 (--> LAN) bzw. die für den Mailserver notwendigen (25, 143, 993, 995 usw --> DMZ) offen.
aus dem DMZ ins LAN wäre kein Port offen.

Was meint ihr? Ergibt es so Sinn? Welche Netzstruktur wäre hier die beste wenn ich mehr Geld nicht ausgeben möchte?

Danke für die Hilfe.

Gr. I.

Content-Key: 174796

Url: https://administrator.de/contentid/174796

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: aqui
aqui 18.10.2011, aktualisiert am 18.10.2012 um 18:48:48 Uhr
Goto Top
Das ist keine wirkliche DMZ...nichtmal ne halbe. Du musst alle Daten der "DMZ" über dein LAN schleifen. Eine wirkliche Trennung wie in eier DMZ findet also nicht statt. Das ist erher fromme Bastelei zur Gewissenberuhigung..mehr nicht !
Für eine wirkliche DMZ benötigst du besser ein 3tes Interface:
Asus RT-N16 Ergibt pfSense neben DD-WRT Sinn?
Mitglied: istike2
istike2 18.10.2011 um 10:33:01 Uhr
Goto Top
Danke Aqui,

ich habe mir dieses Gerät angeschaut:

http://shop.varia-store.com/product_info.php?info=p886_pfSense-ready-sy ...

Scheint OK zu sein.

Ist sonst meine Konzeption für DMZ richtig?:

- NAS für Mailserver und Datenbackup in DMZ und
- NAS für den primären Datenspeicher ins LAN.

Datenbackup brauche ich leider, weil beide NAS ziemlich klein sind, nur mit einer Platte. Das Risiko, was dadurch ensteht, dass Backup-Daten im DMZ sind, nehme ich in Kauf.

Gr. I.
Mitglied: aqui
aqui 18.10.2011 um 11:37:12 Uhr
Goto Top
Soviel Geld musst du gar nicht ausgeben. Wenn du nicht gerade 2 linke Hände hast und mit einem Schraubendreher umgehen kannst dann ist dieses allemal ausreichend:
http://shop.varia-store.com/product_info.php?products_id=1224

Na ja den Datenbackup in eine DMZ auszulagern ist nicht gerade das gelbe vom Ei aus Sicherheitsgründen. Aber wenn du das Risiko tragen kannst ist das ein gangbarer Weg. Viel andere sinnvolle Alternativen gibt es auch nicht !
Funktionieren tut so ein Konzept natürlich auch.
Mitglied: istike2
istike2 18.10.2011 um 15:15:18 Uhr
Goto Top
Ok. Danke sehr.

Habe den Alix-Board bei Amazon bestellt. face-smile

Gr. I.