Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall zwischen zwei privaten Netzen, Routing oder Portforwarding?

Frage Netzwerke Router & Routing

Mitglied: tonabnehmer

tonabnehmer (Level 2) - Jetzt verbinden

20.04.2011 um 17:00 Uhr, 7283 Aufrufe, 3 Kommentare

Hallo,

ich möchte eine Firewall zwischen zwei privaten Netzen (fiktiv: 192.168.1.0/24, 192.168.2.0/24) realisieren. Genauer gesagt zwischen dem internen LAN und der DMZ. Vom LAN aus soll jeder Verkehr in die DMZ erlaubt sein. Von der DMZ aus dürfen nur bestimmte Dienste im LAN erreichbar sein. Klar ist, dass ich entsprechende Firewall Regeln definieren muss, z. B. "erlaube aus der DMZ den Zugriff auf LAN IP xy Port 25". Zusätzlich müssen die beiden Netze entweder die Route in das jeweils andere Netz kennen oder aber ich richte ein Portforwarding ein.

Beispiel Route: Rechner 192.168.2.10 in der DMZ würde seine Mail an den Mailserver 192.168.1.20 im LAN senden

Beispiel Portforwarding: Rechner 192.168.2.10 in der DMZ würde seine Mail an das DMZ Interface 192.168.2.1 der Firewall senden und die Firewall leitet den Port transparent an den Mailserver 192.168.1.20 im LAN weiter

Meine Frage ist also: Setzt man lieber Routen und spricht das Ziel mit seiner richtigen IP an oder macht man besser Portforwarding? Ich glaube das Portforwarding kommt eher aus dem NAT Bereich wenn interne Rechner über eine öffentliche IP des WAN Interface erreichbar sein sollen, richtig?

Danke und Grüße,
tonabnehmer
Mitglied: Crusher79
20.04.2011 um 20:03 Uhr
Hi,

Falsch. NAT ist in dem Fall sehr von nutzen. Da es DMZ Zugriffe ins LAN sehr stark einschränkt. Lies einfach folgenden Anleitung - dann sollte alles klar sein:
http://www.administrator.de/Kopplung_von_2_Routern_am_DSL_Port.html
http://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...

Damit wird die Sache rund.

mfg Crusher
Bitte warten ..
Mitglied: dog
20.04.2011 um 20:39 Uhr
NAT ist quark.
NAT ist ein technischer Hack, der als Notlösung gedacht war, damit DSL funktioniert (das in IPv6 rausgefallen ist und sich alle Hersteller weigern zu implementieren).
NAT mit Sicherheit zu assoziieren wäre genauso Quark.
In modernen Firewalls läuft NAT über die selbe Connection Table wie regulärer Traffic (da ohne Connection Tracking aka SPI gar kein NAT möglich wäre). Der einzige messbare Effekt wäre also eine Mehrlast auf dem Router.
Zudem erfordert jede echte Firwall Regeln für DNAT und für den Firewall-Traffic, weshalb man sich nur doppelte Arbeit macht.

Und NAT würde auch die Nachvollziehbarkeit reduzieren.
Wenn du einen Rechner im LAN mit Virus hast der euren Mailserver in der DMZ attakiert hast du bei NAT keine leichte Möglichkeit zu sehen, um welchen Rechner es sich handelt.
Bitte warten ..
Mitglied: tonabnehmer
22.04.2011 um 10:33 Uhr
@Crusher79

In der ersten verlinkten Anleitung findet sich unter Alternative 2 mein aktuelles Netz. Dort steht folgendes: "Erst alternative Firmwareimages wie z.B. dd-wrt.de oder OpenWRT für den Linksys WRT54G z.B. und auch einige Router wie Getnet GR-154, Asus RX3041, Level One FBR1418, Mikrotik RB750 u.a. und freie FW Lösungen wie Pfsense erlauben auch ein transparentes Routing ohne NAT Funktion. Das Abschalten der NAT Firewall auf dem WAN/DSL Interface wird aber nur von einer Minderheit der Systeme am Markt supported das sollte man immer beachten VOR dem Kauf eines Routers !"

Ich sehe NAT eher als eine nützlich Hilfsfunktion.

@dog

Danke für die Hinweise bzgl. Mehrlast und Maskierung.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Private Firewall mit Contentfilter und AntiVirus (24)

Frage von 133241 zum Thema Firewall ...

Router & Routing
gelöst Routing und RAS VPN in einem anderen Netz nutzen (5)

Frage von zeroblue2005 zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Installation

Unorthodoxer Weg, um an einen Offline-Installer für Adobe Flash zu kommen

(8)

Tipp von beidermachtvongreyscull zum Thema Windows Installation ...

Datenschutz

Gefährdeter Datenschutz: Firefox löscht lokale Datenbanken nicht

Information von BassFishFox zum Thema Datenschutz ...

Firewall

PfSense OpenVPN beschleunigen

Tipp von Dobby zum Thema Firewall ...

Utilities

CCleaner 5.33 mit Malware infiziert

(27)

Information von SeaStorm zum Thema Utilities ...

Heiß diskutierte Inhalte
Utilities
CCleaner 5.33 mit Malware infiziert (27)

Information von SeaStorm zum Thema Utilities ...

Festplatten, SSD, Raid
gelöst Problem mit DELL 815R Server und Windows Bluescreen (24)

Frage von Leo-le zum Thema Festplatten, SSD, Raid ...

Windows Systemdateien
Windows bootet nicht mehr Fehlermeldung 0xc0000098 (18)

Frage von franzgoerlich zum Thema Windows Systemdateien ...

Windows Netzwerk
Dateien mit Intelligenz per GPO ins Programmverzeichnis (14)

Frage von erwin.t zum Thema Windows Netzwerk ...