Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall zwischen zwei privaten Netzen, Routing oder Portforwarding?

Frage Netzwerke Router & Routing

Mitglied: tonabnehmer

tonabnehmer (Level 2) - Jetzt verbinden

20.04.2011 um 17:00 Uhr, 7276 Aufrufe, 3 Kommentare

Hallo,

ich möchte eine Firewall zwischen zwei privaten Netzen (fiktiv: 192.168.1.0/24, 192.168.2.0/24) realisieren. Genauer gesagt zwischen dem internen LAN und der DMZ. Vom LAN aus soll jeder Verkehr in die DMZ erlaubt sein. Von der DMZ aus dürfen nur bestimmte Dienste im LAN erreichbar sein. Klar ist, dass ich entsprechende Firewall Regeln definieren muss, z. B. "erlaube aus der DMZ den Zugriff auf LAN IP xy Port 25". Zusätzlich müssen die beiden Netze entweder die Route in das jeweils andere Netz kennen oder aber ich richte ein Portforwarding ein.

Beispiel Route: Rechner 192.168.2.10 in der DMZ würde seine Mail an den Mailserver 192.168.1.20 im LAN senden

Beispiel Portforwarding: Rechner 192.168.2.10 in der DMZ würde seine Mail an das DMZ Interface 192.168.2.1 der Firewall senden und die Firewall leitet den Port transparent an den Mailserver 192.168.1.20 im LAN weiter

Meine Frage ist also: Setzt man lieber Routen und spricht das Ziel mit seiner richtigen IP an oder macht man besser Portforwarding? Ich glaube das Portforwarding kommt eher aus dem NAT Bereich wenn interne Rechner über eine öffentliche IP des WAN Interface erreichbar sein sollen, richtig?

Danke und Grüße,
tonabnehmer
Mitglied: Crusher79
20.04.2011 um 20:03 Uhr
Hi,

Falsch. NAT ist in dem Fall sehr von nutzen. Da es DMZ Zugriffe ins LAN sehr stark einschränkt. Lies einfach folgenden Anleitung - dann sollte alles klar sein:
http://www.administrator.de/Kopplung_von_2_Routern_am_DSL_Port.html
http://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...

Damit wird die Sache rund.

mfg Crusher
Bitte warten ..
Mitglied: dog
20.04.2011 um 20:39 Uhr
NAT ist quark.
NAT ist ein technischer Hack, der als Notlösung gedacht war, damit DSL funktioniert (das in IPv6 rausgefallen ist und sich alle Hersteller weigern zu implementieren).
NAT mit Sicherheit zu assoziieren wäre genauso Quark.
In modernen Firewalls läuft NAT über die selbe Connection Table wie regulärer Traffic (da ohne Connection Tracking aka SPI gar kein NAT möglich wäre). Der einzige messbare Effekt wäre also eine Mehrlast auf dem Router.
Zudem erfordert jede echte Firwall Regeln für DNAT und für den Firewall-Traffic, weshalb man sich nur doppelte Arbeit macht.

Und NAT würde auch die Nachvollziehbarkeit reduzieren.
Wenn du einen Rechner im LAN mit Virus hast der euren Mailserver in der DMZ attakiert hast du bei NAT keine leichte Möglichkeit zu sehen, um welchen Rechner es sich handelt.
Bitte warten ..
Mitglied: tonabnehmer
22.04.2011 um 10:33 Uhr
@Crusher79

In der ersten verlinkten Anleitung findet sich unter Alternative 2 mein aktuelles Netz. Dort steht folgendes: "Erst alternative Firmwareimages wie z.B. dd-wrt.de oder OpenWRT für den Linksys WRT54G z.B. und auch einige Router wie Getnet GR-154, Asus RX3041, Level One FBR1418, Mikrotik RB750 u.a. und freie FW Lösungen wie Pfsense erlauben auch ein transparentes Routing ohne NAT Funktion. Das Abschalten der NAT Firewall auf dem WAN/DSL Interface wird aber nur von einer Minderheit der Systeme am Markt supported das sollte man immer beachten VOR dem Kauf eines Routers !"

Ich sehe NAT eher als eine nützlich Hilfsfunktion.

@dog

Danke für die Hinweise bzgl. Mehrlast und Maskierung.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

LAN, WAN, Wireless
IP im privaten Netz nicht erreichbar (14)

Frage von guntis zum Thema LAN, WAN, Wireless ...

Firewall
gelöst Private Firewall mit Contentfilter und AntiVirus (24)

Frage von 133241 zum Thema Firewall ...

Router & Routing
gelöst Routing VLAN mit Sophos UTM Firewall (8)

Frage von oce zum Thema Router & Routing ...

Neue Wissensbeiträge
Windows Server

Umstellung SHA 1 auf SHA 2 - Migration der CA von CSP auf KSP

Tipp von Badger zum Thema Windows Server ...

Windows 10

Quato DTP94 unter Windows 10 x64 installieren und verwenden

Anleitung von anteNope zum Thema Windows 10 ...

Windows 10

Win10 1703 und Nutzerkennwörter bei Ersteinrichtung - erstaunliche Erkenntnis

(15)

Erfahrungsbericht von DerWoWusste zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
CNC Maschinen verlieren Netzwerkverbindung (kurioser Fehler) (22)

Frage von NoHopeNoFear zum Thema LAN, WAN, Wireless ...

Drucker und Scanner
Erfahrungen mit Enterprise-Tintenstrahldruckern A4 und A3 (14)

Frage von User1000 zum Thema Drucker und Scanner ...

Webentwicklung
Aktuellen Mitarbeiter auf Homepage anzeigen (13)

Frage von alemanne21 zum Thema Webentwicklung ...