Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Firewall zwischen zwei privaten Netzen, Routing oder Portforwarding?

Frage Netzwerke Router & Routing

Mitglied: tonabnehmer

tonabnehmer (Level 2) - Jetzt verbinden

20.04.2011 um 17:00 Uhr, 7233 Aufrufe, 3 Kommentare

Hallo,

ich möchte eine Firewall zwischen zwei privaten Netzen (fiktiv: 192.168.1.0/24, 192.168.2.0/24) realisieren. Genauer gesagt zwischen dem internen LAN und der DMZ. Vom LAN aus soll jeder Verkehr in die DMZ erlaubt sein. Von der DMZ aus dürfen nur bestimmte Dienste im LAN erreichbar sein. Klar ist, dass ich entsprechende Firewall Regeln definieren muss, z. B. "erlaube aus der DMZ den Zugriff auf LAN IP xy Port 25". Zusätzlich müssen die beiden Netze entweder die Route in das jeweils andere Netz kennen oder aber ich richte ein Portforwarding ein.

Beispiel Route: Rechner 192.168.2.10 in der DMZ würde seine Mail an den Mailserver 192.168.1.20 im LAN senden

Beispiel Portforwarding: Rechner 192.168.2.10 in der DMZ würde seine Mail an das DMZ Interface 192.168.2.1 der Firewall senden und die Firewall leitet den Port transparent an den Mailserver 192.168.1.20 im LAN weiter

Meine Frage ist also: Setzt man lieber Routen und spricht das Ziel mit seiner richtigen IP an oder macht man besser Portforwarding? Ich glaube das Portforwarding kommt eher aus dem NAT Bereich wenn interne Rechner über eine öffentliche IP des WAN Interface erreichbar sein sollen, richtig?

Danke und Grüße,
tonabnehmer
Mitglied: Crusher79
20.04.2011 um 20:03 Uhr
Hi,

Falsch. NAT ist in dem Fall sehr von nutzen. Da es DMZ Zugriffe ins LAN sehr stark einschränkt. Lies einfach folgenden Anleitung - dann sollte alles klar sein:
http://www.administrator.de/Kopplung_von_2_Routern_am_DSL_Port.html
http://www.administrator.de/Routing_mit_2_Netzwerkkarten_unter_Windows_ ...

Damit wird die Sache rund.

Mit freundlichen Grüßen Crusher
Bitte warten ..
Mitglied: dog
20.04.2011 um 20:39 Uhr
NAT ist quark.
NAT ist ein technischer Hack, der als Notlösung gedacht war, damit DSL funktioniert (das in IPv6 rausgefallen ist und sich alle Hersteller weigern zu implementieren).
NAT mit Sicherheit zu assoziieren wäre genauso Quark.
In modernen Firewalls läuft NAT über die selbe Connection Table wie regulärer Traffic (da ohne Connection Tracking aka SPI gar kein NAT möglich wäre). Der einzige messbare Effekt wäre also eine Mehrlast auf dem Router.
Zudem erfordert jede echte Firwall Regeln für DNAT und für den Firewall-Traffic, weshalb man sich nur doppelte Arbeit macht.

Und NAT würde auch die Nachvollziehbarkeit reduzieren.
Wenn du einen Rechner im LAN mit Virus hast der euren Mailserver in der DMZ attakiert hast du bei NAT keine leichte Möglichkeit zu sehen, um welchen Rechner es sich handelt.
Bitte warten ..
Mitglied: tonabnehmer
22.04.2011 um 10:33 Uhr
@Crusher79

In der ersten verlinkten Anleitung findet sich unter Alternative 2 mein aktuelles Netz. Dort steht folgendes: "Erst alternative Firmwareimages wie z.B. dd-wrt.de oder OpenWRT für den Linksys WRT54G z.B. und auch einige Router wie Getnet GR-154, Asus RX3041, Level One FBR1418, Mikrotik RB750 u.a. und freie FW Lösungen wie Pfsense erlauben auch ein transparentes Routing ohne NAT Funktion. Das Abschalten der NAT Firewall auf dem WAN/DSL Interface wird aber nur von einer Minderheit der Systeme am Markt supported das sollte man immer beachten VOR dem Kauf eines Routers !"

Ich sehe NAT eher als eine nützlich Hilfsfunktion.

@dog

Danke für die Hinweise bzgl. Mehrlast und Maskierung.
Bitte warten ..
Neuester Wissensbeitrag
Microsoft

Lizenzwiederverkauf und seine Tücken

(5)

Erfahrungsbericht von DerWoWusste zum Thema Microsoft ...

Ähnliche Inhalte
Router & Routing
gelöst Routing zwischen zwei Netzen (31)

Frage von Xaero1982 zum Thema Router & Routing ...

LAN, WAN, Wireless
gelöst VLAN Routing - L3 oder Firewall? (17)

Frage von pataya zum Thema LAN, WAN, Wireless ...

Router & Routing
gelöst Routing - Netzwerk Problem - zwischen Filiale und Zentrale (12)

Frage von clonex zum Thema Router & Routing ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
FritzBox, zwei Server, verschiedene Netze (18)

Frage von DavidGl zum Thema LAN, WAN, Wireless ...

Windows Netzwerk
Windows 10 RDP geht nicht (16)

Frage von Fiasko zum Thema Windows Netzwerk ...

Windows Server
Outlook Verbindungsversuch mit Exchange (15)

Frage von xbast1x zum Thema Windows Server ...