Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

IP Bereich für DMZ

Frage Netzwerke Netzwerkgrundlagen

Mitglied: kleinemeise

kleinemeise (Level 1) - Jetzt verbinden

23.01.2009, aktualisiert 11:16 Uhr, 4178 Aufrufe, 4 Kommentare

Rechner in DMZ sollen sich gegenseitig nicht sehen

Hallo Leute,

ich würde gern mal von euch paar Ratschläge haben.

Folgendes: Ich bin gerade dabei unsere Firewall um eine zusätzliche DMZ zu erweitern.
Routing usw funktioniert auch.

Da wir in unser DMZ auch Server stehen haben, auf die von Aussen zugegriffen werden kann, würde ich gern verhindern, dass man von einen Rechner in der DMZ auf einen anderen Rechner in der DMZ zugreifen kann.

Wäre es also möglich, auf den Server die Netzwerkmaske so einzugrenzen, dass sie sowieso nur sich selbst sehen. Wollen Sie dann auf einen anderen Rechner in der DMZ zugreifen, müssen Sie über das Gateway (welches die Firewall ist und ich dort die Zugriffe steuern kann).

Beispiel:

Die DMZ hat den gesamten Adressbereich von
01.
10.10.0.0 
02.
255.255.0.0
Ein Rechner, der in dieser Zone alleine sein soll würde ich dann z.B
01.
10.10.10.23 
02.
255.255.255.255
geben.

Funktioniert das so, wie ich mir das vorstelle?
Mitglied: AndreasHoster
23.01.2009 um 11:26 Uhr
Jein.
Das Default-Gateway muß immer im gleichen Netz sein, d.h. die Netmask muß so gewählt sein, daß mindestens 2 Rechner reinpassen: Der Rechner selber und das Default Gateway (also die Firewall Schnittstelle).
Und wenn Du in die DMZ nur eine IP der Firewall hast, müssen alle Rechner der DMZ im selben Subnetz sein.
Wenn Du mehrere IP-Adressen aus verschiedenen Subnetzen an die Netzwerkkarte bindest, geht Deine prinzipielle Idee.

Außerdem sind die Rechner, wenn sie im selben physischen Ethernet sind, durchaus in der Lage miteinander zu kommunizieren. Mittels statischen ARP Einträgen etc. kann ich da von einem Rechner zum anderen kommen, TCP/IP Einstellungen zum Trotz. Wenns sicher sein soll, VLANs verwenden, dann sorgt der Switch dafür, daß die Pakete nicht zu anderen Rechnern kommt.
Bitte warten ..
Mitglied: aqui
23.01.2009 um 11:47 Uhr
Am besten noch ein sog. Private VLAN am Switch verwenden, dann können Endgeräte in einem VLAN NUR über den Uplink kommunizieren nicht mehr untereinander.
Falls du einen dummen Switch hast und der das nicht supportet, dann nimmst du MAC Access Listen auf dem Switch die den Zugang zu den anderen Servern sicher blockieren !
Diese Lösung ist erheblich einfacher als die Frickelei mit den IPs die letztlich niemals funktioniert, da du so inkonsitente Subnetzmasken im DMZ IP Segment bekommst und damit deine Sicherheitsprobleme noch größer werden !!!
Bitte warten ..
Mitglied: kleinemeise
23.01.2009 um 13:09 Uhr
erschwerdend kommt aber hinzu, dass es sich bei den Servern teilweise um virtuelle Maschinen handelt. Wobei es vorkommen kann, dass eine vm zugang haben soll, die andere nicht.
Bitte warten ..
Mitglied: aqui
23.01.2009 um 13:21 Uhr
Wieso erschwerend ??? Die MAC Adressen der Geräte und natürlich auch der VMs sind immer einzigartig so das ein Filtern auch da wirkt sofern du den Bridging Modus ausführst bei VM ??

Innerhalb der VM geht das natürlich niemals..klar ! Da kannst du das nur über die lokalen Firewalls machen...
Bitte warten ..
Ähnliche Inhalte
LAN, WAN, Wireless
IP Adressen-Bereich
Frage von cesc0211LAN, WAN, Wireless44 Kommentare

Hallo, brauche da eure Hilfe oder bzw.eure meinung. und zwar in unsere Firma sind zwei Standorte. Die Verbindung zwischen ...

Monitoring
PRTG Monitoring IP-Bereich
gelöst Frage von supertuxMonitoring7 Kommentare

Hallo, ich habe mir PRTG Monitor installiert, soweit läuft über die Domain-Anmeldung auch alles und die Daten sind auch ...

Windows Server
IP Adresse aus ausgeschlossenem Bereich
gelöst Frage von almeraWindows Server3 Kommentare

Hi, ich habe hier ein Class B Netz mit dem Bereich von 172.16.0.0 bis 172.16.254.254 auf einem 2008 R2. ...

Switche und Hubs
Netzwerk-Erweiterung mit 2.IP-Bereich und IP-Bereich für VOIP mit HP2530-Stack
gelöst Frage von Quincy25Switche und Hubs2 Kommentare

Hallo Zusammen, wir haben in unserem Netzwerk folgende Konstellation: Netzwerk-Bereich-1: 10.125.149.0/24 Netzwerk-Bereich-2: 10.125.176.0/24 Netzwerk-Bereich VOIP: 10.125.177.0/24 und einen HP-Stack mit 7 Switches ...

Neue Wissensbeiträge
Viren und Trojaner

Deaktivierter Keylogger in HP Notebooks entdeckt

Information von bitcoin vor 16 StundenViren und Trojaner1 Kommentar

Ein Grund mehr warum man Vorinstallationen der Hersteller immer blank bügeln sollte Der deaktivierte Keylogger findet sich im vorinstallierten ...

Router & Routing

Lets Encrypt kommt auf die FritzBox

Information von bitcoin vor 19 StundenRouter & Routing

In der neuesten Labor-Version der FB7490 integriert AVM unter anderem einen Let's Encrypt Client für Zugriffe auf das Webinterface ...

Internet

Was nützt HTTPS, wenn es auch von Phishing Web-Seiten genutzt wird

Information von Penny.Cilin vor 3 TagenInternet17 Kommentare

HTTPS richtig einschätzen Ob man eine Webseite via HTTPS aufruft, zeigt ein Schloss neben der Adresse im Webbrowser an. ...

Webbrowser

Bugfix für Firefox Quantum released - Installation erfolgt teilweise nicht automatisch!

Erfahrungsbericht von Volchy vor 4 TagenWebbrowser8 Kommentare

Hallo zusammen, gem. dem Artike von heise online wurde mit VersionFirefox 57.0.1 sicherheitsrelevante Bugs behoben. Entgegen der aktuellen Veröffentlichung ...

Heiß diskutierte Inhalte
Batch & Shell
Trusted Sites für alle User auf dem PC einpflegen
Frage von xXTaKuZaXxBatch & Shell12 Kommentare

Aufgabestellung: Es sollen auf 1 PC (bzw. mehreren PCs) vertrauenswürdige Sites per Powershell eingetragen werden, die für alle User ...

Voice over IP
Telefonstörung - Ortsrufnummern kein Verbindungsaufbau
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, sowohl bei uns als auch beim Opa ist es über VoIP nicht möglich Ortsrufnummern anzurufen. Es kommt nach ...

Vmware
DOS 6.22 in VMWare mit CD-ROM
gelöst Frage von hesperVmware10 Kommentare

Hallo zusammen! Ich hab ein saublödes Problem. Es ist eine VMWare mit DOS 6.22 zu erstellen auf dem ein ...

Cloud-Dienste
PIM als SaaS Nutzungsgebühr
Frage von vanTastCloud-Dienste8 Kommentare

Moin, wir haben uns ein PIM (Product Information Management) nach unseren Ansprüchen für viel Geld als SaaS-Lösung bauen lassen. ...