Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Frage Netzwerke

NAT oder Bridge

Mitglied: chris1381

chris1381 (Level 1) - Jetzt verbinden

09.12.2010 um 15:46 Uhr, 4487 Aufrufe, 5 Kommentare

Trotz meiner langen Recherche konnte ich zu dieser "trivialen" Frage keine Antwort finden, also entschultige ich mich im Vorfeld falls es dazu schon massig Beiträge geben sollte.

Für ein Firmennetzwerk wurden mir von dem Provider 16 IPs zur Verfügung gestellt. Einerseits haben so die Mitarbeiter Zugang zum Internet (unwichtig in diesem Beispiel), anderseits benötige ich die IPs für die öffentlichen Server.

Server 1 |
Server 2 | --------- Firewall (Debian) ------------ Modem (16 IPs)
Server 3 | |
.... internes Netzwerk

Die Firewall soll die Server vor unbefugten SSH zugriff etc. schützen. Wie wird die Firewall konfiguriert? Verwendet man in diesem Fall eine Bridge, oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?
Im Fall von 1:1 NAT gibt es die möglichkeit dies statisch zu Routen oder verwende ich in diesem Fall DNAT?

Vielleicht ist mein Denkansatz auch komplett durch den Wind und es wird in der Praxis anders gelöst, und würde mich über weitere Lösungsansätze freuen.

Vielen Dank im Voraus
Mitglied: dog
09.12.2010 um 20:27 Uhr
oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?

Warum willst du NAT benutzen, wenn du schon öffentliche IPs hast?
NAT ist eine Krücke und wird dir hier so schöne Probleme wie Hairpin-NAT bescheren.

Verwendet man in diesem Fall eine Bridge

Nein, man verwendet Routing mit der Firewall.
Bitte warten ..
Mitglied: chris1381
09.12.2010 um 22:32 Uhr
Ich hätte NAT benützt, da ich mir nicht sicher bin, welche IP Adressen die 2 Netzwerkkarten der Firewall bekommen (bei einer Bridge würden sie wegfallen).
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).
Demnach sieht mein Schema folgendermaßen aus:

Server 1 (x.x.x.51/28) |
Server 2 (x.x.x.52/28) | --------- (x.x.x.50/28 ?!?) Firewall (x.x.x.50/28) ------------ (x.x.x.49/28) Modem (16 IPs)
...
Server 3 (x.x.x.62/28) |

Bedeutet dies, dass ich zwei identische IP Adressen vergebe?
Und wie würde in diesem Fall geroutet werden?

Falls dieses Szenario irgendwo beschrieben ist wäre ich für einen Link dankbar. Dazu müsste es ja tausende Beiträge geben aber irgendwie lande ich dann entweder bei privaten Netzen oder bridging etc.
Bitte warten ..
Mitglied: dog
10.12.2010 um 00:14 Uhr
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).

Unwahrscheinlich, denn eurem Provider kann es völlig egal sein, was ihr mit der Network-ID und der Broadcast-Adresse macht, der leitet das erstmal nur weiter.
Ich benutze die auch beide bei unserem /28er.

(x.x.x.49/240) Modem (16 IPs)

mit 240 verschwendest du hier unnötig IP-Adressen.
Du hast dort zwei Möglichkeiten:
a) Da es ein Transfer-Netz ist benutzt du einfach beliebige private IPs und definierst eine Master-IP für die Kommunikation
b) Du benutzt /32er IPs und den selben technischen Trick wie bei DSL, so dass du nur zwei IPs brauchst.

(x.x.x.50/240 ?!?)

Auf der Seite könntest du jetzt ein richtiges Subnetz mit der Maske /28 benutzen (durch die Regeln für Routing funktioniert der Rest trotzdem), oder - wenn die Server nicht miteinander kommunizieren müssen - machst du genau den selben Trick mit den /32ern, was aber Änderungen an der Routing-Tabelle bei den Servern erfordert und somit nicht zu empfehlen ist.
Bitte warten ..
Mitglied: chris1381
10.12.2010 um 11:06 Uhr
Hab gerade gesehen, dass ich die falsche Kurzschreibweise verwendet habe
Anstatt 28 habe ich 240 geschrieben (wegen 255.255.255.240) aber wie ich sehe hast du es ja richtig interpretiert.
Werde mich mal über den DSL Trick schlau machen und mich dann evtl. nochmals melden.
Vielen Dank
Bitte warten ..
Mitglied: chris1381
15.12.2010 um 17:46 Uhr
Wenn ich das richtig verstehe sieht es zum Beipiel folgender maßen aus:

Server (x.x.x.51-62/28) --------- (192.168.0.1) Firewall (x.x.x.50/28) ------------ Modem (16 IPs)

wobei ich mir nicht sicher bin ob ich eine interne Adresse verwenden darf oder statt 192.168.0.1 ein frei öffentliche IP verwenden muss (x.x.x.52).
Über den DSL Trick hab ich nichts gefunden, rein Serverseitig ist er klar, bei der dementsprechenden Konfiguration der NICs für die Firewall stehe ich dann aber wie immer an.

Weiters würde mich interessieren warum man keine Bridge bzw. Proxy ARP verwendet. Gegen die Bridge spricht für mich nur der Einsatz von ebtables (meiner Meinung nach nicht so ausgereift und mächtig wie iptables).
Bitte warten ..
Ähnliche Inhalte
Vmware
VMWare Server 2008 Netzwerkkonfiguration Bridge NAT
gelöst Frage von sk-it83Vmware5 Kommentare

Hallo Kollegen, ich bin gerade dabei mir unter VMWare Workstation einen Windows Server 2008 R2 zu installieren. Eigentlich nix ...

LAN, WAN, Wireless
VLANs Bridge
gelöst Frage von kicki44LAN, WAN, Wireless7 Kommentare

Hi, ich habe zwei Swichtes mit je drei VLANs eingerichtet. Nun möchte ich beide Switche mit einer Bridge verbinden. ...

Voice over IP
Voip hinter NAT
Frage von Windows10GegnerVoice over IP10 Kommentare

Hallo, derzeit habe ich eine FB5050 als DSL-Modem und NAT-Router. Dahinter ist ein TP-Link WRT841 der ebenfalls NAT macht. ...

LAN, WAN, Wireless
Verständnisproblem NAT
Frage von BytedreherLAN, WAN, Wireless1 Kommentar

Hallo zusammen, ich habe eine ZyWALL USG 50 und ein "Problem", was ich mir leider nicht selbst erklären kann. ...

Neue Wissensbeiträge
Linux

Meltdown und Spectre: Linux Update

Information von Frank vor 2 TagenLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Tipps & Tricks

Solutio Charly Updater Fehlermeldung: Das Abgleichen der Dateien in -Pfad- mit dem Datenobject ist fehlgeschlagen

Tipp von StefanKittel vor 3 TagenTipps & Tricks

Hallo, hier einmal als Tipp für alle unter Euch die mit der Zahnarztabrechnungssoftware Charly von Solutio zu tun haben. ...

Sicherheit

Meltdown und Spectre: Wir brauchen eine "Abwrackprämie", die die CPU-Hersteller bezahlen

Information von Frank vor 3 TagenSicherheit12 Kommentare

Zum aktuellen Thema Meltdown und Spectre: Ich wünsche mir von den CPU-Herstellern wie Intel, AMD oder ARM eine Art ...

Sicherheit

Meltdown und Spectre: Realitätscheck

Information von Frank vor 3 TagenSicherheit12 Kommentare

Die unangenehme Realität Der Prozessorfehler mit seinen Varianten Meltdown und Spectre ist seit Juni 2017 bekannt. Trotzdem sind immer ...

Heiß diskutierte Inhalte
Firewall
Penetrationstester-Labor - Firewalls
Frage von Oli-nuxFirewall10 Kommentare

Mich würde interessieren warum man beim Einrichten eines Penetrationstester-Labor (VMs) die Firewall der Systeme deaktivieren soll? Hat das nur ...

SAN, NAS, DAS
Wer kennt sich mit QNAP und CISCO aus ?
gelöst Frage von MachelloSAN, NAS, DAS9 Kommentare

Hallo Zusammen hier im Forum, Ich habe ein QNas 451+ und dieses NAS hat zwei GBit Lan Adapter die ...

Netzwerkgrundlagen
IPv6 Inter-VLAN Routing
gelöst Frage von clSchakNetzwerkgrundlagen9 Kommentare

Hi ich befasse mich gerade mit der Implementierung von IPv6 was bisher (in einem VLAN) korrekt funktioniert inkl. DNS ...

Windows Netzwerk
Zugriff auf den Desktop Ordner eines anderen Rechners in der gleichen Domäne
gelöst Frage von JensNomaWindows Netzwerk6 Kommentare

Guten Abend, ich war neulich mit unserem Admin am Tisch gesessen. Er an seinem Notebook angemeldet mit dem Domänen-Admin, ...