Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NAT oder Bridge

Frage Netzwerke

Mitglied: chris1381

chris1381 (Level 1) - Jetzt verbinden

09.12.2010 um 15:46 Uhr, 4385 Aufrufe, 5 Kommentare

Trotz meiner langen Recherche konnte ich zu dieser "trivialen" Frage keine Antwort finden, also entschultige ich mich im Vorfeld falls es dazu schon massig Beiträge geben sollte.

Für ein Firmennetzwerk wurden mir von dem Provider 16 IPs zur Verfügung gestellt. Einerseits haben so die Mitarbeiter Zugang zum Internet (unwichtig in diesem Beispiel), anderseits benötige ich die IPs für die öffentlichen Server.

Server 1 |
Server 2 | --------- Firewall (Debian) ------------ Modem (16 IPs)
Server 3 | |
.... internes Netzwerk

Die Firewall soll die Server vor unbefugten SSH zugriff etc. schützen. Wie wird die Firewall konfiguriert? Verwendet man in diesem Fall eine Bridge, oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?
Im Fall von 1:1 NAT gibt es die möglichkeit dies statisch zu Routen oder verwende ich in diesem Fall DNAT?

Vielleicht ist mein Denkansatz auch komplett durch den Wind und es wird in der Praxis anders gelöst, und würde mich über weitere Lösungsansätze freuen.

Vielen Dank im Voraus
Mitglied: dog
09.12.2010 um 20:27 Uhr
oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?

Warum willst du NAT benutzen, wenn du schon öffentliche IPs hast?
NAT ist eine Krücke und wird dir hier so schöne Probleme wie Hairpin-NAT bescheren.

Verwendet man in diesem Fall eine Bridge

Nein, man verwendet Routing mit der Firewall.
Bitte warten ..
Mitglied: chris1381
09.12.2010 um 22:32 Uhr
Ich hätte NAT benützt, da ich mir nicht sicher bin, welche IP Adressen die 2 Netzwerkkarten der Firewall bekommen (bei einer Bridge würden sie wegfallen).
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).
Demnach sieht mein Schema folgendermaßen aus:

Server 1 (x.x.x.51/28) |
Server 2 (x.x.x.52/28) | --------- (x.x.x.50/28 ?!?) Firewall (x.x.x.50/28) ------------ (x.x.x.49/28) Modem (16 IPs)
...
Server 3 (x.x.x.62/28) |

Bedeutet dies, dass ich zwei identische IP Adressen vergebe?
Und wie würde in diesem Fall geroutet werden?

Falls dieses Szenario irgendwo beschrieben ist wäre ich für einen Link dankbar. Dazu müsste es ja tausende Beiträge geben aber irgendwie lande ich dann entweder bei privaten Netzen oder bridging etc.
Bitte warten ..
Mitglied: dog
10.12.2010 um 00:14 Uhr
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).

Unwahrscheinlich, denn eurem Provider kann es völlig egal sein, was ihr mit der Network-ID und der Broadcast-Adresse macht, der leitet das erstmal nur weiter.
Ich benutze die auch beide bei unserem /28er.

(x.x.x.49/240) Modem (16 IPs)

mit 240 verschwendest du hier unnötig IP-Adressen.
Du hast dort zwei Möglichkeiten:
a) Da es ein Transfer-Netz ist benutzt du einfach beliebige private IPs und definierst eine Master-IP für die Kommunikation
b) Du benutzt /32er IPs und den selben technischen Trick wie bei DSL, so dass du nur zwei IPs brauchst.

(x.x.x.50/240 ?!?)

Auf der Seite könntest du jetzt ein richtiges Subnetz mit der Maske /28 benutzen (durch die Regeln für Routing funktioniert der Rest trotzdem), oder - wenn die Server nicht miteinander kommunizieren müssen - machst du genau den selben Trick mit den /32ern, was aber Änderungen an der Routing-Tabelle bei den Servern erfordert und somit nicht zu empfehlen ist.
Bitte warten ..
Mitglied: chris1381
10.12.2010 um 11:06 Uhr
Hab gerade gesehen, dass ich die falsche Kurzschreibweise verwendet habe
Anstatt 28 habe ich 240 geschrieben (wegen 255.255.255.240) aber wie ich sehe hast du es ja richtig interpretiert.
Werde mich mal über den DSL Trick schlau machen und mich dann evtl. nochmals melden.
Vielen Dank
Bitte warten ..
Mitglied: chris1381
15.12.2010 um 17:46 Uhr
Wenn ich das richtig verstehe sieht es zum Beipiel folgender maßen aus:

Server (x.x.x.51-62/28) --------- (192.168.0.1) Firewall (x.x.x.50/28) ------------ Modem (16 IPs)

wobei ich mir nicht sicher bin ob ich eine interne Adresse verwenden darf oder statt 192.168.0.1 ein frei öffentliche IP verwenden muss (x.x.x.52).
Über den DSL Trick hab ich nichts gefunden, rein Serverseitig ist er klar, bei der dementsprechenden Konfiguration der NICs für die Firewall stehe ich dann aber wie immer an.

Weiters würde mich interessieren warum man keine Bridge bzw. Proxy ARP verwendet. Gegen die Bridge spricht für mich nur der Einsatz von ebtables (meiner Meinung nach nicht so ausgereift und mächtig wie iptables).
Bitte warten ..
Neuester Wissensbeitrag
Off Topic

"Ich habe nichts zu verbergen"

(2)

Erfahrungsbericht von FA-jka zum Thema Off Topic ...

Ähnliche Inhalte
Router & Routing
Zugriff auf Webinterface vom Router aus dem LAN hinter doppelten NAT (6)

Frage von StefanKittel zum Thema Router & Routing ...

Router & Routing
Mikrotik CCR1036 IPSec UDP NAT Abbrüche PCoIP VDI (1)

Frage von nahdeka zum Thema Router & Routing ...

Router & Routing
Cisco887VAW -VPN NAT-Freigabe (11)

Frage von Serial90 zum Thema Router & Routing ...

Router & Routing
gelöst Sophos UTM und Hitron Kabelmodem (bridge mode) (10)

Frage von ukulele-7 zum Thema Router & Routing ...

Heiß diskutierte Inhalte
CPU, RAM, Mainboards
Kaufberatung für mind. 8 verschiedene HighEnd-Mainboards (23)

Frage von yperiu zum Thema CPU, RAM, Mainboards ...

Mac OS X
Mac kann nicht im LAN pingen alle anderen schon (19)

Frage von smartino zum Thema Mac OS X ...

Hyper-V
Langsames Netzwerk i210 LAN Karte (10)

Frage von Akcent zum Thema Hyper-V ...

Netzwerke
Abisolierwerkzeug (10)

Frage von SarekHL zum Thema Netzwerke ...