Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

NAT oder Bridge

Frage Netzwerke

Mitglied: chris1381

chris1381 (Level 1) - Jetzt verbinden

09.12.2010 um 15:46 Uhr, 4366 Aufrufe, 5 Kommentare

Trotz meiner langen Recherche konnte ich zu dieser "trivialen" Frage keine Antwort finden, also entschultige ich mich im Vorfeld falls es dazu schon massig Beiträge geben sollte.

Für ein Firmennetzwerk wurden mir von dem Provider 16 IPs zur Verfügung gestellt. Einerseits haben so die Mitarbeiter Zugang zum Internet (unwichtig in diesem Beispiel), anderseits benötige ich die IPs für die öffentlichen Server.

Server 1 |
Server 2 | --------- Firewall (Debian) ------------ Modem (16 IPs)
Server 3 | |
.... internes Netzwerk

Die Firewall soll die Server vor unbefugten SSH zugriff etc. schützen. Wie wird die Firewall konfiguriert? Verwendet man in diesem Fall eine Bridge, oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?
Im Fall von 1:1 NAT gibt es die möglichkeit dies statisch zu Routen oder verwende ich in diesem Fall DNAT?

Vielleicht ist mein Denkansatz auch komplett durch den Wind und es wird in der Praxis anders gelöst, und würde mich über weitere Lösungsansätze freuen.

Vielen Dank im Voraus
Mitglied: dog
09.12.2010 um 20:27 Uhr
oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?

Warum willst du NAT benutzen, wenn du schon öffentliche IPs hast?
NAT ist eine Krücke und wird dir hier so schöne Probleme wie Hairpin-NAT bescheren.

Verwendet man in diesem Fall eine Bridge

Nein, man verwendet Routing mit der Firewall.
Bitte warten ..
Mitglied: chris1381
09.12.2010 um 22:32 Uhr
Ich hätte NAT benützt, da ich mir nicht sicher bin, welche IP Adressen die 2 Netzwerkkarten der Firewall bekommen (bei einer Bridge würden sie wegfallen).
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).
Demnach sieht mein Schema folgendermaßen aus:

Server 1 (x.x.x.51/28) |
Server 2 (x.x.x.52/28) | --------- (x.x.x.50/28 ?!?) Firewall (x.x.x.50/28) ------------ (x.x.x.49/28) Modem (16 IPs)
...
Server 3 (x.x.x.62/28) |

Bedeutet dies, dass ich zwei identische IP Adressen vergebe?
Und wie würde in diesem Fall geroutet werden?

Falls dieses Szenario irgendwo beschrieben ist wäre ich für einen Link dankbar. Dazu müsste es ja tausende Beiträge geben aber irgendwie lande ich dann entweder bei privaten Netzen oder bridging etc.
Bitte warten ..
Mitglied: dog
10.12.2010 um 00:14 Uhr
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).

Unwahrscheinlich, denn eurem Provider kann es völlig egal sein, was ihr mit der Network-ID und der Broadcast-Adresse macht, der leitet das erstmal nur weiter.
Ich benutze die auch beide bei unserem /28er.

(x.x.x.49/240) Modem (16 IPs)

mit 240 verschwendest du hier unnötig IP-Adressen.
Du hast dort zwei Möglichkeiten:
a) Da es ein Transfer-Netz ist benutzt du einfach beliebige private IPs und definierst eine Master-IP für die Kommunikation
b) Du benutzt /32er IPs und den selben technischen Trick wie bei DSL, so dass du nur zwei IPs brauchst.

(x.x.x.50/240 ?!?)

Auf der Seite könntest du jetzt ein richtiges Subnetz mit der Maske /28 benutzen (durch die Regeln für Routing funktioniert der Rest trotzdem), oder - wenn die Server nicht miteinander kommunizieren müssen - machst du genau den selben Trick mit den /32ern, was aber Änderungen an der Routing-Tabelle bei den Servern erfordert und somit nicht zu empfehlen ist.
Bitte warten ..
Mitglied: chris1381
10.12.2010 um 11:06 Uhr
Hab gerade gesehen, dass ich die falsche Kurzschreibweise verwendet habe
Anstatt 28 habe ich 240 geschrieben (wegen 255.255.255.240) aber wie ich sehe hast du es ja richtig interpretiert.
Werde mich mal über den DSL Trick schlau machen und mich dann evtl. nochmals melden.
Vielen Dank
Bitte warten ..
Mitglied: chris1381
15.12.2010 um 17:46 Uhr
Wenn ich das richtig verstehe sieht es zum Beipiel folgender maßen aus:

Server (x.x.x.51-62/28) --------- (192.168.0.1) Firewall (x.x.x.50/28) ------------ Modem (16 IPs)

wobei ich mir nicht sicher bin ob ich eine interne Adresse verwenden darf oder statt 192.168.0.1 ein frei öffentliche IP verwenden muss (x.x.x.52).
Über den DSL Trick hab ich nichts gefunden, rein Serverseitig ist er klar, bei der dementsprechenden Konfiguration der NICs für die Firewall stehe ich dann aber wie immer an.

Weiters würde mich interessieren warum man keine Bridge bzw. Proxy ARP verwendet. Gegen die Bridge spricht für mich nur der Einsatz von ebtables (meiner Meinung nach nicht so ausgereift und mächtig wie iptables).
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
LAN, WAN, Wireless
Client Mode oder Bridge Mode bei Anbindung an einen AP per W Lan (3)

Frage von xpstress zum Thema LAN, WAN, Wireless ...

LAN, WAN, Wireless
WLAN zu LAN Switch oder Bridge (4)

Frage von Stefan3110 zum Thema LAN, WAN, Wireless ...

Voice over IP
Voip hinter NAT (10)

Frage von Windows10Gegner zum Thema Voice over IP ...

MikroTik RouterOS
Mikrotik BaseBox 5 Wirless Bridge Konfiguration richtiger Ansatz? (7)

Frage von chrisbs zum Thema MikroTik RouterOS ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...