Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel Zywall 5 - Einrichten einer DMZ

Frage Sicherheit Firewall

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

21.09.2009, aktualisiert 13.10.2009, 15284 Aufrufe, 4 Kommentare

Hallo ans Forum

Bei der Temporärstelle, wo ich momentan arbeite, wurde ich dazu verknurrt, eine DMZ auf einer Zywall 5 einzurichten. Momentan sieht es so aus:

Internet - VDSL Bridge - ZyWall - LAN

Neu soll es so aussehen:
DMZ
Internet - VDSL Bridge - ZyWall <
LAN

Da ich während meiner Ausbildung nie etwas mit Firewalls in der Praxis zu tun hatte, bin ich momentan etwas überfordert (habe das Thema nur theoretisch studiert). In die DMZ soll eine Buffalo Linkstation kommen, auf der ein FTP-Server läuft, sodass die User dieser Firma mit anderen Firmen Daten austauschen können. Vom WAN her sollten also sicher alle Pakete mit TCP20/21 an die DMZ geschickt werden. Vom LAN aus muss man danach ebenfalls darauf zugreifen können, und zwar über FTP TCP20/21. Zudem muss ich auf die Device Webpage der NAS draufkommen und ein Verknüpfung mit dem AD muss auch möglich sein, damit ich die Ablage des FTP-Servers mit globalen Gruppen absichern kann.

Ich habe nun mal auf der Device-Webpage der ZyWall die DMZ eingerichtet (Network -> DMZ -> Registerkarte "DMZ"). Dieser habe ich das Subnetz 192.168.101.0 zugewiesen. Dieses Subnetz gibt es nicht auf meinem DHCP-Server, die IP-Adressen innerhalb der DMZ sind sowieso statisch. Nun soll ich eine Firewall-Rule dazu einrichten.

Bitte keine Links für Usermanuals schicken, die habe ich schon. Ich brauche eine genaue Beschreibung, was ich nun tun soll. Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Habe ich mich deutlich ausgedrückt? Falls nein, bitte sagen. Mir fehlt einfach die praktische Erfahrung mit Firewalls, ich bin zu unsicher, als dass ich einfach abdrücken würde.


Mit Gruss
TuXHunT3R
Mitglied: GuentherH
21.09.2009 um 12:17 Uhr
Hallo.

Mir fehlt einfach die praktische Erfahrung mit Firewalls

Nun, dazu gibt es ja das User Manual. Zudem kannst du auf der Webseite von Zyxel jede Oberfläche der lieferbaren Firewall aufrufen, und testen.

Schau dann auch einmal hier nach - http://www.zyxel.ch/knowledgebase.html - hier findest du jede Menge praktische Beispiele.

Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Dazu ist aber auch im User Manual beschrieben wie man eine Datensicherung anlegt.

LG Günther
Bitte warten ..
Mitglied: aqui
21.09.2009 um 13:34 Uhr
Falls du über eine NAT Firewall musst (wenn die Zywall z.B. IP Adress Translation macht) wie vermutlich in deinem Falle (oder ist es der VDSL Router davor ??), denn du benutzt ja keine öffentlichen IPs in deiner DMZ sondern private nach RFC_1918 dann achte zwingend darauf das du dein remoter FTP Client im passive Mode arbeitet !
Andernfalls kommst du nicht über eine NAT Firewall bzw. Adress Translation Firewall per FTP auf die Linkstation !
Warum das so ist erklärt dir diese Webseite:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html

FTP Clients wie Filezilla oder die embeddeten in den Browsern wie z.B. Firefox (ftp://...) benutzen von sich aus den passive Mode. Das musst du in jedem Falle sicherstellen

Der Rest ist nichts anderes als einfaches Firewall Accesslisten Customizing, das nix anderes durchkommt als FTP. Sollte mit Hilfe des Handbuchs dann ja kein Problem sein...
Bitte warten ..
Mitglied: TuXHunt3R
21.09.2009 um 16:24 Uhr
Danke für die Antworten. Ich bin schon erheblich weitergekommen, habe die DMZ konfiguriert und die Buffalo LinkStation in die DMZ gekriegt (ist noch kein FTP eingerichtet, mache ich, sobald die DMZ richtig läuft).

Ich habe die folgenden Rules definiert:
LAN => DMZ:
Default Rule: Drop,
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

DMZ => LAN:
Default Rule: Drop
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

WAN => DMZ (sprich auf die IP der Buffalo):
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

DMZ (sprich auf die IP der Buffalo) => WAN:
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

Was haltet ihr davon? Ich muss mir noch überlegen, welche Dienste ich vom LAN=> DMZ und umgekehrt wieder aus der separaten Regel rausnehme. Aber sonst bin ich einigermassen zufrieden.
Bitte warten ..
Mitglied: TuXHunt3R
27.09.2009 um 22:06 Uhr
Hab eine Konfiguration hingekriegt, die relativ sicher ist, mit der aber auch die Administrierbarkeit aus dem LAN heraus gewährleistet ist.
Danke für die Antworten.
Bitte warten ..
Ähnliche Inhalte
Router & Routing
Zyxel DSL-Router - VPN einrichten (9)

Frage von adm999 zum Thema Router & Routing ...

Netzwerkmanagement
DMZ hinter Fritzbox (11)

Frage von leon123 zum Thema Netzwerkmanagement ...

Netzwerke
gelöst Zywall Blockt Traffic von ASA Firewall (7)

Frage von DoktorAerzt zum Thema Netzwerke ...

LAN, WAN, Wireless
gelöst Verständnisfrage DMZ, warum nicht LAN2 Interface? (4)

Frage von Bytedreher zum Thema LAN, WAN, Wireless ...

Neue Wissensbeiträge
Humor (lol)

Wohnt jemand in Belgien und kann nicht mehr ruhig ausschlafen?

(3)

Information von LordGurke zum Thema Humor (lol) ...

Sicherheits-Tools

Trendmicro OSCE und das Fall Creators Update Win10 RS3

(3)

Information von Henere zum Thema Sicherheits-Tools ...

Microsoft Office

Text in Zahlen umwandeln

Tipp von logische zum Thema Microsoft Office ...

Erkennung und -Abwehr

Infineon TPMs unsicher! Bitlocker ggf. angreifbar

(4)

Information von Lochkartenstanzer zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
Microsoft Office
ICH BIN AM ENDE MEINES IT-WISSENS ANGELANGT!!!! (38)

Frage von 134537 zum Thema Microsoft Office ...

Windows Server
Gruppenrichtlinie greift nicht zu! (24)

Frage von Syosse zum Thema Windows Server ...

Hosting & Housing
Mailserver Software Empfehlungen (21)

Frage von sunics zum Thema Hosting & Housing ...