Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Zyxel Zywall 5 - Einrichten einer DMZ

Frage Sicherheit Firewall

Mitglied: TuXHunt3R

TuXHunt3R (Level 3) - Jetzt verbinden

21.09.2009, aktualisiert 13.10.2009, 14729 Aufrufe, 4 Kommentare

Hallo ans Forum

Bei der Temporärstelle, wo ich momentan arbeite, wurde ich dazu verknurrt, eine DMZ auf einer Zywall 5 einzurichten. Momentan sieht es so aus:

Internet - VDSL Bridge - ZyWall - LAN

Neu soll es so aussehen:
DMZ
Internet - VDSL Bridge - ZyWall <
LAN

Da ich während meiner Ausbildung nie etwas mit Firewalls in der Praxis zu tun hatte, bin ich momentan etwas überfordert (habe das Thema nur theoretisch studiert). In die DMZ soll eine Buffalo Linkstation kommen, auf der ein FTP-Server läuft, sodass die User dieser Firma mit anderen Firmen Daten austauschen können. Vom WAN her sollten also sicher alle Pakete mit TCP20/21 an die DMZ geschickt werden. Vom LAN aus muss man danach ebenfalls darauf zugreifen können, und zwar über FTP TCP20/21. Zudem muss ich auf die Device Webpage der NAS draufkommen und ein Verknüpfung mit dem AD muss auch möglich sein, damit ich die Ablage des FTP-Servers mit globalen Gruppen absichern kann.

Ich habe nun mal auf der Device-Webpage der ZyWall die DMZ eingerichtet (Network -> DMZ -> Registerkarte "DMZ"). Dieser habe ich das Subnetz 192.168.101.0 zugewiesen. Dieses Subnetz gibt es nicht auf meinem DHCP-Server, die IP-Adressen innerhalb der DMZ sind sowieso statisch. Nun soll ich eine Firewall-Rule dazu einrichten.

Bitte keine Links für Usermanuals schicken, die habe ich schon. Ich brauche eine genaue Beschreibung, was ich nun tun soll. Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Habe ich mich deutlich ausgedrückt? Falls nein, bitte sagen. Mir fehlt einfach die praktische Erfahrung mit Firewalls, ich bin zu unsicher, als dass ich einfach abdrücken würde.


Mit Gruss
TuXHunT3R
Mitglied: GuentherH
21.09.2009 um 12:17 Uhr
Hallo.

Mir fehlt einfach die praktische Erfahrung mit Firewalls

Nun, dazu gibt es ja das User Manual. Zudem kannst du auf der Webseite von Zyxel jede Oberfläche der lieferbaren Firewall aufrufen, und testen.

Schau dann auch einmal hier nach - http://www.zyxel.ch/knowledgebase.html - hier findest du jede Menge praktische Beispiele.

Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Dazu ist aber auch im User Manual beschrieben wie man eine Datensicherung anlegt.

LG Günther
Bitte warten ..
Mitglied: aqui
21.09.2009 um 13:34 Uhr
Falls du über eine NAT Firewall musst (wenn die Zywall z.B. IP Adress Translation macht) wie vermutlich in deinem Falle (oder ist es der VDSL Router davor ??), denn du benutzt ja keine öffentlichen IPs in deiner DMZ sondern private nach RFC_1918 dann achte zwingend darauf das du dein remoter FTP Client im passive Mode arbeitet !
Andernfalls kommst du nicht über eine NAT Firewall bzw. Adress Translation Firewall per FTP auf die Linkstation !
Warum das so ist erklärt dir diese Webseite:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html

FTP Clients wie Filezilla oder die embeddeten in den Browsern wie z.B. Firefox (ftp://...) benutzen von sich aus den passive Mode. Das musst du in jedem Falle sicherstellen

Der Rest ist nichts anderes als einfaches Firewall Accesslisten Customizing, das nix anderes durchkommt als FTP. Sollte mit Hilfe des Handbuchs dann ja kein Problem sein...
Bitte warten ..
Mitglied: TuXHunt3R
21.09.2009 um 16:24 Uhr
Danke für die Antworten. Ich bin schon erheblich weitergekommen, habe die DMZ konfiguriert und die Buffalo LinkStation in die DMZ gekriegt (ist noch kein FTP eingerichtet, mache ich, sobald die DMZ richtig läuft).

Ich habe die folgenden Rules definiert:
LAN => DMZ:
Default Rule: Drop,
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

DMZ => LAN:
Default Rule: Drop
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

WAN => DMZ (sprich auf die IP der Buffalo):
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

DMZ (sprich auf die IP der Buffalo) => WAN:
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

Was haltet ihr davon? Ich muss mir noch überlegen, welche Dienste ich vom LAN=> DMZ und umgekehrt wieder aus der separaten Regel rausnehme. Aber sonst bin ich einigermassen zufrieden.
Bitte warten ..
Mitglied: TuXHunt3R
27.09.2009 um 22:06 Uhr
Hab eine Konfiguration hingekriegt, die relativ sicher ist, mit der aber auch die Administrierbarkeit aus dem LAN heraus gewährleistet ist.
Danke für die Antworten.
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
LAN, WAN, Wireless
ZyXEL ZyWALL USG20 - DDNS (1)

Frage von devanager zum Thema LAN, WAN, Wireless ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Netzwerkmanagement
gelöst Macht eine VPN Verbindung in eine DMZ sinn? (8)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...