 |
|
|
|
| Autor |
Nachricht |
eox
Anmeldungsdatum: 24.08.2005
Beiträge: 8
|
 Verfasst am:
Mi 24 Aug, 2005 23:07 |
  |
|
Hallo,
ich bin neu hab gerade meinen zweiten lancom router in meinem leben bekommen ( hatte früher einen office 1000), jetzt hab ich einen lancom 1811.
Seit einigen tagen hab ich t-dsl mit 8 festen ip's von dennen ich 6 nutzen kann.
so weit so gut mit einer festen ip klappt ja alles ganz toll (mailserver etc alles kein prob), aber wie benutze ich am besten die anderen?
ich hab die faq's auf der page von lancom schon gelesen hat mir auch sehr geholfen, nur frag ich mich gerade wie das ist wenn ich die DMZ extern mache und dann N:N mapping auf meine intranet ip's mache, geht das dann ungeschützt ins intranet oder noch durch die fw?
wenn ich es rein DMZ mässig aufbaue dann ist es ja ungeschützt...
ideal wäre es die externen ip's direkt auf interne zu mappen aber das ganze noch durch die fw zu sichern.
geht das? |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 25 Aug, 2005 13:54 |
|
|
Hi eox,
| Zitat:
|
|
so weit so gut mit einer festen ip klappt ja alles ganz toll (mailserver etc alles kein prob), aber wie benutze ich am besten die anderen?
|
die Frage mußt du dir schon selbst beantworten. Eine Möglichkeit:
1. Netzadresse
2. LANCOM
3. Mail-Server
4. Web-Server
5. FTP-Server
6. was-weis-ich-server
7. und-noch-ein-server
8. Broadcast...
| Zitat:
|
ich hab die faq's auf der page von lancom schon gelesen hat mir auch sehr geholfen, nur frag ich mich gerade wie das ist wenn ich die DMZ extern mache und dann N:N mapping auf meine intranet ip's mache, geht das dann ungeschützt ins intranet oder noch durch die fw?
wenn ich es rein DMZ mässig aufbaue dann ist es ja ungeschützt...
ideal wäre es die externen ip's direkt auf interne zu mappen aber das ganze noch durch die fw zu sichern
|
Alles was durch's LANCOM hindurchgeht, geht durch die Firewall - also auch der DMZ-Bereich. DMZ bedeutet, daß der Bereich selbst keiner weiteren Kontrolle unterliegt und vom Intranet abgeschottet ist (die physikalische Abschottung erfolgt i.Ü. über den Private-Mode des Switches). Der Zugang zur DMZ kann (und wird beim LANCOM auch) sehr wohl von einer Firewall kontrolliert werden.
Vom N:N-Mapping der öffentlichen Adressen auf Intranet-Adressen rate ich dringends ab, da im Falle eine Falles der Angreifer direkt auf einem Rechner in deinem LAN steht und für weitergehende Angriffe nicht mehr über den Router (und somit die Firewall) muß.
Gruß
Backslash |
|
|
|
|
eox
Anmeldungsdatum: 24.08.2005
Beiträge: 8
|
| Verfasst am:
Do 25 Aug, 2005 22:32 |
|
|
hallo, so hab jetzt einiges getestet...
hab mich dann doch für das direkte N:N mapping und öffentliche DMZ entschieden, nach dem mapping geht das ganze DOCH noch durch die fw ist also doch recht gut zu händeln.
habs also jetzt so wie in der knowlage base auf der lancom seite gemacht, nur das ich noch eine deny-all strategie fahre und nur das nötigste durch lasse.
habs mit externen portscans getestet und "scheint" sicher zu sein. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Fr 26 Aug, 2005 14:23 |
|
|
Hi eox,
| Zitat:
|
|
hab mich dann doch für das direkte N:N mapping und öffentliche DMZ entschieden, nach dem mapping geht das ganze DOCH noch durch die fw ist also doch recht gut zu händeln.
|
Das Problem ist nicht, den Zugriff auf den gemappten Rechner zu reglementieren - das geht mit der Firewall.
Das Mapping wird dann gefährlich, wenn es jemand schafft, den Rechner zu hacken - denn dann hat er Vollzugriff auf dein Intranet und zwar ohne eine Firewall dazwischen!
Daher kann ich nur dringends davon abraten.
Gruß
Backlsash |
|
|
|
|
eox
Anmeldungsdatum: 24.08.2005
Beiträge: 8
|
| Verfasst am:
Fr 26 Aug, 2005 20:31 |
|
|
ja klar, aber das prob hat auch jeder der keinen router/fw zu hause hat...
aber dann brauch ich keine mehreren festen ip's das würde das ganze dann ad absurdum führen. |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Sa 27 Aug, 2005 18:26 |
|
|
Hi eox
| Zitat:
|
|
ja klar, aber das prob hat auch jeder der keinen router/fw zu hause hat...
|
Das ist auch etwas anderes. Zuhause hat normalerweise niemand mehrere feste IP-Adressen (geschweige denn eine...). Mit festen IP-Adressen verbinde ich ein Fimennetz und da ist es wichtig, den Webserver (der von aussen zugänglich ist) vom Intranet (in dem Firmengeheimnisse lagern) zu trennen.
| Zitat:
|
|
aber dann brauch ich keine mehreren festen ip's das würde das ganze dann ad absurdum führen.
|
Richtig, das kannst du auch mit einer Adresse und Portforwarding machen. Aber auch dabei gilt: Forwardings dürfen nicht ins Intranet gehen, sondern nur in die DMZ.
Am allerwichtigsten ist dabei, Traffic von der DMZ ins Intranet über die Firewall zu verhindern - und das ist unabhängig davon ob die DMZ aus mehreren öffentlichen Adressen besteht oder ob ein Portforwarding durchgeführt wird.
Gruß
Backslash |
|
|
|
|
eox
Anmeldungsdatum: 24.08.2005
Beiträge: 8
|
| Verfasst am:
So 28 Aug, 2005 10:40 |
|
|
| Zitat:
|
Richtig, das kannst du auch mit einer Adresse und Portforwarding machen. Aber auch dabei gilt: Forwardings dürfen nicht ins Intranet gehen, sondern nur in die DMZ.
Am allerwichtigsten ist dabei, Traffic von der DMZ ins Intranet über die Firewall zu verhindern - und das ist unabhängig davon ob die DMZ aus mehreren öffentlichen Adressen besteht oder ob ein Portforwarding durchgeführt wird.
|
ist ja alles klar aber ich hab nunmal mehrere feste ip's zu hause 
ich habs aber schon so eingestellt wie du auch meinst, das ist klar.
NUr bringt es mir nicht viel wenn ich 8 feste ip's habe zu sagen mach doch 1:n mapping, weil dann brauch ich die ip's nicht.
aber jetzt läuft alles firewall ist soweit eigerichtet, nun gut. |
|
|
|
|
|
|
|
|
| |
|
|
