DMZ vs. Intranet -> Serverfreigabe

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
Keeper
Beiträge: 28
Registriert: 28 Dez 2014, 02:45

DMZ vs. Intranet -> Serverfreigabe

Beitrag von Keeper »

Hallo zusammen,

ich habe da mal eine Verständnisfrage hinsichtlich DMZ, Intranet, Portfreigabe, etc. Momentan ist es so, das bei uns alles ein großes Netz ist und Dienste die extern benötigt werden einfach per Port-Forwarding entsprechend freigegeben sind. Nun soll ein neuer Server hinzukommen, welcher wieder einen Dienst nach extern anbietet und ich hab mich versucht ein bisschen in "Best-Practices" einzulesen. Dort ist immer die Rede davon, dass solche Server in die DMZ gehören, damit eine Firewall sowohl von Internet -> DMZ als auch von Intranet -> DMZ existiert. Soweit so gut, aber worin genau unterscheidet sich im Lancom bei den IP-Netzwerken Intranet von DMZ? Kann ich nicht einfach ein IP-Netzwerk "Server Extern" anlegen, IP 172.30.90.254, VLAN 90, Tag 90 und dann dort ein Port-Forwarding auf den entsprechenden Server im VLAN 90 einrichten? Ich käme dann doch auch von meinem normalen Netz nur über die Firewall auf den Server, oder? Was wäre jetzt anders, wenn ich den Typ DMZ auswählen würde?

Vermutlich ist das für euch völlig alltäglich, aber ich stehe da echt auf dem Schlauch. Vielleicht hat da jemand einen Tipp für mich, wie man das angeht.
Besten Dank schon mal!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: DMZ vs. Intranet -> Serverfreigabe

Beitrag von backslash »

Hi Keeper,

eine DMZ ist erstmal nur ein ganz normales IP-Netz, daher lautet die Antwort auf deine Frage
Kann ich nicht einfach ein IP-Netzwerk "Server Extern" anlegen, IP 172.30.90.254, VLAN 90, Tag 90 und dann dort ein Port-Forwarding auf den entsprechenden Server im VLAN 90 einrichten
einfach nur: ja...

Durch die Markierung eines Netzes mit dem Typ "DMZ" bekommt es zwei weitere Eigenschaften:
  1. wenn in der Derfault-Route die Maskierungs-Option auf "nur Intranet maskieren" steht, dann wird das DMZ-Netz nicht maskiert, d.h. du kannst in der DMZ mit öffentlichen Adressen arbeiten.
  2. durch die Markierung als DMZ ändern sich die ARF-Sichtbarkeiten so, daß eine DMZ aus allen ARF-Kontexten (Routing-Tags) zu sehen ist
Gerade der zweite Punkt erleichtert die Abschottung der DMZ vom Intranet, denn du mußt der DMZ einfach nur einen anderen Kontext geben als deinem Intranet (ungleich 0!) und schon kann die DMZ nicht mehr auf dein Intranet zugreifen - andersherum funktioniert der Zugriff hingegen...

Gruß
Backslash
Keeper
Beiträge: 28
Registriert: 28 Dez 2014, 02:45

Re: DMZ vs. Intranet -> Serverfreigabe

Beitrag von Keeper »

Hallo backslash,

super, vielen Dank für die Erklärung! Das hat mir wirklich sehr weitergeholfen. Ich habe inzwischen auch alles umgesetzt und läuft so wie ich mir das vorstelle.

Darf ich vielleicht den Vorschlag machen den Hilfs-Eintrag in Lanconfig etwas zu erweitern? Im Moment steht in der Hilfe zu dem Feld "Netzwerktyp" nur "Wählen Sie hier den Typ des Netzwerkes aus (Intranet oder DMZ) oder deaktivieren sie es." - da wäre eine Ergänzung der zwei Eigenschaften die du aufgeführt hast gut aufgehoben.

Besten Dank,
Marcel
Antworten