Hallo,
bin noch unbedarft bei der Einstellung von Routern - deshalb hier die Frage.
Problemstellung:
Es sollen an 2 der Ports jeweils Webserver hängen die von aussen wie folgt erreichbar sein sollen:
Server 1 (WWW): 123.123.123.123
Server 2 (Kamera): 123.123.123.123:61234
Die DSL-Adresse ist dynamisch.
Die Server sollen vom Intranet verwaltet werden können - dürfen aber nicht von sich aus ins Intranet gehen dürfen.
Router 1621 mit LCOS 6.32
Ich will die Server jetzt einfach an die Ports geklemmt und mit IPs aus dem Intranet versehen.
Haken bei Schnittstelle Private-Mode.
ÜBer Port-Forwarding die IP angesteuert.
Über eine Firewallregel "Verbindungs-Ziel an folgende Stationen" mit den beiden IP-Nr.
Frage:
Reicht das als Schutz?
Oder kann jetzt trotzdem beim Server kapern ins Intranet?
Oder steht dann alles auf wie ein Scheunentor?
Danke für Tipps.
Mike
1621 und 2 Server von aussen erreichbar
Moderator: Lancom-Systems Moderatoren
Hi MikeU
das ist keine Gtue Idee, wenn du die Server aus dem Intranet managen willst, sie aber ansonsten vom Intrenate getrennt sein sollen.
Richte eine DMZ ein und gib den Servern Adressen aus der DMZ.
Der Private-Mode erzwingt immerhin, daß alle Pakete über den Router laufen müssen und somit kein direkter (Layer-2) Zugriff von der DMZ ins Intranet möglich ist.
nein
Gruß
Backslash
Ich will die Server jetzt einfach an die Ports geklemmt und mit IPs aus dem Intranet versehen.
das ist keine Gtue Idee, wenn du die Server aus dem Intranet managen willst, sie aber ansonsten vom Intrenate getrennt sein sollen.
Richte eine DMZ ein und gib den Servern Adressen aus der DMZ.
womit wir beim Hauptproblem des 1621 sind. Bei ihm kannst du genaugenommen gar keine echte DMZ einricheten, da du keine echte Trennung zwischen den Ethernetports des Switches herstellen kannst.Haken bei Schnittstelle Private-Mode.
Der Private-Mode erzwingt immerhin, daß alle Pakete über den Router laufen müssen und somit kein direkter (Layer-2) Zugriff von der DMZ ins Intranet möglich ist.
OKÜBer Port-Forwarding die IP angesteuert.
Über eine Firewallregel "Verbindungs-Ziel an folgende Stationen" mit den beiden IP-Nr.
Frage:
Reicht das als Schutz?
nein
ja, denn du brauchst noch eine Regel, die Verhindert, daß jemand von der DMZ in dein Intranet eine Verbindung aufbaut:Oder kann jetzt trotzdem beim Server kapern ins Intranet?
Oder steht dann alles auf wie ein Scheunentor?
Code: Alles auswählen
Aktion: Zurückweisen
Quelle: deine DMZ
Ziel: dein Intranet
Dienste: alle DiensteBackslash