Noob-Frage zu DMZ (Sorry)

[p0ddie]

Hi,

ich habe schon wilde Sachen mit den Lancoms gebaut, aber das Konzept mit den DMZ ist mir noch nicht so 100%ig klar.

Ich gehe mal von einem 1711+ aus, weil ich den hier oft rumzustehen habe. Die Idee ist:

Ich habe einen DSL-Anschluss mit fester IP und dahinter steht u.a. ein Mailserver. Nun möchte ich, dass ich auf den Mailserver von außen nicht per einfacher Portumleitung (inv. Masquerading) zugreifen kann, sondern das soll gefirewallt werden. Ich habe verstanden, dass ich hierzu eine DMZ benutzen sollte.

Die Idee ist, dass ich den Mailserver mit seinem LAN-Anschluss an einen bestimmten Port des Lancoms hänge (meinetwegen ETH-4), der im Lancom als DMZ konfiguriert ist.

Hier die Frage:

Wenn jetzt mein normales LAN den IP-Kreis 192.168.1.1/24 hat und ich der DMZ die 10.0.0.1/24 gebe, dann bedeutet das im Grunde, dass ich eine Portumleitung von außen auf die IP des Mailservers im 10.0.0.1/24 Netz gebe. Intern aus meinem LAN erreiche ich den Mailserver auch unter der 10.0.0.1, und zwar natürlich nur mit der Geschwindigkeit, wie sie mir die Firewall des 171+ gestattet.

Sehe ich das soweit richtig, oder liegt hier schon ein Denkfehler vor?

Wie man einen DMZ-IP-Kreis im Lancom eingibt, habe ich verstanden: Neues Netzwerk anlegen, Typ DMZ, IP_Range eingeben. Dort steht dann standardmäßig "Schnittstellen-Zuordnung beliebig". Hier kann ich also meinen ETH-4 von weiter oben auswählen.

1. Muss ich dann nicht noch ein Routing aus dem normalen LAN auf die DMZ irgendwo einrichten, oder geht das dann automatisch, weil es eine DMZ ist?
2. Ist das dann so abgeschottet, dass ich sowohl vom WAN als auch vom LAN nur an die 10.0.0.1 über die Firewall komme? Und hier könnte ich dann noch zus. Regeln in der Firewall definieren, z.B. das bestimmte Ports und IPs usw. geblockt werden?

Ich wäre für eine Aufklärung dankbar!

Danke!

[backslash]

Hi p0ddie

Wenn jetzt mein normales LAN den IP-Kreis 192.168.1.1/24 hat und ich der DMZ die 10.0.0.1/24 gebe, dann bedeutet das im Grunde, dass ich eine Portumleitung von außen auf die IP des Mailservers im 10.0.0.1/24 Netz gebe. Intern aus meinem LAN erreiche ich den Mailserver auch unter der 10.0.0.1, und zwar natürlich nur mit der Geschwindigkeit, wie sie mir die Firewall des 171+ gestattet.

korrekt...

Wie man einen DMZ-IP-Kreis im Lancom eingibt, habe ich verstanden: Neues Netzwerk anlegen, Typ DMZ, IP_Range eingeben. Dort steht dann standardmäßig "Schnittstellen-Zuordnung beliebig". Hier kann ich also meinen ETH-4 von weiter oben auswählen.

jain... bei der Schnittstellenzurdnung ordnest du das Netz einem logischen LAN-Interface zu (LAN-1, LAN-2, LAN-3 oder LAN-4). Die Zuordnung der phyiskalischen Switchports (ETH-1, ETH-2, ETH-3, ETH-4) zu den logischen LAN-Interfaces erfolgt unter Schnittstellen -> LAN -> Ethernet-Ports -> ETH-x -> Interface-Verwendung.

In deinem Fall bedeutet das, daß du ETH-4 dem logischen Interface LAN-2 zuordnen mußt, das du dann der DMZ als zu nutzendes Interface zuweisen kannst. Aus Sicherheistgründen solltest du dann auch bei deinem Intranet die Schnittstellen-Zuordnung von "beliebig" auf "LAN-1" ändern, damit sich niemand innerhalb der DMZ (z.B. nachdem er den Mailserver gehackt hat) eine Adresse aus deinem Intranet geben kann um darüber in dein Intranet einzudringen

1. Muss ich dann nicht noch ein Routing aus dem normalen LAN auf die DMZ irgendwo einrichten, oder geht das dann automatisch, weil es eine DMZ ist?

Der Router kennt alle seine lokalen Netze implizit. Es sind daher keine Einträge in der Routing-Tabelle nötig.

2. Ist das dann so abgeschottet, dass ich sowohl vom WAN als auch vom LAN nur an die 10.0.0.1 über die Firewall komme? Und hier könnte ich dann noch zus. Regeln in der Firewall definieren, z.B. das bestimmte Ports und IPs usw. geblockt werden?

ja. Alles, was über den Router geht, geht auch durch die Firewall und kann somit über Regeln nach belieben gesteuert werden.

Gruß
Backslash

[p0ddie]

Großartig, vielen Dank für die Aufklärung! Jetzt habe ich es kapiert!