Hallo,
ich bin neu hab gerade meinen zweiten lancom router in meinem leben bekommen ( hatte früher einen office 1000), jetzt hab ich einen lancom 1811.
Seit einigen tagen hab ich t-dsl mit 8 festen ip's von dennen ich 6 nutzen kann.
so weit so gut mit einer festen ip klappt ja alles ganz toll (mailserver etc alles kein prob), aber wie benutze ich am besten die anderen?
ich hab die faq's auf der page von lancom schon gelesen hat mir auch sehr geholfen, nur frag ich mich gerade wie das ist wenn ich die DMZ extern mache und dann N:N mapping auf meine intranet ip's mache, geht das dann ungeschützt ins intranet oder noch durch die fw?
wenn ich es rein DMZ mässig aufbaue dann ist es ja ungeschützt...
ideal wäre es die externen ip's direkt auf interne zu mappen aber das ganze noch durch die fw zu sichern.
geht das?
optimale einstellungen für provider mit festen ip subnet
Moderator: Lancom-Systems Moderatoren
Hi eox,
1. Netzadresse
2. LANCOM
3. Mail-Server
4. Web-Server
5. FTP-Server
6. was-weis-ich-server
7. und-noch-ein-server
8. Broadcast...
Vom N:N-Mapping der öffentlichen Adressen auf Intranet-Adressen rate ich dringends ab, da im Falle eine Falles der Angreifer direkt auf einem Rechner in deinem LAN steht und für weitergehende Angriffe nicht mehr über den Router (und somit die Firewall) muß.
Gruß
Backslash
die Frage mußt du dir schon selbst beantworten. Eine Möglichkeit:so weit so gut mit einer festen ip klappt ja alles ganz toll (mailserver etc alles kein prob), aber wie benutze ich am besten die anderen?
1. Netzadresse
2. LANCOM
3. Mail-Server
4. Web-Server
5. FTP-Server
6. was-weis-ich-server
7. und-noch-ein-server
8. Broadcast...
Alles was durch's LANCOM hindurchgeht, geht durch die Firewall - also auch der DMZ-Bereich. DMZ bedeutet, daß der Bereich selbst keiner weiteren Kontrolle unterliegt und vom Intranet abgeschottet ist (die physikalische Abschottung erfolgt i.Ü. über den Private-Mode des Switches). Der Zugang zur DMZ kann (und wird beim LANCOM auch) sehr wohl von einer Firewall kontrolliert werden.ich hab die faq's auf der page von lancom schon gelesen hat mir auch sehr geholfen, nur frag ich mich gerade wie das ist wenn ich die DMZ extern mache und dann N:N mapping auf meine intranet ip's mache, geht das dann ungeschützt ins intranet oder noch durch die fw?
wenn ich es rein DMZ mässig aufbaue dann ist es ja ungeschützt...
ideal wäre es die externen ip's direkt auf interne zu mappen aber das ganze noch durch die fw zu sichern
Vom N:N-Mapping der öffentlichen Adressen auf Intranet-Adressen rate ich dringends ab, da im Falle eine Falles der Angreifer direkt auf einem Rechner in deinem LAN steht und für weitergehende Angriffe nicht mehr über den Router (und somit die Firewall) muß.
Gruß
Backslash
hallo, so hab jetzt einiges getestet...
hab mich dann doch für das direkte N:N mapping und öffentliche DMZ entschieden, nach dem mapping geht das ganze DOCH noch durch die fw ist also doch recht gut zu händeln.
habs also jetzt so wie in der knowlage base auf der lancom seite gemacht, nur das ich noch eine deny-all strategie fahre und nur das nötigste durch lasse.
habs mit externen portscans getestet und "scheint" sicher zu sein.
hab mich dann doch für das direkte N:N mapping und öffentliche DMZ entschieden, nach dem mapping geht das ganze DOCH noch durch die fw ist also doch recht gut zu händeln.
habs also jetzt so wie in der knowlage base auf der lancom seite gemacht, nur das ich noch eine deny-all strategie fahre und nur das nötigste durch lasse.
habs mit externen portscans getestet und "scheint" sicher zu sein.
Hi eox,
Das Mapping wird dann gefährlich, wenn es jemand schafft, den Rechner zu hacken - denn dann hat er Vollzugriff auf dein Intranet und zwar ohne eine Firewall dazwischen!
Daher kann ich nur dringends davon abraten.
Gruß
Backlsash
Das Problem ist nicht, den Zugriff auf den gemappten Rechner zu reglementieren - das geht mit der Firewall.hab mich dann doch für das direkte N:N mapping und öffentliche DMZ entschieden, nach dem mapping geht das ganze DOCH noch durch die fw ist also doch recht gut zu händeln.
Das Mapping wird dann gefährlich, wenn es jemand schafft, den Rechner zu hacken - denn dann hat er Vollzugriff auf dein Intranet und zwar ohne eine Firewall dazwischen!
Daher kann ich nur dringends davon abraten.
Gruß
Backlsash
Hi eox
Am allerwichtigsten ist dabei, Traffic von der DMZ ins Intranet über die Firewall zu verhindern - und das ist unabhängig davon ob die DMZ aus mehreren öffentlichen Adressen besteht oder ob ein Portforwarding durchgeführt wird.
Gruß
Backslash
Das ist auch etwas anderes. Zuhause hat normalerweise niemand mehrere feste IP-Adressen (geschweige denn eine...). Mit festen IP-Adressen verbinde ich ein Fimennetz und da ist es wichtig, den Webserver (der von aussen zugänglich ist) vom Intranet (in dem Firmengeheimnisse lagern) zu trennen.ja klar, aber das prob hat auch jeder der keinen router/fw zu hause hat...
Richtig, das kannst du auch mit einer Adresse und Portforwarding machen. Aber auch dabei gilt: Forwardings dürfen nicht ins Intranet gehen, sondern nur in die DMZ.aber dann brauch ich keine mehreren festen ip's das würde das ganze dann ad absurdum führen.
Am allerwichtigsten ist dabei, Traffic von der DMZ ins Intranet über die Firewall zu verhindern - und das ist unabhängig davon ob die DMZ aus mehreren öffentlichen Adressen besteht oder ob ein Portforwarding durchgeführt wird.
Gruß
Backslash
ist ja alles klar aber ich hab nunmal mehrere feste ip's zu hauseRichtig, das kannst du auch mit einer Adresse und Portforwarding machen. Aber auch dabei gilt: Forwardings dürfen nicht ins Intranet gehen, sondern nur in die DMZ.
Am allerwichtigsten ist dabei, Traffic von der DMZ ins Intranet über die Firewall zu verhindern - und das ist unabhängig davon ob die DMZ aus mehreren öffentlichen Adressen besteht oder ob ein Portforwarding durchgeführt wird.
ich habs aber schon so eingestellt wie du auch meinst, das ist klar.
NUr bringt es mir nicht viel wenn ich 8 feste ip's habe zu sagen mach doch 1:n mapping, weil dann brauch ich die ip's nicht.
aber jetzt läuft alles firewall ist soweit eigerichtet, nun gut.