Hallo Klaus Schuehler, hallo auch an alle anderen Am Dienstag 05 Juli 2005 13:07 schrieb Klaus Schuehler: > Guten Tag Matthias Houdek, > > am Dienstag, 5. Juli 2005 um 10:44 schrieben Sie: > > Lass den Hardware-Router stehen, als erste Firewall. Setze dann > > einen Debian-Server dahinter, der Dienste anbietet (z.B. DHCP, > > bind, Squid, MTA, HTTP-Server) und der zusätzlich noch einmal > > zwischen HW-Router und LAN routet und ggf. filtert (2. Firewall): > > > > LAN --------- Debian ------------- HW-Router -----------, > > '------> > > Internet IPs z.B.: > > 192.168.x.y 172.16.0.~ öff. IP vom Provider > > ~.2 ~.1 > > > > Auf dem Debian laufen alle die Dienste, die eine direkte Verbindung > > zum Internet brauchen oder gar Dienste in Internet anbieten. > > Außerdem sollte hier nochmal eine Paketfilterung stattfinden. > > Der Debain-Router ist auch das Default-GW für das lokale Netz > > MIt den IPs komme ich nicht so klar. > > Internet 210.xxx.x.x feste IP vom ISP > > > HW Router 210.xxx.x.x > 192.168.2.1 > > > Server eth0 192.168.2.170 > eth1 192.168.2.171
NEEEIIINNN! Das geht nicht (außer mit Tricks, z.B. Host-Routen). Wenn ein Host zwei Netzwerkkarten hat, dann müssen diese im Normalfall Adressen aus unterschiedlichen Bereichen haben (Siehe IP-Protokoll und Routing). Der "Server" (er sollte nur für Dienste, die direkt mit dem Internet zu tun haben, dienen) könnte z.B. auf der HW-Router-Seite die 192.168.2.2 bekommen. Auf der LAN-Seite dann z.B. 192.168.10.1 (immer mit der Maske 255.255.255.0). > > Switch an eth1 > > > PC1 192.168.2.200 > PC2 192.168.2.201 Die müssen dann jetzt natürlich Adressen aus dem Bereich 192.168.10.2..254 erhalten. Und als Default-Gateway die 192.168.10.1 Auf dem HW-Router muss jetzt entweder für das 192.168.10.er Netz die 192.168.2. 170 (eth0 vom DMZ-Server) bekommen (nicht ganz so gut). Oder der DMZ-Server spielt für alle Internet-Dienste den Proxy (ftp, http(s) kann Squid, Mails über einen Mailserver) oder für direkten Zugriff dann Masquerading für das LAN auf die 192.168.2.170 (damit kommen für den HW-Router alle Anfragen für das Internet nur noch direkt vom DMZ-Server - viel besser, aber aufwändiger). > > Der HW-Router sollte nur direkt mit dem Debian kommunizieren dürfen > > (keine Route ins 192.168er Netz eintragen). > > Der Server bekommt vom Router eine 192.168 ip. Die Routereinstellung > DMZ bewirkt das die Firewall inaktiv ist. Dann sollte der DMZ-Server auf jeden Fall noch einmal eine Firewall bekommen. Er ist ja schließlich auch ein Router - nämlich zwischen DMZ und LAN. Weitere Dienste (NFS, Samba, Datenbankserver, CUPS, ...) solltest du nicht auf dem DMZ-Server installieren. Dafür ist dieser Teil deines Netzwerkes viel zu unsicher. Diese Dienste gehören auf einen Rechner innerhalb des 192.168.10.er-LAN. -- Gruß MaxX Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen. Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
