Re: Router

[Klaus Schuehler <kschuehler@schuehler.com>]

Guten Tag Matthias Houdek,

am Dienstag, 5. Juli 2005 um 10:44 schrieben Sie:



> Lass den Hardware-Router stehen, als erste Firewall. Setze dann einen
> Debian-Server dahinter, der Dienste anbietet (z.B. DHCP, bind, Squid,
> MTA, HTTP-Server) und der zusätzlich noch einmal zwischen HW-Router und
> LAN routet und ggf. filtert (2. Firewall):

> LAN --------- Debian ------------- HW-Router -----------,
>                                                        '------> Internet
> IPs z.B.:
> 192.168.x.y          172.16.0.~             öff. IP vom Provider 
>                    ~.2           ~.1

> Auf dem Debian laufen alle die Dienste, die eine direkte Verbindung zum
> Internet brauchen oder gar Dienste in Internet anbieten. Außerdem 
> sollte hier nochmal eine Paketfilterung stattfinden. 
> Der Debain-Router ist auch das Default-GW für das lokale Netz

MIt den IPs komme ich nicht so klar.

Internet    210.xxx.x.x     feste IP vom ISP
|
|
HW Router   210.xxx.x.x
            192.168.2.1
|
|
Server      eth0 192.168.2.170
            eth1 192.168.2.171
|
|
Switch an eth1
|
|
PC1         192.168.2.200
PC2         192.168.2.201




> Der HW-Router sollte nur direkt mit dem Debian kommunizieren dürfen 
> (keine Route ins 192.168er Netz eintragen).
Der Server bekommt vom Router eine 192.168 ip. Die Routereinstellung
DMZ bewirkt das die Firewall inaktiv ist.

>  Der Debian sollte hier 
> bereits NATen. Damit gibt es keine direkte Kommunikation mehr zwischen
> LAN und Internet - und das ist durchaus ein Vorteil (bzgl. Sicherheit
> und Kontrolle). Die Geschwindigkeit dürfte das kaum beeinträchtigen,
> das ist nach wie vor die DSL-Leitung das Nadelöhr.


Viele Grüsse Klaus