Re: Router
Hallo Klaus Schuehler, hallo auch an alle anderen
Am Dienstag 05 Juli 2005 13:07 schrieb Klaus Schuehler:
> Guten Tag Matthias Houdek,
>
> am Dienstag, 5. Juli 2005 um 10:44 schrieben Sie:
> > Lass den Hardware-Router stehen, als erste Firewall. Setze dann
> > einen Debian-Server dahinter, der Dienste anbietet (z.B. DHCP,
> > bind, Squid, MTA, HTTP-Server) und der zusätzlich noch einmal
> > zwischen HW-Router und LAN routet und ggf. filtert (2. Firewall):
> >
> > LAN --------- Debian ------------- HW-Router -----------,
> > '------>
> > Internet IPs z.B.:
> > 192.168.x.y 172.16.0.~ öff. IP vom Provider
> > ~.2 ~.1
> >
> > Auf dem Debian laufen alle die Dienste, die eine direkte Verbindung
> > zum Internet brauchen oder gar Dienste in Internet anbieten.
> > Außerdem sollte hier nochmal eine Paketfilterung stattfinden.
> > Der Debain-Router ist auch das Default-GW für das lokale Netz
>
> MIt den IPs komme ich nicht so klar.
>
> Internet 210.xxx.x.x feste IP vom ISP
>
>
> HW Router 210.xxx.x.x
> 192.168.2.1
>
>
> Server eth0 192.168.2.170
> eth1 192.168.2.171
NEEEIIINNN!
Das geht nicht (außer mit Tricks, z.B. Host-Routen). Wenn ein Host zwei
Netzwerkkarten hat, dann müssen diese im Normalfall Adressen aus
unterschiedlichen Bereichen haben (Siehe IP-Protokoll und Routing).
Der "Server" (er sollte nur für Dienste, die direkt mit dem Internet zu
tun haben, dienen) könnte z.B. auf der HW-Router-Seite die 192.168.2.2
bekommen. Auf der LAN-Seite dann z.B. 192.168.10.1 (immer mit der Maske
255.255.255.0).
>
> Switch an eth1
>
>
> PC1 192.168.2.200
> PC2 192.168.2.201
Die müssen dann jetzt natürlich Adressen aus dem Bereich
192.168.10.2..254 erhalten. Und als Default-Gateway die 192.168.10.1
Auf dem HW-Router muss jetzt entweder für das 192.168.10.er Netz die
192.168.2. 170 (eth0 vom DMZ-Server) bekommen (nicht ganz so gut).
Oder der DMZ-Server spielt für alle Internet-Dienste den Proxy (ftp,
http(s) kann Squid, Mails über einen Mailserver) oder für direkten
Zugriff dann Masquerading für das LAN auf die 192.168.2.170 (damit
kommen für den HW-Router alle Anfragen für das Internet nur noch direkt
vom DMZ-Server - viel besser, aber aufwändiger).
> > Der HW-Router sollte nur direkt mit dem Debian kommunizieren dürfen
> > (keine Route ins 192.168er Netz eintragen).
>
> Der Server bekommt vom Router eine 192.168 ip. Die Routereinstellung
> DMZ bewirkt das die Firewall inaktiv ist.
Dann sollte der DMZ-Server auf jeden Fall noch einmal eine Firewall
bekommen. Er ist ja schließlich auch ein Router - nämlich zwischen DMZ
und LAN.
Weitere Dienste (NFS, Samba, Datenbankserver, CUPS, ...) solltest du
nicht auf dem DMZ-Server installieren. Dafür ist dieser Teil deines
Netzwerkes viel zu unsicher. Diese Dienste gehören auf einen Rechner
innerhalb des 192.168.10.er-LAN.
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to:
- References:
- Router
- From: Klaus Schuehler <kschuehler@schuehler.com>
- Re: Router
- From: Matthias Houdek <linux@houdek.de>
- Re: Router
- From: Klaus Schuehler <kschuehler@schuehler.com>