Re: Router

To: debian-user-german@lists.debian.org
Subject: Re: Router
From: Matthias Houdek <linux@houdek.de>
Date: Tue, 5 Jul 2005 14:01:26 +0200
Message-id: <[🔎] 200507051401.26468.linux@houdek.de>
In-reply-to: <[🔎] 179477514.20050705130713@schuehler.com>
References: <[🔎] 1333883769.20050705083815@schuehler.com> <[🔎] 200507051044.40897.linux@houdek.de> <[🔎] 179477514.20050705130713@schuehler.com>

Hallo Klaus Schuehler, hallo auch an alle anderen

Am Dienstag 05 Juli 2005 13:07 schrieb Klaus Schuehler:
> Guten Tag Matthias Houdek,
>
> am Dienstag, 5. Juli 2005 um 10:44 schrieben Sie:
> > Lass den Hardware-Router stehen, als erste Firewall. Setze dann
> > einen Debian-Server dahinter, der Dienste anbietet (z.B. DHCP,
> > bind, Squid, MTA, HTTP-Server) und der zusätzlich noch einmal
> > zwischen HW-Router und LAN routet und ggf. filtert (2. Firewall):
> >
> > LAN --------- Debian ------------- HW-Router -----------,
> >                                                        '------>
> > Internet IPs z.B.:
> > 192.168.x.y          172.16.0.~             öff. IP vom Provider
> >                    ~.2           ~.1
> >
> > Auf dem Debian laufen alle die Dienste, die eine direkte Verbindung
> > zum Internet brauchen oder gar Dienste in Internet anbieten.
> > Außerdem sollte hier nochmal eine Paketfilterung stattfinden.
> > Der Debain-Router ist auch das Default-GW für das lokale Netz
>
> MIt den IPs komme ich nicht so klar.
>
> Internet    210.xxx.x.x     feste IP vom ISP
>
>
> HW Router   210.xxx.x.x
>             192.168.2.1
>
>
> Server      eth0 192.168.2.170
>             eth1 192.168.2.171

NEEEIIINNN!

Das geht nicht (außer mit Tricks, z.B. Host-Routen). Wenn ein Host zwei 
Netzwerkkarten hat, dann müssen diese im Normalfall Adressen aus 
unterschiedlichen Bereichen haben (Siehe IP-Protokoll und Routing).

Der "Server" (er sollte nur für Dienste, die direkt mit dem Internet zu 
tun haben, dienen) könnte z.B. auf der HW-Router-Seite die 192.168.2.2 
bekommen. Auf der LAN-Seite dann z.B. 192.168.10.1 (immer mit der Maske 
255.255.255.0). 

>
> Switch an eth1
>
>
> PC1         192.168.2.200
> PC2         192.168.2.201

Die müssen dann jetzt natürlich Adressen aus dem Bereich 
192.168.10.2..254 erhalten. Und als Default-Gateway die 192.168.10.1

Auf dem HW-Router muss jetzt entweder für das 192.168.10.er Netz die 
192.168.2. 170 (eth0 vom DMZ-Server) bekommen (nicht ganz so gut).

Oder der DMZ-Server spielt für alle Internet-Dienste den Proxy (ftp, 
http(s) kann Squid, Mails über einen Mailserver) oder für direkten 
Zugriff dann  Masquerading für das LAN auf die 192.168.2.170 (damit 
kommen für den HW-Router alle Anfragen für das Internet nur noch direkt 
vom DMZ-Server - viel besser, aber aufwändiger).

> > Der HW-Router sollte nur direkt mit dem Debian kommunizieren dürfen
> > (keine Route ins 192.168er Netz eintragen).
>
> Der Server bekommt vom Router eine 192.168 ip. Die Routereinstellung
> DMZ bewirkt das die Firewall inaktiv ist.

Dann sollte der DMZ-Server auf jeden Fall noch einmal eine Firewall 
bekommen. Er ist ja schließlich auch ein Router - nämlich zwischen DMZ 
und LAN.

Weitere Dienste (NFS, Samba, Datenbankserver, CUPS, ...) solltest du 
nicht auf dem DMZ-Server installieren. Dafür ist dieser Teil deines 
Netzwerkes viel zu unsicher. Diese Dienste gehören auf einen Rechner 
innerhalb des 192.168.10.er-LAN.

-- 
Gruß
                MaxX

Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.

Reply to:

References:
- Router
  - From: Klaus Schuehler <kschuehler@schuehler.com>
- Re: Router
  - From: Matthias Houdek <linux@houdek.de>
- Re: Router
  - From: Klaus Schuehler <kschuehler@schuehler.com>

Prev by Date: Re: Debian AMD64
Next by Date: Re: Updates für sarge?
Previous by thread: Re: Router
Next by thread: Re: Router
Index(es):
- Date
- Thread