Zwei Linux-Firewalls "hintereinander" laufen lassen

#0
12.04.2005, 14:13
...neu hier

Beiträge: 3
#1 Hallo zusammen,

ich bin auf dem Gebiet nicht all zu fit, deshalb meine Frage:

macht es Sinn, zwei Firewalls so zusagen "in Reihe" zu schalten?
Die erste, zum internen Netz hin würde dann mit nem Proxy laufen, als Application Layer und die zweite, nach außen stehende, als Paketfilter.
Oder ist das Unsinn??

Wenn man das aber so machen würde, dann müsste doch die interne Firewall als Standard-Gateway die externe eingetragen haben, umgekehrt aber eine statische Route bestehen oder?

Genauso müssen auch alle statischen Routen, die bisher in der Firewall eingetragen sind, auch in die zweite eingetragen werden?!?

Bitte klärt mich auf wenn ich das falsch sehe...

Dank euch!
Gruß, toady
Seitenanfang Seitenende
12.04.2005, 22:49
Member
Avatar Spike20

Beiträge: 504
#2 Hallo today,

ist alles so weit richtig. In vielen Umgebungen findet man zwei Firewall Instanzen. Meistens sind es dann aber Firewalls von verschiedenen Herstellern, um evt. schwächen auszugleichen.

Viel Spaß beim Basteln!

Gruß Spike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)
Seitenanfang Seitenende
13.04.2005, 08:36
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Spike,

erstmal danke für die Antwort!!

Ich hatte mir so gedacht, zwei Rechner zu nehmen aber auf beiden SuSE zu installieren.

Wenn du schreibst, ich soll die zwei von verschiedenen Herstellern nehmen, bleibt mir ja eigentlich nur ne Hardwarefirewall, weil bei Linux die Firewall (iptables) doch unabhängig von den Distributionen ist oder??

Schönen Tag!!
Gruß,
toady
Seitenanfang Seitenende
13.04.2005, 11:06
Member

Beiträge: 31
#4

Zitat

toady postete
Wenn du schreibst, ich soll die zwei von verschiedenen Herstellern nehmen, bleibt mir ja eigentlich nur ne Hardwarefirewall, weil bei Linux die Firewall (iptables) doch unabhängig von den Distributionen ist oder??
toady


Grundsätzlich schon, aber eine andere Disrtibution zu verwenden wäre auch schon mal nicht schlecht. Vor allem im Hinblick dessen das sich SuSe nicht unbedingt als Router eignet, weil es selbst in der Minimalinstallation stark überladen ist.

Ich würde dir als Router Slackware mit einem 2.4.X Kernel empfehlen. Ist viel übersichtlicher und es lässt sich auch viel einfacher der Kernel selbst kompilieren, da er nicht so stark "verpatched" wie der von Suse ist.

Selbstkompilieren ist desswegen wichtig weil bei den neuesten Iptables-Patches einige seeehr interessante Features dabei sind mit denen man einen äußerst mächtigen Router bauen kann.

Hab selber einen Slackware-Router im Einsatz und bin vollauf zufrieden. :-)

J.G.
Seitenanfang Seitenende
13.04.2005, 14:50
Member

Beiträge: 73
#5 Hi.

Hab bei uns im Netz das folgendermaßen eingerichtet:

FW (192.168.78.x Intern / 192.168.43.xx DMZ)

SBS 2003 (192.168.78.x Extern / 192.168.2.x Intern)

Sind also quasi 2 DMZ vorhanden. Auf dem SBS ist die interne FW (Filter ;)) installiert.
Meiner Meinung nach ist es nicht unbedingt sinnvoll, 2 Firewalls vom selben Typ hintereinander zu schalten, wie schon Spike20 gesagt hat, evtl. Schwächen ausgleichen bzw. ein anderes FW-System.
Dieser Beitrag wurde am 13.04.2005 um 14:51 Uhr von [MaxXx] editiert.
Seitenanfang Seitenende
14.04.2005, 09:20
Member

Beiträge: 12
#6 Also 2 finde ich nur sinnvoll wenn ein Netz dazwischen liegt was von jeder Seite unterschiedliche Zugriffsrechte hat/haben muss, so wie [MaxXx] das gemacht hat. Ansonsten, naja, 2 Distributionen? Einfach unnoetige Dienste beenden und die Ports dicht machen, das sollte eigentlich reichen.
Und wenn ein Bug in z.B. SSH rauskommt, wirds den sowohl fuer Slack als auch Debian etc. geben.
Seitenanfang Seitenende
27.04.2005, 11:06
...neu hier

Themenstarter

Beiträge: 3
#7 Hallo zusammen,

danke für eure Antworten!! Sorry, ich war ein paar Tage weg.

In Zukunft soll da auch ne DMZ hin, in die dann die Outlook Webaccess Server rein sollen.

Sagt mal, was haltet ihr von IPCop??

Gruß,
toady
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: