3 subnetze, 3 IPs, 3 router - sichere verbindung untereinander? |
||
---|---|---|
#0
| ||
28.12.2006, 15:15
...neu hier
Beiträge: 2 |
||
|
||
28.12.2006, 21:26
Member
Beiträge: 371 |
#2
Klingt nach klassischem Fall für einen BSD oder Linux-Router.
M0N0-Wal oder IPCOP zum Beispiel. Für IPCOP die URL: www.ipcop.org Forum unter: www.ipcop-forum.de |
|
|
||
29.12.2006, 11:50
Member
Beiträge: 93 |
#3
Prinzipiell kannst du mit einer Statefull Inspection Firewall (die wohl alle drei haben) erreichen, dass zwar PCs aus dem privaten Lan die Server erreichen können, aber von den Servern nicht auf das LAN zugegriffen werden kann.
Mit drei IPs meinst du drei öffentliche IPs von einem Provider? Ich glaub ich würd die ganze Sache recht simpel halten.. 1. Einen Router mit Firewall und VPN Fähigkeiten, der das LAN vor dem Internet schützt und gesicherte Verbindung von extern per VPN ermöglicht. 2. Auf dem Router portforwarding auf bestimmte Ports (zb. 80, 443, 25) auf interne Server, wenn dies benötigt wird bzw. die Server von extern für jedermann erreichbar sein sollen (zb. Webserver) 3. Im LAN bei Bedarf zwei Subnetze bereitstellen, so dass Servernetz und Clientnetze getrennt sind, durch ACLs bzw. Firewallregeln zwischen den Subnetzen genau definieren, welche Clients auf welchen Ports auf die Server zugreifen können. |
|
|
||
29.12.2006, 12:32
...neu hier
Themenstarter Beiträge: 2 |
#4
Danke schon mal für die hinweise.
die IPs sind öffentlich IPs. Es ist auch wichtig, dass diese IPs ehalten bleiben, also die Server über je eine IP erreichbar sind. Portforwarding ist momentan eingestellt Ich werde mal ausprobieren, die Firewallregeln so zu konfigurieren. |
|
|
||
29.12.2006, 16:39
Member
Beiträge: 371 |
#5
Zitat ibridd posteteIPCOP kann damit umgehen. Habe das zwar nie gebraucht (wann hat man privat 3 IP-Adressen?), aber im Forum kam es öfter vor. Wenn die 3 Adressen von außen erreichbar sein sollen kenne ich keinen SOHO Router der damit umgehen kann. Da ist die flexibilität von Linux im Vorteil. |
|
|
||
30.12.2006, 12:10
Member
Beiträge: 5291 |
#6
Zitat PerryRhodan posteteFür sowas brauch man eigentlich gar keine Regeln, einfach nur IP-forwarding genügt schon. __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
Ich habe folgendes Problem:
Wir haben 3 fixe IP Adressen und auf jeder dieser IP Adresse läuft ein Router (Zywall 5 und Symantec VPN 100).
Hinter der ersten IP hängen sämtliche Clients und auf den beiden anderen IP die Server. Nun soll auch aus dem LAN auf die Server zugegriffen werden.
Im Moment sind die Router der Server über einen Switch mit dem LAN verbunden und sie haben auch IP Alias mit der selben subnet des LAN bekommen. Das ist aber im Moment nicht befriedigend, da es alles andere als sicher ist.
Die Server sollten von außen und auch vom LAN erreichbar sein, jedoch soll es keine Möglichkeit geben von den Servern auf das LAN zuzugreifen, falls sich mal jemand Zutritt zu den Servern verschafft.
Noch dazu ist das LAN über VPN erreichbar und es soll auch die Möglichkeit gegeben sein, dass auch die Server erreichbar sind.
hier mal zu Illustration
1. IP ------ Zywall ------LAN .123.0
|
|
2. IP ------ Symantec ------ Server 1 .100.1 und .123.190
|
|
3. IP ------ Netgear -------- Server 2 .0.1 und .123.191
Die beiden anderen Firewall sind also mit der Zywall verbunden und genau diese Verbindung soll sicherer werden.
Hat wer vielleicht eine idee, wie die zywall konfiguriert werden könnte?