Firewall hinter Hardwarerouter |
||
|---|---|---|
| #0
| ||
|
21.08.2003, 23:03
...neu hier
Beiträge: 6 |
||
 
|
|
|
|
21.08.2003, 23:37
Member
 Beiträge: 907 |
#2
ist das ein dedizierter rechner oder wird das ne desktopfirewall?
deine frage ist so allgemein und unpräzise wie das horoskop  ein guter anfang ist, wenn firewall und router sich in einem anderen netz befinden, sodass die FW den traffic zwischen internem LAN, an das der router nicht direkt rankommt, und WAN routet greez |
|
|
|
|
|
|
21.08.2003, 23:48
...neu hier
Themenstarter Beiträge: 6 |
#3
Sorry für meine unpräzise Ausdrucksweise, deshalb noch folgende Infos:
Für die Firewall würde ich auf jeden Fall einen dedizierten Rechner verwenden. Dein Vorschlag klingt echt gut. Mit welchem OS (noja, Frage erledigt sich ja eigentlich von selbst: Linux) und welcher Software realisiere ich sowas am besten? Mit Linux habe ich geringe Erfahrungen gesammelt, deshalb wäre eine relativ leicht konfigurierbare (bzw. vorkonfigurierte) Software von großem Vorteil. Thx! Grüße Andi |
|
|
|
|
|
|
21.08.2003, 23:56
Member
Beiträge: 907 |
#4
hi
schnapp dir ne distri, die am anfang für noobs einfach zu bedienen ist (SuSE, RedHat, ...) [ flame: ja, schlag mich Xeper  ]erstere liefert eine eigene "FW-Engine" mit (aufbauend auf iptables), es gibt aber auch GUI bzw. fernadministrations tools, die es dir erlauben, deine rules zusammen zu klicken mein vorschlag dazu: wende dich an uns hier und wir helfen dir mit der config oder schau auf roberts seite, da hat xeper ne doku zu netfilter/iptables router kommt ins netz 192.168.0.0 internes LAN 192.168.10.0 Firwall mit beiden NIC´s in den netzen -> routing und evtl. NATing, letzteres nicht unbedingt notwendig, da das schon der router macht greez |
|
|
|
|
|
|
22.08.2003, 10:48
...neu hier
Themenstarter Beiträge: 6 |
#5
Klingt ja echt gut. Also bräuchte ich dann zwei Netzwerkarten... . Wie ist das denn, lässt die Firewall die Absender IP gleich wenn die Pakete die Firewall "durchqueren" (weil sonst gibt es ja Probs mit NAT)? Sorry, aber auch in Sachen TCP/IP bin ich noch nicht wirklich fit, aber jeder fängt ja bekanntlich mal klein an
... . Und müsste ich dann die Firewall IP als Gateway in den Clients eintragen oder würde trotzdem alles gleich bleiben? Von dem Angebot das ich mich dann an euch wenden kann werde ich sicher Gebrauch machen, danke.Grüße Andi Dieser Beitrag wurde am 22.08.2003 um 10:48 Uhr von protector editiert.
|
|
|
|
|
|
|
22.08.2003, 12:35
Member
Beiträge: 907 |
#6
hi
no prob FW = Gateway wenn die FW nicht NATet, verändert sie die adressen auch nicht das prob ist aber, dass wenn du ein anderes netz "betrittst" (hier also die DMZ vom internen netz aus), muss sie NATen, da die client IP quasi in der DMZ "ungültig" ist bisschen konfigurieren und dann geht das schon mit dem 2x NATing greez |
|
|
|
|
|
|
22.08.2003, 12:59
...neu hier
Themenstarter Beiträge: 6 |
#7
Und wäre es dann nicht sinnvoller wenn man die Fw in das bestehenden Netz integriert, sofern das in der Form überhaupt möglich ist? Welche Vorteile ergeben sich denn wenn man den Router in ein anderes Netz outsourced?
Thx! Grüße Andi |
|
|
|
|
|
|
22.08.2003, 15:29
Member
Beiträge: 907 |
#8
wenn dein router in einem anderen netzsegment "steht" und dabei noch eine firewall dahinter, stellt dies für einen angreifer einen höheren aufwand dar, weil:
- er zunächst den filter des routers überwinden muss - dann immer noch nicht im internen netz ist, sondern in der DMZ - die firewall dann der nächste zu knackende punkt ist -> seine anfragen bei kompromiertem router nie direkt einen client treffen können, insofern die fw dies restriktiert - er ohne kompromitierte firewall keinen traffic der clients untereinander mitschneiden kann, weil diese ja auch noch hinter der firewall liegen (wichtig bei infosammlung, um schwachstellen aus zu machen) - du die DMZ dann problemlos ohne weitere sicherheitsbedenken um dein internes netz erweitern kannts du kannst natürlich auch alle rechner und den router in ein netz stellen und dabei die FW wie folgt integrieren LAN 192.168.0.0/24 -> FW 192.168.0.1/24 -> Router 192.168.0.2/24 die clients im LAN können also somit nie direkt den router (ohne umwege) erreichen, da dieser nur an die NIC der FW angeschlossen wird und nicht an den switch diese lösung ist auf den ersten blick vllt. eleganter, lässt aber spätere erweiterungen (Server in der DMZ) außen vor greez |
|
|
|
|
|
|
22.08.2003, 16:02
...neu hier
Themenstarter Beiträge: 6 |
#9
Nach deinen genannten Argumenten denke ich sollte man schon zu der Lösung mit der DMZ greifen, denn wenn man schon den Aufwand mit einer Fw betreibt dann richtig...
. Mit welcher Software löse ich dann am besten das "NAT-Problem"?Thx! Grüße Andi |
|
|
|
|
|
|
22.08.2003, 17:03
Member
 Beiträge: 5291 |
#10
Naja eigentlich reicht ein netzsegment völlig an der Firewall wirst du ja nicht vorbeikommen, jedenfalls nicht von außen und von innen auch nicht wenn alles richtig konfiguriert ist - DMZ ist hier gar nicht nötig. Ers kommt halt der Router dann der netfilter(Firewall) danach die ganzen clients und was auch immer. Das ganze hängst du halt an ein Switch und dann reicht das scho, auch die konstruktion kannst du nicht knacken - noch ganz sicher wer vielleicht sowas wie ipsec oder so wegen verschlüsselten datenverkehr aber naja im allgemeinen auch nicht wirklich nötig.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
|
22.08.2003, 17:55
...neu hier
Themenstarter Beiträge: 6 |
#11
Achso, na dann... . Dann wäre ja auch kein NAT-System auf dem Fw-Rechner nötig, richtig? Aber ist die SuSE "FW-Engine" eigentlich mehr als ein Packetfilter, denn im Prinzip ist ja mein Router eh schon (indirekt) ein Packetfilter. Ich dachte da eher an ein IDS-System oder ähnliches. Wie sieht es denn z.B. mit Snort aus, wäre diese Software dafür geeignet und dennoch nicht zu schwer zu konfigurieren? Oder welche Software würdest du in meinem Fall verwenden?
Thx! Grüße Andi Dieser Beitrag wurde am 22.08.2003 um 17:56 Uhr von protector editiert.
|
|
|
|
|
|
|
23.08.2003, 04:48
Member
Beiträge: 5291 |
#12
Aber klar musst du NAT benutzen, wie sollen denn sonst deine clients die Pakete empfangen können wenn da zwischen ne gegenstelle ist. Nein die SuSE Engine ist weniger als ein Paketfilter - genaugenommen ist sie nichts weiter als ein billiges bash script was du dir auch selbs zusammenbasteln kannst. der eigentliche netfilter ist der Linux kernel netfilter (www.netfilter.org) oder man iptables. Snort funktioniert ganz gut habs bei mir mal eingesetzt aber habs sein gelassen das ist halt bei nem hausnetz mit 4 computern nicht nützlich, da sowieso jeder daemon ne einzelne logfile hat. Darüber hinaus interessiert es mich auch nicht wer mich nun scannt oder nicht scannt das ist ja kein verbrechen. Solang du dein System unter Kontrolle hast wird auch nichts passieren.
__________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
|
|
|
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!
bitte erst » hier kostenlos registrieren!!
Folgende Themen könnten Dich auch interessieren:
Seite(n): 1
Copyright © 2024, Protecus.de - Protecus Team - Impressum / Mediadaten
Ich verwende einen Hardwarerouter der Firma Netgear, Modell MR 314. Jetzt würde mich interessieren wie ich am besten eine Firewall "hinter" dem Router realisiere.
Thx für euere Tipps!
Grüße Andi