3
2 Netzwerke komplett trennen, nur gemeinsamer Internet-Zugang
Hallo Forum
Folgendes Vorhaben:
Netzwerk 1
IP Adresse: 192.168.100.1
Subnet: 255.255.255.0
Gateway: 192.168.100.1
Netzwerk 2
IP Adresse: 192.168.50.1
Subnet: 255.255.255.0
Gateway: 192.168.50.1
Beide Netzwerke sind an einem Zyxel Router P661 H-I angeschlossen. Der Router verfügt ja über "IP Alias". In den Lan-Einstellungen ist 192.168.100.1 als Gateway eingetragen, im IP Alias 192.168.50.1.
Nun können die beiden Netzwerke ja aufeinander zugreifen (anpingen), und genau das möchte ich unterbinden.
- Reicht es aus, wenn ich entsprechende Firewall-Regeln definiere, damit die Rechner einander nicht anpingen können?
- Ist gewährleistet, dass wenn sich die Rechner nicht anpingen könne, auch keinerlei Daten-Austausch stattfindet (z.B. wenn in sich in beiden Netzwerken Domänencontroller befinden)
- Oder sollten aus Sicherheitsgründen die Netzwerke mit mehreren Routern getrennt werden?
Falls ja, wie müsste das Netzwerk mit mehreren Routern aufegabut sein?
Danke für eure Mithilfe
Gruss meierjo
Folgendes Vorhaben:
Netzwerk 1
IP Adresse: 192.168.100.1
Subnet: 255.255.255.0
Gateway: 192.168.100.1
Netzwerk 2
IP Adresse: 192.168.50.1
Subnet: 255.255.255.0
Gateway: 192.168.50.1
Beide Netzwerke sind an einem Zyxel Router P661 H-I angeschlossen. Der Router verfügt ja über "IP Alias". In den Lan-Einstellungen ist 192.168.100.1 als Gateway eingetragen, im IP Alias 192.168.50.1.
Nun können die beiden Netzwerke ja aufeinander zugreifen (anpingen), und genau das möchte ich unterbinden.
- Reicht es aus, wenn ich entsprechende Firewall-Regeln definiere, damit die Rechner einander nicht anpingen können?
- Ist gewährleistet, dass wenn sich die Rechner nicht anpingen könne, auch keinerlei Daten-Austausch stattfindet (z.B. wenn in sich in beiden Netzwerken Domänencontroller befinden)
- Oder sollten aus Sicherheitsgründen die Netzwerke mit mehreren Routern getrennt werden?
Falls ja, wie müsste das Netzwerk mit mehreren Routern aufegabut sein?
Danke für eure Mithilfe
Gruss meierjo
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 109983
Url: https://administrator.de/contentid/109983
Ausgedruckt am: 04.12.2024 um 08:12 Uhr
3 Kommentare
Neuester Kommentar
Wenn der Zyxel eine Accessliste auf die Alias Adresse zulässt, reicht es damit einen Datenfluss vom Netzwerk 192.168.50.0 /24 ins das Netzwerk 192.168.100.0 /24 und umgekehrt mit einer einfachen ACL ala
Blocke IP mit Quelladresse 192.168.50.x nach Zieladresse 192.168.100.x
Damit hast du dann jeglichen Datenfluss zwischen beiden Netzen unterbunden !
Supportet der Zyxel sowas nicht schaltest du einfach eine kleine Firewall wie z.B. diese
davor !
(Ignoriere die Captive Portal Funktion und lasse die M0n0wall nur als Firewall laufen ! )
Blocke IP mit Quelladresse 192.168.50.x nach Zieladresse 192.168.100.x
Damit hast du dann jeglichen Datenfluss zwischen beiden Netzen unterbunden !
Supportet der Zyxel sowas nicht schaltest du einfach eine kleine Firewall wie z.B. diese
davor !
(Ignoriere die Captive Portal Funktion und lasse die M0n0wall nur als Firewall laufen ! )
Hallo Aqui
Danke für die Antwort. Hat tadellos funktioniert. Im Zyxel-Router kann ich Firewall-Regeln definieren, die den Datenfluss von Netzwerk 192.168.50.x nach 192.168.100.x und umgekehrt unterbinden.
Wie müsste ich das Netzwerk aufbauen, wenn ich mehrere Router benützen würde?
Gruss Meierjo
Danke für die Antwort. Hat tadellos funktioniert. Im Zyxel-Router kann ich Firewall-Regeln definieren, die den Datenfluss von Netzwerk 192.168.50.x nach 192.168.100.x und umgekehrt unterbinden.
Wie müsste ich das Netzwerk aufbauen, wenn ich mehrere Router benützen würde?
Gruss Meierjo
So zum Beispiel:
Die Windows Maschine kannst du auch durch einen Router ersetzen logischerweise...
Oder hier ist auch ein solches Design:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Allerdings ist da Vorsicht durch die NAT Funktion auf dem Router geboten, oder du kannst sie auch aktiv nutzen, da du ja den Zugang so oder so unterbinden willst
Die Windows Maschine kannst du auch durch einen Router ersetzen logischerweise...
Oder hier ist auch ein solches Design:
http://www.heise.de/netze/DMZ-selbst-gebaut--/artikel/78397
Allerdings ist da Vorsicht durch die NAT Funktion auf dem Router geboten, oder du kannst sie auch aktiv nutzen, da du ja den Zugang so oder so unterbinden willst
