9
Autarkes Netzwerk kontrolliert an Internet anbinden - wie?
Hallo,
ich habe folgende Ist-Zustand:
- autarkes Netzwerk (win2008Srv DC, WinXP & Win7 Clients), kein Internet
- Ein Internet-PC Stand-alone
Soll-Zustand:
- Anbindung des Netzwerks an Internet, aber nicht direkt, sondern über den Internet-PC => keine direkte Anbindung an den Router (es soll nur eine einzige SW mit Updates versorgt werden, die über den Internet-PC bezogen und verteilt werden.)
Welche Möglichkeiten gibt es?
- Zweite Netzwerkkarte?
- Gateway?
- Software?
- ggf. Anbindung nur während des Update-Vorgangs
Wäre schön, wenn ich hier eine Lösung finden könnte
Danke
ich habe folgende Ist-Zustand:
- autarkes Netzwerk (win2008Srv DC, WinXP & Win7 Clients), kein Internet
- Ein Internet-PC Stand-alone
Soll-Zustand:
- Anbindung des Netzwerks an Internet, aber nicht direkt, sondern über den Internet-PC => keine direkte Anbindung an den Router (es soll nur eine einzige SW mit Updates versorgt werden, die über den Internet-PC bezogen und verteilt werden.)
Welche Möglichkeiten gibt es?
- Zweite Netzwerkkarte?
- Gateway?
- Software?
- ggf. Anbindung nur während des Update-Vorgangs
Wäre schön, wenn ich hier eine Lösung finden könnte
Danke
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 179211
Url: https://administrator.de/contentid/179211
Printed on: April 18, 2024 at 23:04 o'clock
9 Comments
Latest comment
Hallo,
den Internet PC mit einem Router ins Internet hängen...
Das ist alles.
brammer
den Internet PC mit einem Router ins Internet hängen...
Das ist alles.
brammer
Hallo,
so wirklich schlau werd ich aus deinem Konstrukt noch nicht aber natürlich kann man den "Internet-PC" eine zweite Netzwerkkare einbauen und die kriegt dann eine IP aus deinem autarken Netz. Somit können die PC's aus dem Netz auf den einen PC zugreifen.
so wirklich schlau werd ich aus deinem Konstrukt noch nicht aber natürlich kann man den "Internet-PC" eine zweite Netzwerkkare einbauen und die kriegt dann eine IP aus deinem autarken Netz. Somit können die PC's aus dem Netz auf den einen PC zugreifen.
hi,
USB-Stick?
Also ich kann nur vernuten.
Internet-PC hängt über LAN im "internet"
Weiterhin gibt es ein autarkes Netz
Einfach eine zweite nnetzwerkkarte in den internetPC und schauen, daß da kein Routing aktiv ist und die firewall-regeln korrekt gesetzt sind.
Wichtig: Die systeme im autarken Netz müssen gesichert und ggf. security-Patches zeitnah eingespielt werden ansonsten ist die gefahr zu große, daß üebr den Internet-PC Malware eingeschleppt wird.
lks
PS. je nachdem, was die Gründe für ein autarkes netz sind, kann ein USb.-Stcik manchmal die sinnvollste Lösung sein. (Virenscanner für den Stick nciht vergessen).
USB-Stick?
Also ich kann nur vernuten.
Internet-PC hängt über LAN im "internet"
Weiterhin gibt es ein autarkes Netz
Einfach eine zweite nnetzwerkkarte in den internetPC und schauen, daß da kein Routing aktiv ist und die firewall-regeln korrekt gesetzt sind.
Wichtig: Die systeme im autarken Netz müssen gesichert und ggf. security-Patches zeitnah eingespielt werden ansonsten ist die gefahr zu große, daß üebr den Internet-PC Malware eingeschleppt wird.
lks
PS. je nachdem, was die Gründe für ein autarkes netz sind, kann ein USb.-Stcik manchmal die sinnvollste Lösung sein. (Virenscanner für den Stick nciht vergessen).
Ich versuche es genauer zu erklären:
das Netzwerk besteht als ein Netzwerk ohne Internetanbindung. Der Internet-PC ist bereits mit einem Router ans Internet angebunden (s. Bild)
http://www.abload.de/image.php?img=diagramm18glat.jpeg
Die gestrichelte Linie stellt das Problem dar. Ich möchte hier eine Verbindung herstellen, dass der Internet-PC das Netzwerk versorgt, ohne dass das Netzwerk auf das Internet zugreift.
das Netzwerk besteht als ein Netzwerk ohne Internetanbindung. Der Internet-PC ist bereits mit einem Router ans Internet angebunden (s. Bild)
http://www.abload.de/image.php?img=diagramm18glat.jpeg
Die gestrichelte Linie stellt das Problem dar. Ich möchte hier eine Verbindung herstellen, dass der Internet-PC das Netzwerk versorgt, ohne dass das Netzwerk auf das Internet zugreift.
Moin,
Dein Ziel ist es doch, dass nur diese Software Zugriff auf das Internet hat. Richtig?
Dafür brauchst Du "nur" den richtigen Router.
Verbinde auf keinen Fall den PC mit dem autaken Netzwerk.
Da der PC Verbindung ins Internet hat, ist der Softwarestand (Updates für Windows, Adobe, Java, etc) deutlich anders.
Und es könnte ja doch irgendwas drauf sein was den PC mit seinen Updates nichts anhaben kann, dem autaken Netzwerk ohne Updates und AV (geraten) aber doch.
Also: Router mit Firewall und VLAN. z.B. Sonicwall.
2 VLANS (autaktes Netzwerk, InternetPC) ohne Verbindung
VLAN 1 (Internet PC) hat vollen Zugriff auf das Internet
VLAN 2 (autakes Netz) hat nur Zugriff auf die IP und den Port für die Updates.
Stefan
Dein Ziel ist es doch, dass nur diese Software Zugriff auf das Internet hat. Richtig?
Dafür brauchst Du "nur" den richtigen Router.
Verbinde auf keinen Fall den PC mit dem autaken Netzwerk.
Da der PC Verbindung ins Internet hat, ist der Softwarestand (Updates für Windows, Adobe, Java, etc) deutlich anders.
Und es könnte ja doch irgendwas drauf sein was den PC mit seinen Updates nichts anhaben kann, dem autaken Netzwerk ohne Updates und AV (geraten) aber doch.
Also: Router mit Firewall und VLAN. z.B. Sonicwall.
2 VLANS (autaktes Netzwerk, InternetPC) ohne Verbindung
VLAN 1 (Internet PC) hat vollen Zugriff auf das Internet
VLAN 2 (autakes Netz) hat nur Zugriff auf die IP und den Port für die Updates.
Stefan
d.h. die Konfiguration liegt im Router? Internet-PC und Autarkes Netz sind mit dem Router (Router verbindet ins Internet) verbunden aber der Router schlüsselt es in VLANs auf...?
Hallo sojos,
genau. VLAN1 und VLAN2 können nicht miteinander kommunizieren, aber beide mit dem Router.
Für VLAN1 ist normales NAT aktiviert und für VLAN2 ist nur der IP Range 1.2.3.0/255.255.255.0 mit dem Port 12345 freigeschaltet.
Stefan
genau. VLAN1 und VLAN2 können nicht miteinander kommunizieren, aber beide mit dem Router.
Für VLAN1 ist normales NAT aktiviert und für VLAN2 ist nur der IP Range 1.2.3.0/255.255.255.0 mit dem Port 12345 freigeschaltet.
Stefan
OK, mit der Portfreigabe kann ich dann steuern, dass nur dieses spez. Programm Updates bezieht? Mit VLAN hab ich kapiert, die Umsetzung der Kontrolle hängt doch dann vom Programm ab, oder? Denn wenn das Programm über Port 80 mit dem Inet kommuniziert, ist die Sicherheit so dahin???
?
VLAN steuert der Router. Der hat mehrere LAN Anschlüsse. eines für VLAN1 und eines für VLAN2.
Der Router steuert was wohin darf. Evtl. auch der Switch.
Und für VLAN2 sagst Du, dass man nur auf die IP 1.2.3.4 und Port 561 zugreifen darf. Alles andere wird verworfen.
Stefan
VLAN steuert der Router. Der hat mehrere LAN Anschlüsse. eines für VLAN1 und eines für VLAN2.
Der Router steuert was wohin darf. Evtl. auch der Switch.
Und für VLAN2 sagst Du, dass man nur auf die IP 1.2.3.4 und Port 561 zugreifen darf. Alles andere wird verworfen.
Stefan
