DMZ für kleines LAN

Mitglied: istike2

istike2 (Level 2) - Jetzt verbinden

17.10.2011, aktualisiert 18.10.2012, 6740 Aufrufe, 4 Kommentare

Hallo,

da ich wegen OpenVPN einen zweiten Router (Asus RT-N16 mit DD-WRT) gekauft habe, würde ich den Alten Netgear ProSafe (mit eigenem Firmware) für DMZ benutzen.

mein Netzwerk sieht also so aus

INET--> Modem --> OpenVPN-Router (10.1.1.0) --> LAN (192.168.0.1.)
--> DMZ (10.2.1.0)

Was befindet sich im LAN: 2 x Synology NAS (Datenbackup und Mailserver) bzw. 4 PCs (nur als Workgroup)

Rein theoretisch müsste die Maildienst in DMZ und die zu schützenden Daten bzw. E-Mails im LAN stehen.

Da die Mailserver-GUI der Synology diese Trennung nicht anbietet wäre es rein technisch nur möglich eine NAS nur als Mailserver bzw. als Backup-Speicher der Benutzerdaten im DMZ zu benutzen. Die Benutzerdaten selbst würden sich also auf dem NAS (im LAN) befinden. Die Syncronisierung der Daten auf den Backup-NAS wäre nur in eine Richtung möglich. (ist es ein ausreichender Schutz???)

Ports:

aus dem LAN ins Internet wären alle Ports offen.
aus dem Internet wären also nur Ports 1194 (--> LAN) bzw. die für den Mailserver notwendigen (25, 143, 993, 995 usw --> DMZ) offen.
aus dem DMZ ins LAN wäre kein Port offen.

Was meint ihr? Ergibt es so Sinn? Welche Netzstruktur wäre hier die beste wenn ich mehr Geld nicht ausgeben möchte?

Danke für die Hilfe.

Gr. I.
Mitglied: aqui
18.10.2011, aktualisiert 18.10.2012
Das ist keine wirkliche DMZ...nichtmal ne halbe. Du musst alle Daten der "DMZ" über dein LAN schleifen. Eine wirkliche Trennung wie in eier DMZ findet also nicht statt. Das ist erher fromme Bastelei zur Gewissenberuhigung..mehr nicht !
Für eine wirkliche DMZ benötigst du besser ein 3tes Interface:
https://www.administrator.de/forum/asus-rt-n16-ergibt-pfsense-neben-dd-w ...
Bitte warten ..
Mitglied: istike2
18.10.2011 um 10:33 Uhr
Danke Aqui,

ich habe mir dieses Gerät angeschaut:

http://shop.varia-store.com/product_info.php?info=p886_pfSense-ready-sy ...

Scheint OK zu sein.

Ist sonst meine Konzeption für DMZ richtig?:

- NAS für Mailserver und Datenbackup in DMZ und
- NAS für den primären Datenspeicher ins LAN.

Datenbackup brauche ich leider, weil beide NAS ziemlich klein sind, nur mit einer Platte. Das Risiko, was dadurch ensteht, dass Backup-Daten im DMZ sind, nehme ich in Kauf.

Gr. I.
Bitte warten ..
Mitglied: aqui
18.10.2011 um 11:37 Uhr
Soviel Geld musst du gar nicht ausgeben. Wenn du nicht gerade 2 linke Hände hast und mit einem Schraubendreher umgehen kannst dann ist dieses allemal ausreichend:
http://shop.varia-store.com/product_info.php?products_id=1224

Na ja den Datenbackup in eine DMZ auszulagern ist nicht gerade das gelbe vom Ei aus Sicherheitsgründen. Aber wenn du das Risiko tragen kannst ist das ein gangbarer Weg. Viel andere sinnvolle Alternativen gibt es auch nicht !
Funktionieren tut so ein Konzept natürlich auch.
Bitte warten ..
Mitglied: istike2
18.10.2011 um 15:15 Uhr
Ok. Danke sehr.

Habe den Alix-Board bei Amazon bestellt. :-) face-smile

Gr. I.
Bitte warten ..
Heiß diskutierte Inhalte
Microsoft
Mitteilung an alle bei Störungen in der IT
gelöst David.B2D45Vor 1 TagFrageMicrosoft31 Kommentare

Hallo Forum, ich bin auf der Suche nach einem Programm / Tool mit dem ich Text (Laufschrift) auf allen (gewünschten) PC's / Benutzer im ...

Exchange Server
Exchange Zero Day Hack - Wie entfernen?
gelöst mtaiitVor 15 StundenFrageExchange Server26 Kommentare

Hallo, bei mir hat es einige Kundenserver getroffen Weiß einer wie ich diese WebShells wieder loswerde? Das löschen der betroffenen .aspx Dateien wird wohl ...

E-Mail
Kann man mit SPF Mails für eine Domäne vollständig verbieten?
gelöst StefanKittelVor 1 TagFrageE-Mail17 Kommentare

Hallo, viele Firmen haben ja zusätzliche Domänen. Als Web- und oder Mail-weiterleitung. Es werden also niemals Emails damit gesendet werden. kann man mit einem ...

Server-Hardware
Firmware-Updates auf Servern
redhorseVor 1 TagFrageServer-Hardware8 Kommentare

Guten Morgen, die Server-Hersteller stellen bekanntlich regelmäßig Firmware- und Treiberupdates für deren Serverhardware bereit, diese können z.B. bei Dell als Dell EMC Server Update ...

Linux
Windows auf Dualbootrechner entfernen und Linux die komplette Platte zur Verfügung stellen
N8chtfalterVor 1 TagFrageLinux6 Kommentare

Hallo Linux Profis, ich habe einen Laptop auf dem ursprünglichen Windows 10 installiert war, und ist, ich habe vor einem Jahr Ubuntu testhalber als ...

Windows Server
Domänenadmin kann kein Zertifikat anfordern
noodellsVor 1 TagFrageWindows Server6 Kommentare

Hallo Zusammen, ich habe ein Problem beim Finden einer Einstellung. Zuerst einmal der Stand: Es gibt eine Windows CA und Domaincontroller und alles funktionierte ...

Router & Routing
Routing öffentliche IP-Adresse-Traffic per BGP im internal-Network
gelöst jescheroVor 1 TagFrageRouter & Routing2 Kommentare

Guten Abend alle zusammen, ich habe ein kleines Problem beim Routing in pfSense. Mein aktuelles Aufbau ist folgenden: Ich habe eine pfSense-VM und zwei ...

Exchange Server
Windows Server 2019 + Exchange Server 2019 (Probleme mit Pop3)
gelöst aristonVor 1 TagFrageExchange Server4 Kommentare

Hallo zusammen, ich habe gerade angefangen, mit dem Exchange Server 2019 in der Demoversion zu arbeiten und folge Schritt für Schritt bei der notwendigen ...