Firewall für DMZ und Intranet richtig konfigurieren

Mitglied: vGaven

vGaven (Level 1) - Jetzt verbinden

06.12.2016 um 13:50 Uhr, 2068 Aufrufe, 3 Kommentare

Hi,

ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne an dem Gerät ein Server mit anschließen und eine Intranet betreiben.
Der Server soll per HTTPS(/HTTP) und eventuell SFTP von außen erreichbar sein.
Die Clients im Intranet dürfen nicht mit dem Server in kontakt/kommunizieren, außer ein Admin Client, kommen/ können und auch nicht von außen erreichbar sein.

Vor der Firewall habe ich eine Fritzbox die soll nur für die Telefonie verantwortlich sein.

Nun was ich bis jetzt gemacht habe:

DHCP Funktion von der Fritzbox ausgeschaltet und an der Firewall 3 VLAN erstellt:
VLAN 3: BueroClients Range 192.168.25.100-192.168.25.215 Subnet Mask: 255.255.255.0
VLAN 2: WLANClients Range 192.168.51.100-192.168.51.215 Subnet Mask: 255.255.255.0

Auch habe ich die Firewall Funktion DMZ aktiviert
IP 176.16.2.1 Subnet Mask: 255.255.255.0
DHCP deaktiviert

Nun muss ich ja die Firewall eigentlich konfigurieren mit Inbound and Outbound nun stehen mir folgende Einstellungsmöglichkeiten zur Verfügung
und ich bin mir nicht was hier dann mit outbound und inbound gemeint ist habe aber dennoch probiert etwas hinzukriegen

LAN WAN Rules
Outbound Services
Service Name: Any Filter: ALLOW always LAN Users: Any WAN Users: Any


Inbound Services
Hier habe ich ein Problem hier will ich ja, wenn ich es richtig verstanden habe, dass die Clients von außen nicht erreichbar sind muss ich ja BLOCK always jedoch muss ich hier Send to Lan Server (eine IP) eingeben
Erklärung dazu ist:
Under the Send to LAN server field, enter the IP address of the PC or Server on your LAN which will receive the inbound or outbound traffic covered by this rule.

hmm?

DMZ WAN Rules
Outbound Services
Service Name: HTTP Filter: ALLOW always LAN Users: Any WAN Users: Any

Inbound Services
Service Name: HTTP Filter: ALLOW always LAN Server IP Address: 176.16.2.1 LAN Users: WAN Users: Any
Service Name: HTTPS Filter: ALLOW always LAN Server IP Address[* *]: 176.16.2.1 LAN Users: WAN Users: Any
[* *] LAN Server IP Adress ist genau das Feld Send to Lan Server dort habe ich dieses Mal die IP von dem DMz eingegeben richtig?

LAN DMZ Rules
Outbound Services
Service Name: Any Filter: Block always LAN Users: Any WAN Users: Any

Inbound Services
Service Name: SSH Filter: Allow always LAN Users: Any WAN Users: Any
Service Name: FTP Filter: Allow always LAN Users: Any WAN Users: Any


Nun bin ich mir nicht sicher ob die ganze Konfiguration so richtig und sicher ist?

Würde mich über ein Feedback freuen.

Gruße
Gaven
Mitglied: Pjordorf
06.12.2016, aktualisiert um 14:43 Uhr
Hallo,

Zitat von vGaven:
ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne an dem Gerät ein Server mit anschließen und eine Intranet betreiben.
Ist so der Standard wenn keine Dienste für das Internet bereitgestellt werden. Ein Klassiches LAN.

Der Server soll per HTTPS(/HTTP) und eventuell SFTP von außen erreichbar sein.
Damit ist dein Intranet hinfällig. Entweder dann ein Extranet (wo nur bestimmte drauf kommen) oder dein Server stellt Dienste für das Internet zur Verfügung. Dazu wird eine DMZ empfohlen welche das Internet und dein LAN wieder trennt. Damit ist dein Intranet vom Internet sauber getrennt.
https://de.wikipedia.org/wiki/Intranet
https://de.wikipedia.org/wiki/Extranet
https://de.wikipedia.org/wiki/Internet

Die Clients im Intranet dürfen nicht mit dem Server in kontakt/kommunizieren, außer ein Admin Client, kommen/ können und auch nicht von außen erreichbar sein.
Dann beschänke den Zugriff auf diesen Server (DMZ) nur auf diesen einen Benutzer oder gar Clientrechner.

Vor der Firewall habe ich eine Fritzbox die soll nur für die Telefonie verantwortlich sein.
Also eine Routerkaskade, und dort am LAN (Fritte) bzw. WAN deines FSV318N hättest du schon eine schöne DMZ. Portfowardings werden von dir keine Benötigt auf der FVS318N. Ob du eine DMZ in deiner Fritte bildest oder einfach nur ein Portforwarding zu dein Server dort.....

und ich bin mir nicht was hier dann mit outbound und inbound gemeint ist habe aber dennoch probiert etwas hinzukriegen
Deine Fritte hat genauso Inbound wie auch Outbound richtungen, wie eben deine FVS318N auch. Stell dich auf ein Gerät drauf, schaue was Rausgeht und schaue was Reinkommt. In oder Outbound ist immer betrachtet von Gerät aus, und das ist nicht nur WAN oder LAN, sondern es betrifft die Richtung welche die Daten nehmen, auch wenn die über 1 Patchkabel laufen.

Gruß,
Peter
Bitte warten ..
Mitglied: vGaven
06.12.2016 um 16:22 Uhr
Hi Peter,

Danke erst Mal für die Rückmeldung.
Dann sollten die Rules die ich erstellt habe richtig sein, da alles logisch ist. Was ich nur noch machen muss, ist an der Fritte die jeweiligen Ports öffnen halt für HTTP/HTTPS und SSH. Richtig oder?

Gruß
Gaven
Bitte warten ..
Mitglied: Pjordorf
06.12.2016 um 16:34 Uhr
Hallo,

Zitat von vGaven:
Dann sollten die Rules die ich erstellt habe
Habe ich mir nicht genau angesehen bzw. nur drüber weg gescrollt.

ist an der Fritte die jeweiligen Ports öffnen halt für HTTP/HTTPS und SSH
Eingehend?
Ausgehend?
Wenn dein DiensteanbietenderInterntServer im LAN der Friite hängt, nur die Ports weiterleiten welche auch benötigt werden. Wenn der nur HTTPS anbietest, braucht es kein HTTP. Warum soll aus dem Internt dort mit SSH drauf zugegriffen werden? Du hast doch einen bestimmten Benutzer bzw. Rechner im LAN der dort Admin tun soll? Und ins LAN kommst du doch jederzeit per VPN oder schlimmstenfall per Teamviewer. Öffne nur was nötig ist, nicht was möglich ist. Auch der Server hat eine Firewall, nutze diese um dort nur bestimmte IPs rein zu lassen (dein SSH z.B.) VOIP ist in der Fritte eingerichtet, somit braucht es keine Portforwardings zu deiner FVS318N und weiter ins LAN dahinter. Alles andere ist doch ausgehend von dein LAN über deine FVS318N. Dort nur das zulassen was gebraucht wird. Eine Routerkaskade bleibt es allemal und du wirst immer an beiden Geräten Hand anlegen müssen.

Gruß,
Peter
Bitte warten ..
Heiß diskutierte Inhalte
Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaQuestionUbuntu27 Comments

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyQuestionMultimedia26 Comments

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Windows Server
PowerShell Script für MailVersand mit Anhang
solved klausk94QuestionWindows Server20 Comments

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
solved DennisAdm1nQuestionLAN, WAN, Wireless19 Comments

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
solved CubeHDQuestionWindows 1018 Comments

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Batch & Shell
Frage zu batch (cmd ) - Drag und Drop - Bearbeitung bei nicht geschlossenem DOS Fenster
solved AN34MemQuestionBatch & Shell17 Comments

Hallo. Vielleicht mag meine Frage etwas seltsam sein, jedoch möchte ich gerne wissen wie das umzusetzen ist: Angenommen man ...

Ähnliche Inhalte
Router & Routing
DMZ Verständnisfrage
PharITFrageRouter & Routing2 Kommentare

Hallo allerseits, ich will mit meinem Cisco 891 Router meine erste DMZ aufsetzen. Hab ich das richtig verstanden, dass ...

LAN, WAN, Wireless
Verständnisfrage DMZ
maddigFrageLAN, WAN, Wireless11 Kommentare

Guten Morgen, ich habe schon immer eine Verständnisfrage in Bezug mit einer DMZ. Im Anhangsbild ist zum Beispiel unsere ...

Windows Server
Webserver DMZ
adrian138FrageWindows Server7 Kommentare

Hallo, Wir stellen einen neuen Webserver in die DMZ welcher von aussen erreichbar ist. Frage: Es braucht eine AD ...

Netzwerkgrundlagen

EdgeRouter X als VLan-Switch und Firewall für DMZ und Heimnetzwerk

gelöst Phil100VolFrageNetzwerkgrundlagen9 Kommentare

Hallo, da mir leider das fachliche Hintergrundwissen fehlt, möchte ich gerne eure Meinung zu dem EdgeRouter X wissen. Mein ...

Informationsdienste

Kleines Intranet

MarsdolfFrageInformationsdienste19 Kommentare

Hallo Ich habe vor eine Intranet Seite zu erstellen, die aber kaum etwas Können muss. Bei uns in den ...

Netzwerkmanagement

DMZ hinter LAN?

gelöst Lars15FrageNetzwerkmanagement8 Kommentare

Hallo, normalerweise wird eine DMZ ja folgendermaßen aufgebaut: WAN>Router1>DMZ>Router2>LAN. Aus organisatorischen Gründen würde ich gerne die Position von LAN ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT