vgaven
Goto Top

Firewall für DMZ und Intranet richtig konfigurieren

Hi,

ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne an dem Gerät ein Server mit anschließen und eine Intranet betreiben.
Der Server soll per HTTPS(/HTTP) und eventuell SFTP von außen erreichbar sein.
Die Clients im Intranet dürfen nicht mit dem Server in kontakt/kommunizieren, außer ein Admin Client, kommen/ können und auch nicht von außen erreichbar sein.

Vor der Firewall habe ich eine Fritzbox die soll nur für die Telefonie verantwortlich sein.

Nun was ich bis jetzt gemacht habe:

DHCP Funktion von der Fritzbox ausgeschaltet und an der Firewall 3 VLAN erstellt:
VLAN 3: BueroClients Range 192.168.25.100-192.168.25.215 Subnet Mask: 255.255.255.0
VLAN 2: WLANClients Range 192.168.51.100-192.168.51.215 Subnet Mask: 255.255.255.0

Auch habe ich die Firewall Funktion DMZ aktiviert
IP 176.16.2.1 Subnet Mask: 255.255.255.0
DHCP deaktiviert

Nun muss ich ja die Firewall eigentlich konfigurieren mit Inbound and Outbound nun stehen mir folgende Einstellungsmöglichkeiten zur Verfügung
und ich bin mir nicht was hier dann mit outbound und inbound gemeint ist habe aber dennoch probiert etwas hinzukriegen

back-to-topLAN WAN Rules
Outbound Services
Service Name: Any Filter: ALLOW always LAN Users: Any WAN Users: Any


Inbound Services
Hier habe ich ein Problem hier will ich ja, wenn ich es richtig verstanden habe, dass die Clients von außen nicht erreichbar sind muss ich ja BLOCK always jedoch muss ich hier Send to Lan Server (eine IP) eingeben
Erklärung dazu ist:
Under the Send to LAN server field, enter the IP address of the PC or Server on your LAN which will receive the inbound or outbound traffic covered by this rule.

hmm?

back-to-topDMZ WAN Rules
Outbound Services
Service Name: HTTP Filter: ALLOW always LAN Users: Any WAN Users: Any

Inbound Services
Service Name: HTTP Filter: ALLOW always LAN Server IP Address: 176.16.2.1 LAN Users: WAN Users: Any
Service Name: HTTPS Filter: ALLOW always LAN Server IP Address[* *]: 176.16.2.1 LAN Users: WAN Users: Any
[* *] LAN Server IP Adress ist genau das Feld Send to Lan Server dort habe ich dieses Mal die IP von dem DMz eingegeben richtig?

back-to-topLAN DMZ Rules
Outbound Services
Service Name: Any Filter: Block always LAN Users: Any WAN Users: Any

Inbound Services
Service Name: SSH Filter: Allow always LAN Users: Any WAN Users: Any
Service Name: FTP Filter: Allow always LAN Users: Any WAN Users: Any


Nun bin ich mir nicht sicher ob die ganze Konfiguration so richtig und sicher ist?

Würde mich über ein Feedback freuen.

Gruße
Gaven

Content-ID: 322998

Url: https://administrator.de/contentid/322998

Ausgedruckt am: 22.11.2024 um 15:11 Uhr

Pjordorf
Pjordorf 06.12.2016 aktualisiert um 14:43:22 Uhr
Goto Top
Hallo,

Zitat von @vGaven:
ich habe ein Business DSL Anschluss mit fester IP und eine Firewall erhalten, die FVS318N, und würde gerne an dem Gerät ein Server mit anschließen und eine Intranet betreiben.
Ist so der Standard wenn keine Dienste für das Internet bereitgestellt werden. Ein Klassiches LAN.

Der Server soll per HTTPS(/HTTP) und eventuell SFTP von außen erreichbar sein.
Damit ist dein Intranet hinfällig. Entweder dann ein Extranet (wo nur bestimmte drauf kommen) oder dein Server stellt Dienste für das Internet zur Verfügung. Dazu wird eine DMZ empfohlen welche das Internet und dein LAN wieder trennt. Damit ist dein Intranet vom Internet sauber getrennt.
https://de.wikipedia.org/wiki/Intranet
https://de.wikipedia.org/wiki/Extranet
https://de.wikipedia.org/wiki/Internet

Die Clients im Intranet dürfen nicht mit dem Server in kontakt/kommunizieren, außer ein Admin Client, kommen/ können und auch nicht von außen erreichbar sein.
Dann beschänke den Zugriff auf diesen Server (DMZ) nur auf diesen einen Benutzer oder gar Clientrechner.

Vor der Firewall habe ich eine Fritzbox die soll nur für die Telefonie verantwortlich sein.
Also eine Routerkaskade, und dort am LAN (Fritte) bzw. WAN deines FSV318N hättest du schon eine schöne DMZ. Portfowardings werden von dir keine Benötigt auf der FVS318N. Ob du eine DMZ in deiner Fritte bildest oder einfach nur ein Portforwarding zu dein Server dort.....

und ich bin mir nicht was hier dann mit outbound und inbound gemeint ist habe aber dennoch probiert etwas hinzukriegen
Deine Fritte hat genauso Inbound wie auch Outbound richtungen, wie eben deine FVS318N auch. Stell dich auf ein Gerät drauf, schaue was Rausgeht und schaue was Reinkommt. In oder Outbound ist immer betrachtet von Gerät aus, und das ist nicht nur WAN oder LAN, sondern es betrifft die Richtung welche die Daten nehmen, auch wenn die über 1 Patchkabel laufen.

Gruß,
Peter
vGaven
vGaven 06.12.2016 um 16:22:20 Uhr
Goto Top
Hi Peter,

Danke erst Mal für die Rückmeldung.
Dann sollten die Rules die ich erstellt habe richtig sein, da alles logisch ist. Was ich nur noch machen muss, ist an der Fritte die jeweiligen Ports öffnen halt für HTTP/HTTPS und SSH. Richtig oder?

Gruß
Gaven
Pjordorf
Pjordorf 06.12.2016 um 16:34:23 Uhr
Goto Top
Hallo,

Zitat von @vGaven:
Dann sollten die Rules die ich erstellt habe
Habe ich mir nicht genau angesehen bzw. nur drüber weg gescrollt.

ist an der Fritte die jeweiligen Ports öffnen halt für HTTP/HTTPS und SSH
Eingehend?
Ausgehend?
Wenn dein DiensteanbietenderInterntServer im LAN der Friite hängt, nur die Ports weiterleiten welche auch benötigt werden. Wenn der nur HTTPS anbietest, braucht es kein HTTP. Warum soll aus dem Internt dort mit SSH drauf zugegriffen werden? Du hast doch einen bestimmten Benutzer bzw. Rechner im LAN der dort Admin tun soll? Und ins LAN kommst du doch jederzeit per VPN oder schlimmstenfall per Teamviewer. Öffne nur was nötig ist, nicht was möglich ist. Auch der Server hat eine Firewall, nutze diese um dort nur bestimmte IPs rein zu lassen (dein SSH z.B.) VOIP ist in der Fritte eingerichtet, somit braucht es keine Portforwardings zu deiner FVS318N und weiter ins LAN dahinter. Alles andere ist doch ausgehend von dein LAN über deine FVS318N. Dort nur das zulassen was gebraucht wird. Eine Routerkaskade bleibt es allemal und du wirst immer an beiden Geräten Hand anlegen müssen.

Gruß,
Peter