3
Firewall zwischen zwei privaten Netzen, Routing oder Portforwarding?
Hallo,
ich möchte eine Firewall zwischen zwei privaten Netzen (fiktiv: 192.168.1.0/24, 192.168.2.0/24) realisieren. Genauer gesagt zwischen dem internen LAN und der DMZ. Vom LAN aus soll jeder Verkehr in die DMZ erlaubt sein. Von der DMZ aus dürfen nur bestimmte Dienste im LAN erreichbar sein. Klar ist, dass ich entsprechende Firewall Regeln definieren muss, z. B. "erlaube aus der DMZ den Zugriff auf LAN IP xy Port 25". Zusätzlich müssen die beiden Netze entweder die Route in das jeweils andere Netz kennen oder aber ich richte ein Portforwarding ein.
Beispiel Route: Rechner 192.168.2.10 in der DMZ würde seine Mail an den Mailserver 192.168.1.20 im LAN senden
Beispiel Portforwarding: Rechner 192.168.2.10 in der DMZ würde seine Mail an das DMZ Interface 192.168.2.1 der Firewall senden und die Firewall leitet den Port transparent an den Mailserver 192.168.1.20 im LAN weiter
Meine Frage ist also: Setzt man lieber Routen und spricht das Ziel mit seiner richtigen IP an oder macht man besser Portforwarding? Ich glaube das Portforwarding kommt eher aus dem NAT Bereich wenn interne Rechner über eine öffentliche IP des WAN Interface erreichbar sein sollen, richtig?
Danke und Grüße,
tonabnehmer
ich möchte eine Firewall zwischen zwei privaten Netzen (fiktiv: 192.168.1.0/24, 192.168.2.0/24) realisieren. Genauer gesagt zwischen dem internen LAN und der DMZ. Vom LAN aus soll jeder Verkehr in die DMZ erlaubt sein. Von der DMZ aus dürfen nur bestimmte Dienste im LAN erreichbar sein. Klar ist, dass ich entsprechende Firewall Regeln definieren muss, z. B. "erlaube aus der DMZ den Zugriff auf LAN IP xy Port 25". Zusätzlich müssen die beiden Netze entweder die Route in das jeweils andere Netz kennen oder aber ich richte ein Portforwarding ein.
Beispiel Route: Rechner 192.168.2.10 in der DMZ würde seine Mail an den Mailserver 192.168.1.20 im LAN senden
Beispiel Portforwarding: Rechner 192.168.2.10 in der DMZ würde seine Mail an das DMZ Interface 192.168.2.1 der Firewall senden und die Firewall leitet den Port transparent an den Mailserver 192.168.1.20 im LAN weiter
Meine Frage ist also: Setzt man lieber Routen und spricht das Ziel mit seiner richtigen IP an oder macht man besser Portforwarding? Ich glaube das Portforwarding kommt eher aus dem NAT Bereich wenn interne Rechner über eine öffentliche IP des WAN Interface erreichbar sein sollen, richtig?
Danke und Grüße,
tonabnehmer
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 164981
Url: https://administrator.de/forum/firewall-zwischen-zwei-privaten-netzen-routing-oder-portforwarding-164981.html
Ausgedruckt am: 07.04.2025 um 21:04 Uhr
3 Kommentare
Neuester Kommentar
Hi,
Falsch. NAT ist in dem Fall sehr von nutzen. Da es DMZ Zugriffe ins LAN sehr stark einschränkt. Lies einfach folgenden Anleitung - dann sollte alles klar sein:
Kopplung von 2 Routern am DSL Port
Damit wird die Sache rund.
mfg Crusher
Falsch. NAT ist in dem Fall sehr von nutzen. Da es DMZ Zugriffe ins LAN sehr stark einschränkt. Lies einfach folgenden Anleitung - dann sollte alles klar sein:
Kopplung von 2 Routern am DSL Port
Damit wird die Sache rund.
mfg Crusher
NAT ist quark.
NAT ist ein technischer Hack, der als Notlösung gedacht war, damit DSL funktioniert (das in IPv6 rausgefallen ist und sich alle Hersteller weigern zu implementieren).
NAT mit Sicherheit zu assoziieren wäre genauso Quark.
In modernen Firewalls läuft NAT über die selbe Connection Table wie regulärer Traffic (da ohne Connection Tracking aka SPI gar kein NAT möglich wäre). Der einzige messbare Effekt wäre also eine Mehrlast auf dem Router.
Zudem erfordert jede echte Firwall Regeln für DNAT und für den Firewall-Traffic, weshalb man sich nur doppelte Arbeit macht.
Und NAT würde auch die Nachvollziehbarkeit reduzieren.
Wenn du einen Rechner im LAN mit Virus hast der euren Mailserver in der DMZ attakiert hast du bei NAT keine leichte Möglichkeit zu sehen, um welchen Rechner es sich handelt.
NAT ist ein technischer Hack, der als Notlösung gedacht war, damit DSL funktioniert (das in IPv6 rausgefallen ist und sich alle Hersteller weigern zu implementieren).
NAT mit Sicherheit zu assoziieren wäre genauso Quark.
In modernen Firewalls läuft NAT über die selbe Connection Table wie regulärer Traffic (da ohne Connection Tracking aka SPI gar kein NAT möglich wäre). Der einzige messbare Effekt wäre also eine Mehrlast auf dem Router.
Zudem erfordert jede echte Firwall Regeln für DNAT und für den Firewall-Traffic, weshalb man sich nur doppelte Arbeit macht.
Und NAT würde auch die Nachvollziehbarkeit reduzieren.
Wenn du einen Rechner im LAN mit Virus hast der euren Mailserver in der DMZ attakiert hast du bei NAT keine leichte Möglichkeit zu sehen, um welchen Rechner es sich handelt.
@Crusher79
In der ersten verlinkten Anleitung findet sich unter Alternative 2 mein aktuelles Netz. Dort steht folgendes: "Erst alternative Firmwareimages wie z.B. dd-wrt.de oder OpenWRT für den Linksys WRT54G z.B. und auch einige Router wie Getnet GR-154, Asus RX3041, Level One FBR1418, Mikrotik RB750 u.a. und freie FW Lösungen wie Pfsense erlauben auch ein transparentes Routing ohne NAT Funktion. Das Abschalten der NAT Firewall auf dem WAN/DSL Interface wird aber nur von einer Minderheit der Systeme am Markt supported das sollte man immer beachten VOR dem Kauf eines Routers !"
Ich sehe NAT eher als eine nützlich Hilfsfunktion.
@dog
Danke für die Hinweise bzgl. Mehrlast und Maskierung.
In der ersten verlinkten Anleitung findet sich unter Alternative 2 mein aktuelles Netz. Dort steht folgendes: "Erst alternative Firmwareimages wie z.B. dd-wrt.de oder OpenWRT für den Linksys WRT54G z.B. und auch einige Router wie Getnet GR-154, Asus RX3041, Level One FBR1418, Mikrotik RB750 u.a. und freie FW Lösungen wie Pfsense erlauben auch ein transparentes Routing ohne NAT Funktion. Das Abschalten der NAT Firewall auf dem WAN/DSL Interface wird aber nur von einer Minderheit der Systeme am Markt supported das sollte man immer beachten VOR dem Kauf eines Routers !"
Ich sehe NAT eher als eine nützlich Hilfsfunktion.
@dog
Danke für die Hinweise bzgl. Mehrlast und Maskierung.
