118080
Jun 07, 2016, updated at 13:08:47 (UTC)
4539
9
0
IP Adressen in DMZ von DHCP in LAN
Moin
Ich spiele momentan mit dem Gedanken eine DMZ einzurichten. Jetzt habe ich eine ganz grundlegende Frage.
Ich habe einen DC mit DHCP und DNS.. Diesen würde ich ja im LAN lassen. Ich würde allerdings gerne die IP-Adressverteilung für die DMZ vom DC aus machen sowie die AD Credentials nehmen um mich anzumelden. Sehe ich das richtig, dass dies nicht möglich ist? Ausser ich würde dem DC eine zweite NIC verpassen und die eine ins LAN packen und die andere in die DMZ. Was aber Sicherheitstechnisch total idiotisch wäre?
LG Luca
Ich spiele momentan mit dem Gedanken eine DMZ einzurichten. Jetzt habe ich eine ganz grundlegende Frage.
Ich habe einen DC mit DHCP und DNS.. Diesen würde ich ja im LAN lassen. Ich würde allerdings gerne die IP-Adressverteilung für die DMZ vom DC aus machen sowie die AD Credentials nehmen um mich anzumelden. Sehe ich das richtig, dass dies nicht möglich ist? Ausser ich würde dem DC eine zweite NIC verpassen und die eine ins LAN packen und die andere in die DMZ. Was aber Sicherheitstechnisch total idiotisch wäre?
LG Luca
Please also mark the comments that contributed to the solution of the article
Content-Key: 306418
Url: https://administrator.de/contentid/306418
Printed on: April 24, 2024 at 12:04 o'clock
9 Comments
Latest comment
Diesen würde ich ja im LAN lassen.
Bei einem Windows OS ist das auch besser so...Etwas ungewöhnlich für eine DMZ wo es meistens um statische IP Adressen geht. Allein schon wenn IP Port Forwarding oder ACL dort im Einsatz sind da wären dynamische IP Adressen ziemlich kontraproduktiv. Es sei denn du machst ein DHCP Mac Nailing also die IP Adresse fest auf die Hardware Mac bezogen.
Generell ist das natürlich technisch sehr einfach machbar. Was du dafür brauchst ist ein UDP Forwarder oder DHCP Relay oder wie man es auch immer nennt, der die DHCP Requests aus anderen IP Segmenten an den DHCP Server forwardet.Bei Routern wird das auch oft ip helper address genannt.
Wie gesagt...nicht unbedingt üblich in einer DMZ.
Sehe ich das richtig, dass dies nicht möglich ist?
Nein, das siehst du grundsätzlich vollkommen falsch. Vermutlich aber fehlen dir da wohl die technischen Backgrounds ?!Ausser ich würde dem DC eine zweite NIC verpassen
Tödlich für eine DMZ die dann natürlich keine mehr ist über so eine gefährlich Backdoor ! Absolutes NoGo wenn du eine DMZ einrichten willst die nur ansatzweise den Namen verdient.Was aber Sicherheitstechnisch total idiotisch wäre?
Du hast es erfasst !!
Moin,
lies dir diesen Artikel bitte einmal aufmerksam durch. Dann wirst du evtl. selbst verstehen, wo dein "Denkfehler" ist.
Gruß Krämer
lies dir diesen Artikel bitte einmal aufmerksam durch. Dann wirst du evtl. selbst verstehen, wo dein "Denkfehler" ist.
Gruß Krämer
Es wäre aber schön gewesen alles zentral regeln zu können.
Es spricht ja nichts dagegen das so zu machen. Der UDP Forwarder oder DHCP Relay ist dein freund hier ! Ich dachte mir ja bereits schon, dass es nicht geht ohne ein Loch aufzutun.
Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !Zitat von @aqui:
Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !
Und dabei noch einige andere Sachen beachtest, wie die richtige und restriktive Konfiguration der Firewall, die Bindung der Dienste an IP-Adressen, usw. usw. usw.Das ist ja Unsinn solange du den Relay verwendest und nicht eine 2te NIC als Bypass !