kleinemeise
Goto Top

IP Bereich für DMZ

Rechner in DMZ sollen sich gegenseitig nicht sehen

Hallo Leute,

ich würde gern mal von euch paar Ratschläge haben.

Folgendes: Ich bin gerade dabei unsere Firewall um eine zusätzliche DMZ zu erweitern.
Routing usw funktioniert auch.

Da wir in unser DMZ auch Server stehen haben, auf die von Aussen zugegriffen werden kann, würde ich gern verhindern, dass man von einen Rechner in der DMZ auf einen anderen Rechner in der DMZ zugreifen kann.

Wäre es also möglich, auf den Server die Netzwerkmaske so einzugrenzen, dass sie sowieso nur sich selbst sehen. Wollen Sie dann auf einen anderen Rechner in der DMZ zugreifen, müssen Sie über das Gateway (welches die Firewall ist und ich dort die Zugriffe steuern kann).

Beispiel:

Die DMZ hat den gesamten Adressbereich von
10.10.0.0
255.255.0.0

Ein Rechner, der in dieser Zone alleine sein soll würde ich dann z.B
10.10.10.23
255.255.255.255
geben.

Funktioniert das so, wie ich mir das vorstelle?

Content-ID: 106925

Url: https://administrator.de/forum/ip-bereich-fuer-dmz-106925.html

Ausgedruckt am: 23.12.2024 um 00:12 Uhr

AndreasHoster
AndreasHoster 23.01.2009 um 11:26:57 Uhr
Goto Top
Jein.
Das Default-Gateway muß immer im gleichen Netz sein, d.h. die Netmask muß so gewählt sein, daß mindestens 2 Rechner reinpassen: Der Rechner selber und das Default Gateway (also die Firewall Schnittstelle).
Und wenn Du in die DMZ nur eine IP der Firewall hast, müssen alle Rechner der DMZ im selben Subnetz sein.
Wenn Du mehrere IP-Adressen aus verschiedenen Subnetzen an die Netzwerkkarte bindest, geht Deine prinzipielle Idee.

Außerdem sind die Rechner, wenn sie im selben physischen Ethernet sind, durchaus in der Lage miteinander zu kommunizieren. Mittels statischen ARP Einträgen etc. kann ich da von einem Rechner zum anderen kommen, TCP/IP Einstellungen zum Trotz. Wenns sicher sein soll, VLANs verwenden, dann sorgt der Switch dafür, daß die Pakete nicht zu anderen Rechnern kommt.
aqui
aqui 23.01.2009 um 11:47:06 Uhr
Goto Top
Am besten noch ein sog. Private VLAN am Switch verwenden, dann können Endgeräte in einem VLAN NUR über den Uplink kommunizieren nicht mehr untereinander.
Falls du einen dummen Switch hast und der das nicht supportet, dann nimmst du MAC Access Listen auf dem Switch die den Zugang zu den anderen Servern sicher blockieren !
Diese Lösung ist erheblich einfacher als die Frickelei mit den IPs die letztlich niemals funktioniert, da du so inkonsitente Subnetzmasken im DMZ IP Segment bekommst und damit deine Sicherheitsprobleme noch größer werden !!!
kleinemeise
kleinemeise 23.01.2009 um 13:09:40 Uhr
Goto Top
erschwerdend kommt aber hinzu, dass es sich bei den Servern teilweise um virtuelle Maschinen handelt. Wobei es vorkommen kann, dass eine vm zugang haben soll, die andere nicht.
aqui
aqui 23.01.2009 um 13:21:34 Uhr
Goto Top
Wieso erschwerend ??? Die MAC Adressen der Geräte und natürlich auch der VMs sind immer einzigartig so das ein Filtern auch da wirkt sofern du den Bridging Modus ausführst bei VM ??

Innerhalb der VM geht das natürlich niemals..klar ! Da kannst du das nur über die lokalen Firewalls machen...