4
IP Bereich für DMZ
Rechner in DMZ sollen sich gegenseitig nicht sehen
Hallo Leute,
ich würde gern mal von euch paar Ratschläge haben.
Folgendes: Ich bin gerade dabei unsere Firewall um eine zusätzliche DMZ zu erweitern.
Routing usw funktioniert auch.
Da wir in unser DMZ auch Server stehen haben, auf die von Aussen zugegriffen werden kann, würde ich gern verhindern, dass man von einen Rechner in der DMZ auf einen anderen Rechner in der DMZ zugreifen kann.
Wäre es also möglich, auf den Server die Netzwerkmaske so einzugrenzen, dass sie sowieso nur sich selbst sehen. Wollen Sie dann auf einen anderen Rechner in der DMZ zugreifen, müssen Sie über das Gateway (welches die Firewall ist und ich dort die Zugriffe steuern kann).
Beispiel:
Die DMZ hat den gesamten Adressbereich von
Ein Rechner, der in dieser Zone alleine sein soll würde ich dann z.B
geben.
Funktioniert das so, wie ich mir das vorstelle?
Hallo Leute,
ich würde gern mal von euch paar Ratschläge haben.
Folgendes: Ich bin gerade dabei unsere Firewall um eine zusätzliche DMZ zu erweitern.
Routing usw funktioniert auch.
Da wir in unser DMZ auch Server stehen haben, auf die von Aussen zugegriffen werden kann, würde ich gern verhindern, dass man von einen Rechner in der DMZ auf einen anderen Rechner in der DMZ zugreifen kann.
Wäre es also möglich, auf den Server die Netzwerkmaske so einzugrenzen, dass sie sowieso nur sich selbst sehen. Wollen Sie dann auf einen anderen Rechner in der DMZ zugreifen, müssen Sie über das Gateway (welches die Firewall ist und ich dort die Zugriffe steuern kann).
Beispiel:
Die DMZ hat den gesamten Adressbereich von
10.10.0.0
255.255.0.0Ein Rechner, der in dieser Zone alleine sein soll würde ich dann z.B
10.10.10.23
255.255.255.255Funktioniert das so, wie ich mir das vorstelle?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 106925
Url: https://administrator.de/contentid/106925
Ausgedruckt am: 22.11.2024 um 15:11 Uhr
4 Kommentare
Neuester Kommentar
Jein.
Das Default-Gateway muß immer im gleichen Netz sein, d.h. die Netmask muß so gewählt sein, daß mindestens 2 Rechner reinpassen: Der Rechner selber und das Default Gateway (also die Firewall Schnittstelle).
Und wenn Du in die DMZ nur eine IP der Firewall hast, müssen alle Rechner der DMZ im selben Subnetz sein.
Wenn Du mehrere IP-Adressen aus verschiedenen Subnetzen an die Netzwerkkarte bindest, geht Deine prinzipielle Idee.
Außerdem sind die Rechner, wenn sie im selben physischen Ethernet sind, durchaus in der Lage miteinander zu kommunizieren. Mittels statischen ARP Einträgen etc. kann ich da von einem Rechner zum anderen kommen, TCP/IP Einstellungen zum Trotz. Wenns sicher sein soll, VLANs verwenden, dann sorgt der Switch dafür, daß die Pakete nicht zu anderen Rechnern kommt.
Das Default-Gateway muß immer im gleichen Netz sein, d.h. die Netmask muß so gewählt sein, daß mindestens 2 Rechner reinpassen: Der Rechner selber und das Default Gateway (also die Firewall Schnittstelle).
Und wenn Du in die DMZ nur eine IP der Firewall hast, müssen alle Rechner der DMZ im selben Subnetz sein.
Wenn Du mehrere IP-Adressen aus verschiedenen Subnetzen an die Netzwerkkarte bindest, geht Deine prinzipielle Idee.
Außerdem sind die Rechner, wenn sie im selben physischen Ethernet sind, durchaus in der Lage miteinander zu kommunizieren. Mittels statischen ARP Einträgen etc. kann ich da von einem Rechner zum anderen kommen, TCP/IP Einstellungen zum Trotz. Wenns sicher sein soll, VLANs verwenden, dann sorgt der Switch dafür, daß die Pakete nicht zu anderen Rechnern kommt.
Am besten noch ein sog. Private VLAN am Switch verwenden, dann können Endgeräte in einem VLAN NUR über den Uplink kommunizieren nicht mehr untereinander.
Falls du einen dummen Switch hast und der das nicht supportet, dann nimmst du MAC Access Listen auf dem Switch die den Zugang zu den anderen Servern sicher blockieren !
Diese Lösung ist erheblich einfacher als die Frickelei mit den IPs die letztlich niemals funktioniert, da du so inkonsitente Subnetzmasken im DMZ IP Segment bekommst und damit deine Sicherheitsprobleme noch größer werden !!!
Falls du einen dummen Switch hast und der das nicht supportet, dann nimmst du MAC Access Listen auf dem Switch die den Zugang zu den anderen Servern sicher blockieren !
Diese Lösung ist erheblich einfacher als die Frickelei mit den IPs die letztlich niemals funktioniert, da du so inkonsitente Subnetzmasken im DMZ IP Segment bekommst und damit deine Sicherheitsprobleme noch größer werden !!!
erschwerdend kommt aber hinzu, dass es sich bei den Servern teilweise um virtuelle Maschinen handelt. Wobei es vorkommen kann, dass eine vm zugang haben soll, die andere nicht.
Wieso erschwerend ??? Die MAC Adressen der Geräte und natürlich auch der VMs sind immer einzigartig so das ein Filtern auch da wirkt sofern du den Bridging Modus ausführst bei VM ??
Innerhalb der VM geht das natürlich niemals..klar ! Da kannst du das nur über die lokalen Firewalls machen...
Innerhalb der VM geht das natürlich niemals..klar ! Da kannst du das nur über die lokalen Firewalls machen...
