5
NAT oder Bridge
Trotz meiner langen Recherche konnte ich zu dieser "trivialen" Frage keine Antwort finden, also entschultige ich mich im Vorfeld falls es dazu schon massig Beiträge geben sollte.
Für ein Firmennetzwerk wurden mir von dem Provider 16 IPs zur Verfügung gestellt. Einerseits haben so die Mitarbeiter Zugang zum Internet (unwichtig in diesem Beispiel), anderseits benötige ich die IPs für die öffentlichen Server.
Server 1 |
Server 2 | --------- Firewall (Debian) ------------ Modem (16 IPs)
Server 3 | |
internes Netzwerk
Die Firewall soll die Server vor unbefugten SSH zugriff etc. schützen. Wie wird die Firewall konfiguriert? Verwendet man in diesem Fall eine Bridge, oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?
Im Fall von 1:1 NAT gibt es die möglichkeit dies statisch zu Routen oder verwende ich in diesem Fall DNAT?
Vielleicht ist mein Denkansatz auch komplett durch den Wind und es wird in der Praxis anders gelöst, und würde mich über weitere Lösungsansätze freuen.
Vielen Dank im Voraus
Für ein Firmennetzwerk wurden mir von dem Provider 16 IPs zur Verfügung gestellt. Einerseits haben so die Mitarbeiter Zugang zum Internet (unwichtig in diesem Beispiel), anderseits benötige ich die IPs für die öffentlichen Server.
Server 1 |
Server 2 | --------- Firewall (Debian) ------------ Modem (16 IPs)
Server 3 | |
internes Netzwerk
Die Firewall soll die Server vor unbefugten SSH zugriff etc. schützen. Wie wird die Firewall konfiguriert? Verwendet man in diesem Fall eine Bridge, oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?
Im Fall von 1:1 NAT gibt es die möglichkeit dies statisch zu Routen oder verwende ich in diesem Fall DNAT?
Vielleicht ist mein Denkansatz auch komplett durch den Wind und es wird in der Praxis anders gelöst, und würde mich über weitere Lösungsansätze freuen.
Vielen Dank im Voraus
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 156674
Url: https://administrator.de/forum/nat-oder-bridge-156674.html
Ausgedruckt am: 22.04.2025 um 16:04 Uhr
5 Kommentare
Neuester Kommentar
oder verwendet man eine Art 1:1 NAT wobei jeder externen IP eine Interne zugewiesen wird?
Warum willst du NAT benutzen, wenn du schon öffentliche IPs hast?
NAT ist eine Krücke und wird dir hier so schöne Probleme wie Hairpin-NAT bescheren.
Verwendet man in diesem Fall eine Bridge
Nein, man verwendet Routing mit der Firewall.
Ich hätte NAT benützt, da ich mir nicht sicher bin, welche IP Adressen die 2 Netzwerkkarten der Firewall bekommen (bei einer Bridge würden sie wegfallen).
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).
Demnach sieht mein Schema folgendermaßen aus:
Server 1 (x.x.x.51/28) |
Server 2 (x.x.x.52/28) | --------- (x.x.x.50/28 ?!?) Firewall (x.x.x.50/28) ------------ (x.x.x.49/28) Modem (16 IPs)
...
Server 3 (x.x.x.62/28) |
Bedeutet dies, dass ich zwei identische IP Adressen vergebe?
Und wie würde in diesem Fall geroutet werden?
Falls dieses Szenario irgendwo beschrieben ist wäre ich für einen Link dankbar. Dazu müsste es ja tausende Beiträge geben aber irgendwie lande ich dann entweder bei privaten Netzen oder bridging etc.
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).
Demnach sieht mein Schema folgendermaßen aus:
Server 1 (x.x.x.51/28) |
Server 2 (x.x.x.52/28) | --------- (x.x.x.50/28 ?!?) Firewall (x.x.x.50/28) ------------ (x.x.x.49/28) Modem (16 IPs)
...
Server 3 (x.x.x.62/28) |
Bedeutet dies, dass ich zwei identische IP Adressen vergebe?
Und wie würde in diesem Fall geroutet werden?
Falls dieses Szenario irgendwo beschrieben ist wäre ich für einen Link dankbar. Dazu müsste es ja tausende Beiträge geben aber irgendwie lande ich dann entweder bei privaten Netzen oder bridging etc.
Die erste und die letzte Adresse der 16 fallen weg wenn ich es richtig verstanden habe (also x.x.x48 und x.x.x.63).
Unwahrscheinlich, denn eurem Provider kann es völlig egal sein, was ihr mit der Network-ID und der Broadcast-Adresse macht, der leitet das erstmal nur weiter.
Ich benutze die auch beide bei unserem /28er.
(x.x.x.49/240) Modem (16 IPs)
mit 240 verschwendest du hier unnötig IP-Adressen.
Du hast dort zwei Möglichkeiten:
a) Da es ein Transfer-Netz ist benutzt du einfach beliebige private IPs und definierst eine Master-IP für die Kommunikation
b) Du benutzt /32er IPs und den selben technischen Trick wie bei DSL, so dass du nur zwei IPs brauchst.
(x.x.x.50/240 ?!?)
Auf der Seite könntest du jetzt ein richtiges Subnetz mit der Maske /28 benutzen (durch die Regeln für Routing funktioniert der Rest trotzdem), oder - wenn die Server nicht miteinander kommunizieren müssen - machst du genau den selben Trick mit den /32ern, was aber Änderungen an der Routing-Tabelle bei den Servern erfordert und somit nicht zu empfehlen ist.
Hab gerade gesehen, dass ich die falsche Kurzschreibweise verwendet habe
Anstatt 28 habe ich 240 geschrieben (wegen 255.255.255.240) aber wie ich sehe hast du es ja richtig interpretiert.
Werde mich mal über den DSL Trick schlau machen und mich dann evtl. nochmals melden.
Vielen Dank
Anstatt 28 habe ich 240 geschrieben (wegen 255.255.255.240) aber wie ich sehe hast du es ja richtig interpretiert.
Werde mich mal über den DSL Trick schlau machen und mich dann evtl. nochmals melden.
Vielen Dank
Wenn ich das richtig verstehe sieht es zum Beipiel folgender maßen aus:
Server (x.x.x.51-62/28) --------- (192.168.0.1) Firewall (x.x.x.50/28) ------------ Modem (16 IPs)
wobei ich mir nicht sicher bin ob ich eine interne Adresse verwenden darf oder statt 192.168.0.1 ein frei öffentliche IP verwenden muss (x.x.x.52).
Über den DSL Trick hab ich nichts gefunden, rein Serverseitig ist er klar, bei der dementsprechenden Konfiguration der NICs für die Firewall stehe ich dann aber wie immer an.
Weiters würde mich interessieren warum man keine Bridge bzw. Proxy ARP verwendet. Gegen die Bridge spricht für mich nur der Einsatz von ebtables (meiner Meinung nach nicht so ausgereift und mächtig wie iptables).
Server (x.x.x.51-62/28) --------- (192.168.0.1) Firewall (x.x.x.50/28) ------------ Modem (16 IPs)
wobei ich mir nicht sicher bin ob ich eine interne Adresse verwenden darf oder statt 192.168.0.1 ein frei öffentliche IP verwenden muss (x.x.x.52).
Über den DSL Trick hab ich nichts gefunden, rein Serverseitig ist er klar, bei der dementsprechenden Konfiguration der NICs für die Firewall stehe ich dann aber wie immer an.
Weiters würde mich interessieren warum man keine Bridge bzw. Proxy ARP verwendet. Gegen die Bridge spricht für mich nur der Einsatz von ebtables (meiner Meinung nach nicht so ausgereift und mächtig wie iptables).
