Portforwarding Router zu Endian-Fw (?)
Hallo,
ich würde gerne eine Endian-Fw zwischen meinem SDSL-Router (Billion) und mein Netzwerk schalten, in dessen Planungsphase ich mich zur Zeit befinde.
Gehe ich recht mit der Annahme, dass ich im Router geöffnete Ports (für RDP, VPN usw) auf die Endian-IP und nicht direkt auf den betreffenden Server weiterleiten muß ? Es macht zwar intuitiv Sinn, da Internet<->Router<->Endian<->Netzwerk, aber ich würde es gerne bestätigt (oder eben nicht ) wissen, bevor ich mich an die Konfiguration ranmache.
Danke schön.
ich würde gerne eine Endian-Fw zwischen meinem SDSL-Router (Billion) und mein Netzwerk schalten, in dessen Planungsphase ich mich zur Zeit befinde.
Gehe ich recht mit der Annahme, dass ich im Router geöffnete Ports (für RDP, VPN usw) auf die Endian-IP und nicht direkt auf den betreffenden Server weiterleiten muß ? Es macht zwar intuitiv Sinn, da Internet<->Router<->Endian<->Netzwerk, aber ich würde es gerne bestätigt (oder eben nicht ) wissen, bevor ich mich an die Konfiguration ranmache.
Danke schön.
Please also mark the comments that contributed to the solution of the article
Content-Key: 113305
Url: https://administrator.de/contentid/113305
Printed on: April 20, 2024 at 06:04 o'clock
6 Comments
Latest comment
die meisten router kann man auch als modems nutzen, also schalt am besten die router funktion ab und lass das komplett die endian machen.
Traffic für die hinter der Firewall liegenden Dienste müssen mit einer DNAT (Portforwarding) Regel weitergeleitet werden, ja. Deinen SDSL-Router würde ich dann in den Bridging Modus schalten, damit er nicht mehr länger als Router fungiert, da du ja dafür dann die Endian Firewall hast. Persönlich rate ich allerdings von Endian ab und empfehle Debian mit Shorewall, Squid, OpenSwan und Snort.
wenn er nicht weiss was er tut ist er mit ner endian sicher besser dran als mit debian, wenn selber machen dann doch eher ein bsd ;)
pfsense z.b. oder m0n0wall würden sich auch anbieten, wenn es nur "software" und keine appliance sein soll.
pfsense z.b. oder m0n0wall würden sich auch anbieten, wenn es nur "software" und keine appliance sein soll.
Also - dein Gewinn ist das du nicht davon abhängig bist ob die Konfig-Oberfläche die Funktion xyz nun hergibt oder nicht. Grade beim Proxy (Squid + SquidGuard) kann man manuell sehr viel mehr einstellen als die meisten Konfig-Oberflächen so hergeben. Dasselbe gilt für iptables (Firewall). Snort (ein IDS) mit auf die Firewall zu legen halte ich persönlich für Unsinn - da es dann auch die Angriffsversuche meldet die durch die FW abgeblockt werden würden. Ein IDS gehört auf eine dedizierte Maschine hinter die FW...
Allerdings: Wenn du dich mit Linux noch nicht auskennst mache es erstmal über eine beliebige Oberfläche (egal ob nun Shorewall, Endian oder whatever) und arbeite dich in ruhe in die Linux-Dinge ein... Denn eine Firewall die falsch konfiguriert ist bringt auch nichts...
Allerdings: Wenn du dich mit Linux noch nicht auskennst mache es erstmal über eine beliebige Oberfläche (egal ob nun Shorewall, Endian oder whatever) und arbeite dich in ruhe in die Linux-Dinge ein... Denn eine Firewall die falsch konfiguriert ist bringt auch nichts...