2
Sophos UTM DMZ und VLAN
Servus,
ich habe eine Verständnisfrage:
eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt?
Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?
Auf der Firewall sind die internen DNS als Forwarder konfiguriert. Wenn ich also auf der DMZ-Schnittstelle ein VLAN für z.B. WLAN konfiguriere, dann sehen sie zwar meinen DNS aber nicht andere Clients (konfiguration der Switche vorrausgesetzt), ist das auch korrekt?
eth0 = intern
eth1 = extern
eth2 = DMZ
Grüße vom Bodensee,
Peter
ich habe eine Verständnisfrage:
eine DMZ dient vereinfacht dazu einen Host oder eine Gruppe von Client's exponiert ins öffentliche Netz zu stellen aber auch gleichzeitig vom internen Netz zu trennen, ist das korrekt?
Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?
Auf der Firewall sind die internen DNS als Forwarder konfiguriert. Wenn ich also auf der DMZ-Schnittstelle ein VLAN für z.B. WLAN konfiguriere, dann sehen sie zwar meinen DNS aber nicht andere Clients (konfiguration der Switche vorrausgesetzt), ist das auch korrekt?
eth0 = intern
eth1 = extern
eth2 = DMZ
Grüße vom Bodensee,
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 318431
Url: https://administrator.de/contentid/318431
Printed on: May 5, 2024 at 07:05 o'clock
2 Comments
Latest comment
ist das korrekt?
Ja !Demnach dürften Client's aus diesem Netz keine Adresse im internen Netz anpingen dürfen, ist das auch korrekt?
Nein, oder besser Jein !Das kommt wie immer auf deine Firewall Regeln zwischen dem DMZ Segment und lokalen Netz an und welche Policy du da erlaubst.
Ohne diese zu kennen oder ohne das du diese definierst ist diese Frage nicht zu beantworten. Leuchtet dir sicher auch selber ein ?!
Du kannst ICMP Typ 0 und 8 (Echo Request/Reply = Ping) für das LAN oder bestimmte Hosts zulassen oder eben komplett blocken.
Wie gesagt ist Policy abhängig was DU mit der Firewall umsetzt.
ist das auch korrekt?
Ja !VLANs sind immer untereinander vollkommen getrennte und isolierte Layer 2 Broadcast Domains ohne jegliche physische Verbindung.
Allerdings innerhalb eines VLANs sehen sich die Clients untereinander. Willst du das auch unterbinden musst du auf dem Switch sog. Private VLANs oder Isolated VLANs konfigurieren...sofern der Switch dieses Feature supportet.
VLANs zu koppeln erfordert immer ein Layer 3 fähiges Device.
Danke aqui, also lag ich nicht ganz so falsch.
Schönes WE.
Schönes WE.
