TP-ER5120 DMZ für Webserver
Nabend!
Ich bin auf der Suche nach einer Lösung für das folgende Problem.
Ich habe am TP-ER5120 (*.10.254) im NAT-Mode einen neuen Internetanschluss (Feste IP) an WAN1 konfiguriert und will einen WebServer (*.10.10) für http/https für das Interne Netz und Internet freigeben.
Momentan befindet sich der WebServer über eine Interne Schnittstelle im Domänennetzwerk und läuft noch über den alten Internetanschluss.
Auf dem WebServer (Windows Server 2003 auf Hyper-V VM) wurden Ausnahmen für die externe Schnittstelle per Windows Firewall auf http (80) und https (443) aktiviert.
Es gibt insgesamt zwei Netze, LAN1 (*.10.0/20) und VOIP1 (*.11.0/24)
Der VM-Host (*.10.2) hat insgesamt zwei VMs:
- Einen SBS 2008, wo der DC, DNS, Exchange 2007, DHCP usw. konfiguriert ist (*.10.1).
- Der WebServer (*.10.10)
Jetzt zu meiner Frage:
Kann ich den VM-Host einfach am DMZ-Port hängen, Public Mode aktivieren und erstelle dann einfach einen neuen Adressbereich für die DMZ, oder benötige ich einen extra Server, der als DMZ-Server fungiert? Kann ich irgend einen Adressbereich nehmen, oder was gibt es hier zu beachten?
Ich bin auf der Suche nach einer Lösung für das folgende Problem.
Ich habe am TP-ER5120 (*.10.254) im NAT-Mode einen neuen Internetanschluss (Feste IP) an WAN1 konfiguriert und will einen WebServer (*.10.10) für http/https für das Interne Netz und Internet freigeben.
Momentan befindet sich der WebServer über eine Interne Schnittstelle im Domänennetzwerk und läuft noch über den alten Internetanschluss.
Auf dem WebServer (Windows Server 2003 auf Hyper-V VM) wurden Ausnahmen für die externe Schnittstelle per Windows Firewall auf http (80) und https (443) aktiviert.
Es gibt insgesamt zwei Netze, LAN1 (*.10.0/20) und VOIP1 (*.11.0/24)
Der VM-Host (*.10.2) hat insgesamt zwei VMs:
- Einen SBS 2008, wo der DC, DNS, Exchange 2007, DHCP usw. konfiguriert ist (*.10.1).
- Der WebServer (*.10.10)
Jetzt zu meiner Frage:
Kann ich den VM-Host einfach am DMZ-Port hängen, Public Mode aktivieren und erstelle dann einfach einen neuen Adressbereich für die DMZ, oder benötige ich einen extra Server, der als DMZ-Server fungiert? Kann ich irgend einen Adressbereich nehmen, oder was gibt es hier zu beachten?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 315744
Url: https://administrator.de/forum/tp-er5120-dmz-fuer-webserver-315744.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
13 Kommentare
Neuester Kommentar
hallo,
die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24. Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server läuft. Vergiss nicht die Policy DMZ zum Firmennetz in der Firewall zu konfigurieren
Gruß
Moritz
PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).
die DMZ sollte ein eigenes netz bekommen zb 10.10.11.0/ 24 dein Firmen Netz 10.10.10.0/24. Als nächstes bekommt die DMZ das VLAN2 dieses konfigurierst du dann im Host für die Netzwerkkarte der VM auf dem der Web Server läuft. Vergiss nicht die Policy DMZ zum Firmennetz in der Firewall zu konfigurieren
Gruß
Moritz
PS: Sollter der Host über mehrere Ethernet Ports verfügen. Kannst du dir natürlich die Geschichte mit dem VLAN ersparen ;).
Moin,
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im Hypervisor-OS und du kannst die Firma dicht machen.
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf. Wobei Regeln von DMZ -> LAN vermieden werden sollten.
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Gruß,
Dani
es gibt dazu einige Regeln:
1) Nie den gleichen Hypervisor-Host für LAN und DMZ nutzen. Egal ob du separate Netzwerkkarten nutzt oder nicht. Ein "dummer" Bug im Hypervisor-OS und du kannst die Firma dicht machen.
2) Sämtlicher Datenverkehr zwischen LAN und DMZ muss über die Firewall laufen. Mit dem Regelwerk wird im Detail geregelt, von wo nach wo über welchen Port und Protokoll (TCP,UDP) zugegrifffen werden darf. Wobei Regeln von DMZ -> LAN vermieden werden sollten.
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Gruß,
Dani
3) In der DMZ Betriebssystem und Anwendungen betreiben, für die es noch Aktualsierungen und Patches gibt.
Ich bin mir nicht sicher ob er punkt 3 verstandet hat. Wissen leider gottes viele Admins noch immer nicht.
https://www.youtube.com/watch?v=UeGflP1D-1E
Warum möchtest du den Web Server überhaut in den eigenen 4 Wänden stehen haben. Angst vor Daten Diebstahl wirst es wohl nicht sein.
Ich bin erst seit heute in diesem Forum weil ich selber gerade mit einem Problem zukämpfen habe.
Daher weiß ich nicht wie ich dir helfen kann. Es ist hat sehr fahrlässig an einem Produktiven System zu arbeiten, wenn man wenig davon versteht. Ich hoffe dir helfen folgende link.
http://kompendium.infotip.de/netzwerkkomponenten-firewalls-und-dmz.html
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Gruß
Moritz
Daher weiß ich nicht wie ich dir helfen kann. Es ist hat sehr fahrlässig an einem Produktiven System zu arbeiten, wenn man wenig davon versteht. Ich hoffe dir helfen folgende link.
http://kompendium.infotip.de/netzwerkkomponenten-firewalls-und-dmz.html
https://www.thomas-krenn.com/de/wiki/VLAN_Grundlagen
Gruß
Moritz
Moin,
Gruß,
Dani
warum muss die Firma gleich dicht gemacht werden, kann man dann nicht erstmal nen Restore machen?
meist spricht das ziemlich schnell um und ist man erstmal in der Presse, wird es schwerer Kunden zu gewinnen und die bisherigen überzeugen, weiterhin der richtige Partner zu sein. Was empfiehlst Du uns denn hier?
Ganz klar, alle Netzsegmente (LAN, DMZ) auf jeden Fall physikalisch sauber durch Firewalls (ebenfalls physikalisch) trennen.Der Load-Balancer hat eine integrierte Firewall.
Na dann wird es an einem separaten VM-Host nicht scheitern.Klar, das würde sich ja beißen durch den aktiven NAT/DMZ public Mode, siehe http://www.tp-link.com/en/faq-1079.html, richtig?
Ich halte davon nichts und solche Modis gibt's auf reinen Firewalls gar nicht. Mit Regeln klar definieren wie was wo und gut ist.Gruß,
Dani