131941
Jan 15, 2017
1889
4
0
Verständnisfrage DMZ, warum nicht LAN2 Interface?
Hallo zusammen,
ich habe ein Verständnisproblem zum Thema DMZ am Beispiel einer ZyWALL USG 50.
Ich habe mehrere Interfaces - WAN1, LAN1, LAN2, DMZ etc.
Für mein LAN wird das LAN1 Interface genutzt.
Jetzt frage ich mich, wo ist der Unterschied zwischen einem DMZ-Interface und z.B. den aktuell unbenutzen LAN2-Interface?
Ob ich jetzt eine Firewall-Regel habe:
DMZ to LAN1 deny
oder
LAN2 to LAN1 deny
ist doch vollkommen Banane, oder??
Ich verstehe nicht, warum der eine Port nur als DMZ Port genutzt werden kann.
Wäre der Port als LAN3 betitelt, hätte es doch genau den selben Effekt, oder nicht?
Hier kommt es ja nur auf die Firewall-Regel an.
Viele Grüße und einen schönen Sonntag!
ich habe ein Verständnisproblem zum Thema DMZ am Beispiel einer ZyWALL USG 50.
Ich habe mehrere Interfaces - WAN1, LAN1, LAN2, DMZ etc.
Für mein LAN wird das LAN1 Interface genutzt.
Jetzt frage ich mich, wo ist der Unterschied zwischen einem DMZ-Interface und z.B. den aktuell unbenutzen LAN2-Interface?
Ob ich jetzt eine Firewall-Regel habe:
DMZ to LAN1 deny
oder
LAN2 to LAN1 deny
ist doch vollkommen Banane, oder??
Ich verstehe nicht, warum der eine Port nur als DMZ Port genutzt werden kann.
Wäre der Port als LAN3 betitelt, hätte es doch genau den selben Effekt, oder nicht?
Hier kommt es ja nur auf die Firewall-Regel an.
Viele Grüße und einen schönen Sonntag!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 326485
Url: https://administrator.de/contentid/326485
Printed on: April 24, 2024 at 20:04 o'clock
4 Comments
Latest comment
Jetzt frage ich mich, wo ist der Unterschied zwischen einem DMZ-Interface und z.B. den aktuell unbenutzen LAN2-Interface?
Eigentlich nur der Name
Ob ich jetzt eine Firewall-Regel habe:
DMZ to LAN1 deny
oder
LAN2 to LAN1 deny
ist doch vollkommen Banane, oder??
DMZ to LAN1 deny
oder
LAN2 to LAN1 deny
ist doch vollkommen Banane, oder??
Ist richtig, aber halt weniger übersichtlich. In der DMZ weiß eigentlich jeder Techniker, dass hier besondere Regeln gelten. Von LAN2 nach LAN1 musst du erst herausfinden was mit LAN2 jetzt wirklich gemeint ist.
Ich verstehe nicht, warum der eine Port nur als DMZ Port genutzt werden kann.
Wer sagt den das?
Wäre der Port als LAN3 betitelt, hätte es doch genau den selben Effekt
Genauso ist es, nur dass kein Mensch auf den 1. Blick erkennt, dass es sich um eine kritische Zone auf der Firewall handelt.
Warum gibt es die Bezeichnung PKW, LKW, Autobus? Er würde ja auch für alle reichen "motorgetriebenens Fahrzeug mit mindestens 4 Rädern"
LG Günther
Super, danke für deine Antwort!
Wer sagt den das?
Die USG 50.
Mit der "kleinen" USG 50 ist es nicht möglich, den Interface-Namen zu ändern, dies geht m.W. erst mit den "größeren".
Und dann noch eine andere Frage, wozu ich keine Einstellung finde:
Wenn nun ein PC aus dem LAN auf einen Server in der DMZ zugreift "öffnet" mein PC eine Verbindung zu dem Server.
Wenn ich jetzt aber eine Regel habe: DMZ to LAN deny, wie kann es dann sein, dass der Server meinem Client Daten zurückschicken kann?
Nur deshalb, weil mein Client vorher eine Verbindung aufgebaut hat?
Mit Daten meine ich z.B. einen Ping, oder eine HTTP Anfage.
Ich verstehe nicht, warum der eine Port nur als DMZ Port genutzt werden kann.
Wer sagt den das?
Die USG 50.
Mit der "kleinen" USG 50 ist es nicht möglich, den Interface-Namen zu ändern, dies geht m.W. erst mit den "größeren".
Und dann noch eine andere Frage, wozu ich keine Einstellung finde:
Wenn nun ein PC aus dem LAN auf einen Server in der DMZ zugreift "öffnet" mein PC eine Verbindung zu dem Server.
Wenn ich jetzt aber eine Regel habe: DMZ to LAN deny, wie kann es dann sein, dass der Server meinem Client Daten zurückschicken kann?
Nur deshalb, weil mein Client vorher eine Verbindung aufgebaut hat?
Mit Daten meine ich z.B. einen Ping, oder eine HTTP Anfage.
Mit der "kleinen" USG 50 ist es nicht möglich, den Interface-Namen zu ändern
Ja und? Wie oben geschrieben geht es ja nur um die Regeln.
Nur deshalb, weil mein Client vorher eine Verbindung aufgebaut hat?
Weil es eine Regel gibt LAN -> DMZ allow. Und somit kann der Client eine Verbindung in die DMZ aufbauen.
Es gibt ja auch eine Regel WAN -> LAN deny und trotzdem kannst du hier posten, oder?
LG Günther
Nur deshalb, weil mein Client vorher eine Verbindung aufgebaut hat?
Weil es eine Regel gibt LAN -> DMZ allow. Und somit kann der Client eine Verbindung in die DMZ aufbauen.
Es gibt ja auch eine Regel WAN -> LAN deny und trotzdem kannst du hier posten, oder?
Wohl wahr....
Vielen Dank!
