Wie wird üblicherweise eine Hardware-Firewall oder ein UTM-Gerät an einen Router in Bezug auf die erforderlichen Portöffnungen (beim Router) angebunden?
Hallo,
wie wird üblicherweise eine Hardware-Firewall oder ein UTM-Gerät an einen Router in Bezug auf die beim Router erforderlichen Port-Öffnungen angebunden?
Wird dies üblicherweise beim Router durch NAT-Einstellungen oder irgendwie anders gemacht?
Vielen Dank vorab!
wie wird üblicherweise eine Hardware-Firewall oder ein UTM-Gerät an einen Router in Bezug auf die beim Router erforderlichen Port-Öffnungen angebunden?
Wird dies üblicherweise beim Router durch NAT-Einstellungen oder irgendwie anders gemacht?
Vielen Dank vorab!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 266880
Url: https://administrator.de/contentid/266880
Ausgedruckt am: 22.11.2024 um 21:11 Uhr
38 Kommentare
Neuester Kommentar
Am besten wenn immer möglich OHNE den Router. Oder den Router zu einem einfachen Modem gemacht mit PPPoE Passthrough.
Beispiele findest du hier in der Alternative 2
Kopplung von 2 Routern am DSL Port
oder hier am Beispiel einer VDSL Anbindung einer FW:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wie gesagt wenn immer möglich sollte man auf einen kaskadierten Router verzichten.
Oder meintest du jetzt ein ganz anderes Design ?!
Beispiele findest du hier in der Alternative 2
Kopplung von 2 Routern am DSL Port
oder hier am Beispiel einer VDSL Anbindung einer FW:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
und
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Wie gesagt wenn immer möglich sollte man auf einen kaskadierten Router verzichten.
Oder meintest du jetzt ein ganz anderes Design ?!
Der Router ist dann kein Router mehr und "kennt" keine Ports mehr !! Ist doch logisch wenn er nur als reines Modem arbeitet und nur noch ein passiver Medienwandler ist der quasi nut "durchreicht".
Der wandelt dann nur noch xDSL Framing auf Ethernet RJ-45 und ist vollkommen transparent. Er macht keinerlei Layer 3 Funktionen mehr dann.
Das PPPoE wird dann direkt an der Firewall terminiert.
Das Problem ist das der Router immer NAT macht und 2maliges überflüssiges NAT sollte man aus Performancegründen immer vermeiden wenn irgend möglich.
Der wandelt dann nur noch xDSL Framing auf Ethernet RJ-45 und ist vollkommen transparent. Er macht keinerlei Layer 3 Funktionen mehr dann.
Das PPPoE wird dann direkt an der Firewall terminiert.
Das Problem ist das der Router immer NAT macht und 2maliges überflüssiges NAT sollte man aus Performancegründen immer vermeiden wenn irgend möglich.
Zitat von @G-KA:
Ich meine als "Design" folgende "Kette":
Router - Firewall - Switch
Wären dann bei PPPoE-Passthrough beim Router sämtliche Ports offen?
Ich meine als "Design" folgende "Kette":
Router - Firewall - Switch
Wären dann bei PPPoE-Passthrough beim Router sämtliche Ports offen?
Dann isrt der "Endpunkt" der pppOE-verbindung auf der Firwall udn die kann dann entscheiden, was sie durchläßt oder nicht. Der !Router" wäre dann nur noch reines Modem. das soltle auch bevorzugt so gehandhabt werden.
lks
Zitat von @G-KA:
Welches Gerät übernimmt bei PPPoE-Passthrough die DSL-Einwahl mittels der Zugangsdaten vom Internetprovider? Weiterhin
der Router oder die Firewall?
Welches Gerät übernimmt bei PPPoE-Passthrough die DSL-Einwahl mittels der Zugangsdaten vom Internetprovider? Weiterhin
der Router oder die Firewall?
Die Firewall natürlich.
Ich habe einen Cisco 1921 Router ohne Modemmodul. Als DSL-Modem nutze ich ein Speedport 201.
Dann häng Deine Firewall direkt an den Speeport udn trag die Einwahldaten in der Firewall ein.
lks
Moin,
Sinnvoll soll daran sein, den bereits vorhandenen Router weiter zu nutzen.
Wer Lust auf unnötigen Mehraufwand in Sachen Konfiguration hat, der/die kann das gerne machen. Ich würde mir das nicht (mehr) antun wollen.
Modem---->Firewall mit DMZ---->Switch ist und bleibt mein Motto. Gut zu administrieren und im Falle der Fehlersuche hübsch übersichtlich.
Aber des Menschen Wille ist sein Himmelreich...
Gruß,
Uwe
Sinnvoll soll daran sein, den bereits vorhandenen Router weiter zu nutzen.
Wer Lust auf unnötigen Mehraufwand in Sachen Konfiguration hat, der/die kann das gerne machen. Ich würde mir das nicht (mehr) antun wollen.
Modem---->Firewall mit DMZ---->Switch ist und bleibt mein Motto. Gut zu administrieren und im Falle der Fehlersuche hübsch übersichtlich.
Aber des Menschen Wille ist sein Himmelreich...
Gruß,
Uwe
Hallo,
Router noch nicht von der Stange kaufen konnte und Firewalls ebenso.
Heute machen das eher recht viele Leute im privaten Bereich
und das soll sicherlich auch nichts Schlimmes sein, nur es sollte
halt auch immer Zweckgebunden sein. Dann wenn einen DMZ
aufgebaut werden soll bzw. muss. Und da liegt das Verständnisproblem
vieler Leute.
nicht wie viele Unterversionen dazu die man wirklich frei "Gusto"
selber gestalten kann, wie man es braucht oder es umsetzen muss,
kann bzw. die Möglichkeiten gegeben sind.
Man unterscheidet zwischen drei Hautpmerkmalen:
- Pseudo-DMZ
Das ist der so genannte "Exposed Host"
- Real and dirty DMZ
Ein Router oder eine Firewall mit DMZ Port
- Real and clean DMZ
Zwei Router oder Firewalls als Kaskade
Irgend wann wurde das einmal so beim SANS festgelegt so das
man hat dann immer gewusst wovon man redet! Denn einfach nur
von einer DMZ zu reden ist eben nicht immer das Selbe!
Gruß
Dobby
Router - Firewall - Switch
So hat man das eigentlich vor sehr vielen Jahren gemacht in denen manRouter noch nicht von der Stange kaufen konnte und Firewalls ebenso.
Heute machen das eher recht viele Leute im privaten Bereich
und das soll sicherlich auch nichts Schlimmes sein, nur es sollte
halt auch immer Zweckgebunden sein. Dann wenn einen DMZ
aufgebaut werden soll bzw. muss. Und da liegt das Verständnisproblem
vieler Leute.
fragt sich nur, was an einer solchen Kaskade sinnvoll sein soll.
Es gibt drei anerkannte Haupt- DMZ Versionen und was weiß ichnicht wie viele Unterversionen dazu die man wirklich frei "Gusto"
selber gestalten kann, wie man es braucht oder es umsetzen muss,
kann bzw. die Möglichkeiten gegeben sind.
Man unterscheidet zwischen drei Hautpmerkmalen:
- Pseudo-DMZ
Das ist der so genannte "Exposed Host"
- Real and dirty DMZ
Ein Router oder eine Firewall mit DMZ Port
- Real and clean DMZ
Zwei Router oder Firewalls als Kaskade
Irgend wann wurde das einmal so beim SANS festgelegt so das
man hat dann immer gewusst wovon man redet! Denn einfach nur
von einer DMZ zu reden ist eben nicht immer das Selbe!
Gruß
Dobby
Zitat von @G-KA:
Mich irritiert, dass ich meinen Cisco 1921 Router hierbei nicht halbwegs sinnvoll einbinden kann! Gibt es da tatsächlich
keine halbwegs brauchbare Möglichkeit?!
Mich irritiert, dass ich meinen Cisco 1921 Router hierbei nicht halbwegs sinnvoll einbinden kann! Gibt es da tatsächlich
keine halbwegs brauchbare Möglichkeit?!
Gibt es irgendeinen Grund, warum Du unbedingt den Cisco weiter nutzen mußt/willst? Erinnert mich an die Maschine mit dem Ping, die benutzt werden muß, weil man dafür viel Geld ausgegeben hat.
lks
hmmm. du hast den? http://www.cisco.com/c/en/us/products/routers/1921-integrated-services- ...
der hat:
Embedded hardware-accelerated VPN encryption
Highly secure collaborative communications with Group Encrypted Transport VPN, Dynamic Multipoint VPN, or Enhanced Easy VPN
Integrated threat control using Cisco IOS Firewall, Cisco IOS Zone-Based Firewall, Cisco IOS IPS, and Cisco IOS Content Filtering
Identity management with authentication, authorization, and accounting (AAA), and public key infrastructure
Der ist mit dem Speedport Modem über einen WAN Port ans Internet angebunden. WO ist das Problem?
Warum meinst du, hat der keine Firewall? Und welche Firewall willst du noch vor den Router setzen? Die sitzt doch in dem Cisco zwischen WAN und LAN.
Welches ist dein drittes Gerät?
Oder raff ich einfach nicht, wovon ihr sprecht, weil ich noch nie auf die Idee kam, vor einen Router mit integrierter Firewall noch eine Firewall zu basteln?
@ Dobby: Das mit der DMZ muss ich mal auswendig lernen. Jeder meint was anderes bei dem Thema.
LG
Buc
der hat:
Embedded hardware-accelerated VPN encryption
Highly secure collaborative communications with Group Encrypted Transport VPN, Dynamic Multipoint VPN, or Enhanced Easy VPN
Integrated threat control using Cisco IOS Firewall, Cisco IOS Zone-Based Firewall, Cisco IOS IPS, and Cisco IOS Content Filtering
Identity management with authentication, authorization, and accounting (AAA), and public key infrastructure
Der ist mit dem Speedport Modem über einen WAN Port ans Internet angebunden. WO ist das Problem?
Warum meinst du, hat der keine Firewall? Und welche Firewall willst du noch vor den Router setzen? Die sitzt doch in dem Cisco zwischen WAN und LAN.
Welches ist dein drittes Gerät?
Oder raff ich einfach nicht, wovon ihr sprecht, weil ich noch nie auf die Idee kam, vor einen Router mit integrierter Firewall noch eine Firewall zu basteln?
@ Dobby: Das mit der DMZ muss ich mal auswendig lernen. Jeder meint was anderes bei dem Thema.
LG
Buc
Zitat von @the-buccaneer:
Welches ist dein drittes Gerät?
Oder raff ich einfach nicht, wovon ihr sprecht, weil ich noch nie auf die Idee kam, vor einen Router mit integrierter Firewall
noch eine Firewall zu basteln?
Welches ist dein drittes Gerät?
Oder raff ich einfach nicht, wovon ihr sprecht, weil ich noch nie auf die Idee kam, vor einen Router mit integrierter Firewall
noch eine Firewall zu basteln?
Also ich hatte den To zunächst dahingehend verstanden, daß er einen (Speedporrt-)Router und eine UTM-Firewall hat und wissen wollte was man da sinnvolerweise macht. Da wurde ihm der rat gegeben, den Speedport auf "Druchzug" per pppOE zu schalten und die UTM-Firewall für Dialin zu nutzen. Und dann hat er für mich überaschend den Cisco aus dem Hut gezogen.
Nun wäre es schon ganz praktisch zu wissen, wofür er die Cisco einsezen will. Nur zum Routen oder auch den ganzen anderen Schnickschnakk den dieser bietet. Für mich hat hatte das halt zunächst so geklungen, daß er die cisco mit einbauen will, die so viel Geld gekostet hat und man das gegenüber dem Management rechtfertigen muß.
lks
Dobby: Das mit der DMZ muss ich mal auswendig lernen. Jeder meint was anderes bei dem Thema.
Wir waren halt einmal in den USA bei einem Institut namens SANS und die unterrichten und schulen dort wohl mittlere und größere Firmen bis hin zu Konzernen in allen Belangender IT, mit dem Hinblick auf Sicherheit und dort mussten wir halt in einem Raum warten in dem gerade
eine Schulung bzw. kurze Einführung zum Thema DMZ lief und nach einer halben Stunde konnten wir
dann zu unserem Gesprächspartner in das Büro rein und das ist eben so das ich mir das eben gemerkt habe und es handelt sich ja auch nicht um einen festgeschriebenen und verbrieften Standard, sondern
eher um etwas wie einen Vorschlag oder besser noch um eine Verabredung untereinander was für drei
Hauptformen einer DMZ es gibt, nicht mehr und nicht weniger. Das soll heißen wenn sich zwei Leute
unterhalten und der eine sagt zu dem anderen wir haben eine DMZ kann das alles oder nichts bedeuten
aber wenn man einen der drei Begriffe benutzt dann weiß der Ansprechpartner wenigstens grob um was
es sich denn nun genau handelt. Und Jahre später habe ich das mal beiläufig erwähnt und habe dann
erst erfahren das SANS in den USA wohl Branchen führend in den Punkten IT Sicherheit ist.
Das kann von mir aus auch gerne jeder nennen und auch umsetzen wie er will nur ich fand das eben
logisch die DMZ in drei Hauptgruppen einzuteilen.
Gruß
Dobby
Hatten wir dazu nicht mal ne kurze Diskussion das sowas nicht wirklich zielführend ist?
Zitat von @G-KA:
Sofern es einen Unterschied macht, bitte die Frage alternativ auch bezüglich einer Anbindung eines Reverse-Proxys basierend
auf Alix-Board & pfsense (statt Sophos SG 105) beantworten.
Sofern es einen Unterschied macht, bitte die Frage alternativ auch bezüglich einer Anbindung eines Reverse-Proxys basierend
auf Alix-Board & pfsense (statt Sophos SG 105) beantworten.
Moin,
Due solltest erstmal darlegen, was die Sophos genau machen soll udn warum Du Dir einen Cisco-Rourter zugelegt hast.
Oder zumindenst, was Dein Ziel ist. Dann könne wir Dir Vorschläge machen, was eine sinnvolle Lösung für dein Problem ist. Willst Du vielleicht VPNs einsetzen? Soll die UTM nur http filtern? oder auch smtp oder noch anderen traffic? usw.
Sorry, aber da die Sonne sich gerade hinter derm Mond versteckt, hat die Kristallkugel nciht genug Energie, um da sinnvolle Antworten zu geben.
lks
Zitat von @108012:
Man unterscheidet zwischen drei Hautpmerkmalen:
- Pseudo-DMZ
Das ist der so genannte "Exposed Host"
- Pseudo-DMZ
Das ist der so genannte "Exposed Host"
Hier redet man überhaupt nciht von einer DMZ, sondern von einem exposed host.
- Real and dirty DMZ
Ein Router oder eine Firewall mit DMZ Port
- Real and clean DMZ
Zwei Router oder Firewalls als Kaskade
Ein Router oder eine Firewall mit DMZ Port
- Real and clean DMZ
Zwei Router oder Firewalls als Kaskade
Und hier scheiden sich wieder die Geister. was clean und dirty ist. und das ist auch nur Augenwischerei.
Im ersteren Fall kann auch eine Kommunikation (z.B. VPN) erlaubt werden, ohne das die DMz diesen traffic mitbekommt. Das würde ich clean nennen!
im zweiten Fall muß aller traffic, der ins LAN will, z.B. VPN von außen, durch die DMZ durch und ist damit der kompromittierung durch maliziöse hosts in der DMZ ausgesetzt. das würde ich dirty nennen!
Fazit:
Eagal welche Labels man an die Lösungen dranklebt. Wichtig ist, we immer die Nomenklatur vorher zu fixieren, damit man üerb dasselbe spricht.
lks
PS: Ich rede übrigens lieber von NZ (neutralen Zonen). Demilitarsiert würde heißen, daß man da keinerlei Abwehrwaffen einsetzen dürfte.
bitte die Frage alternativ auch bezüglich einer Anbindung eines Reverse-Proxys basierend auf Alix-Board & pfsense (statt Sophos SG 105) beantworten.
Eigentlich beantwortet doch das TutorialPreiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
alles umfassend.
Das der Cisco natürlich auch eine SPI Firewall onboard hat gilt für alle Cisco Router mit Firewall Image. Siehe hier:
Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Man kann natürlich auch einen Firewall Router mit einer Firewall kaskadieren. Alles ist möglich.
Zitat von @G-KA:
> Zitat von @aqui:
> Man kann natürlich auch einen Firewall Router mit einer Firewall kaskadieren. Alles ist möglich.
Wie das genau funktioniert, möchte ich wissen. Genau darauf bezieht sich meine Fragestellung!
> Zitat von @aqui:
> Man kann natürlich auch einen Firewall Router mit einer Firewall kaskadieren. Alles ist möglich.
Wie das genau funktioniert, möchte ich wissen. Genau darauf bezieht sich meine Fragestellung!
Ganz einfach: Die Firewall zwischen Router und LAN hängen. Ob Du noch irgendwelche Portweiterleitungen machen muß oder ncht, hängt davon ab, ob Du üebrhaupt NAT machst und welche Dienste Du nutzt. Udn ob man wirklich den Rourter noch braucht, ist wirklich von der Anwendung abhängig, denn jede Firewall kann auch routen!
lks
- xDSL Kabel ins Modem stecken oder in den Router mit inegriertem Modem
- Dessen LAN Kabel dann in den WAN / Internet Port der Firewall stecken
- Lokales LAN Interface der Firewall in den Switch stecken mit den lokalen Netzwerk Geräten
- Färdsch !
Ist doch auch hier ALLES im Tutorial erklärt:
Kopplung von 2 Routern am DSL Port
Und das sogar mit Bild !
Was ist daran denn noch unklar ?
Zitat von @aqui:
- xDSL Kabel ins Modem stecken oder in den Router mit inegriertem Modem
- Dessen LAN Kabel dann in den WAN / Internet Port der Firewall stecken
- Lokales LAN Interface der Firewall in den Switch stecken mit den lokalen Netzwerk Geräten
- Färdsch !
lks
PS: Druchgestrichen, damit es nicht zu noch mehr Verwirrung führt.
Zitat von @G-KA:
> Zitat von @aqui:
> Was ist daran denn noch unklar ?
Die Verkabelung ist mir schon klar.
Unklar sind die hierbei insbesondere die erforderlichen NAT- bzw. exposed-host-Einstellungen beim Router, insbesondere wenn beim
Router bereits eine 443-NAT-Weiterleitung auf einen im LAN vorhandenen SBS2008-Server (wegen einer Windows-Phone-Anbindung an den
SBS2008-Server) vorhanden ist.
> Zitat von @aqui:
> Was ist daran denn noch unklar ?
Die Verkabelung ist mir schon klar.
Unklar sind die hierbei insbesondere die erforderlichen NAT- bzw. exposed-host-Einstellungen beim Router, insbesondere wenn beim
Router bereits eine 443-NAT-Weiterleitung auf einen im LAN vorhandenen SBS2008-Server (wegen einer Windows-Phone-Anbindung an den
SBS2008-Server) vorhanden ist.
das ist doch, wie ich schon oben sagte, davon abhängig, welche Dienste genutzt werden sollen. Un dob üebrhaupt NAT zum einsatz kommt.
Wenn eine Weiterleitung ins LAN erforderlich ist, muß halt in der Firewall eien regel ersrtellt werden, damit die Weiterleitung auch ins LAN druchkommt.
lks
Unklar sind die hierbei insbesondere die erforderlichen NAT- bzw. exposed-host-Einstellungen beim Router, insbesondere wenn beim Router bereits eine 443-NAT-Weiterleitung auf einen
Bei einer Kaskade mit Router müssen die natürlich 2mal gemacht werden !!Einmal auf dem Internet Router und einmal auf dem kaskadierten Router oder Firewall.
Logisch, denn wie sollten sonst von extern eingehende Pakete die beiden NAT Firewalls überwinden ? Oder dachtest du Handauflegen reicht da ??
Zitat von @aqui:
> Unklar sind die hierbei insbesondere die erforderlichen NAT- bzw. exposed-host-Einstellungen beim Router, insbesondere wenn
beim Router bereits eine 443-NAT-Weiterleitung auf einen
Bei einer Kaskade mit Router müssen die natürlich 2mal gemacht werden !!
Einmal auf dem Internet Router und einmal auf dem kaskadierten Router oder Firewall.
Logisch, denn wie sollten sonst von extern eingehende Pakete die beiden NAT Firewalls überwinden ?
> Unklar sind die hierbei insbesondere die erforderlichen NAT- bzw. exposed-host-Einstellungen beim Router, insbesondere wenn
beim Router bereits eine 443-NAT-Weiterleitung auf einen
Bei einer Kaskade mit Router müssen die natürlich 2mal gemacht werden !!
Einmal auf dem Internet Router und einmal auf dem kaskadierten Router oder Firewall.
Logisch, denn wie sollten sonst von extern eingehende Pakete die beiden NAT Firewalls überwinden ?
Nur wenn die "nachgeschaltete Firewall bzw der nachgeschaltete Router NAT macht, was, sofern man nicht irgendeinen Plastik-Router oder eine PlastikFirewall nimmt. Dann kann man nämlich einfach das Zielsystem schon im ersten Router angeben udn muß da nur eien statische Route ins "hintere" netz einrtagen.
lks
Nicht wenn sie Audo MDI-X supporten, sprich die automatische Polungsanpassung.
Das kann heute so gut wie jedes Endgerät.
Guckst du hier:
PPTP:
VPNs einrichten mit PPTP
SSL:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Die Suchfunktion ist dein Freund
Du bist kein wirklicher Netzwerker, oder ?
Das kann heute so gut wie jedes Endgerät.
Und wie funktioniert dann die VPN-Anbindung?
In dem du einfach auf dem vorgelagerten Gerät per Port forwarding die von dir verwendeten VPN Protokolle per Port Forwarding forwardest.Guckst du hier:
PPTP:
VPNs einrichten mit PPTP
SSL:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
IPsec:
IPsec VPNs einrichten mit Cisco, Mikrotik, pfSense Firewall, FritzBox, Smartphone sowie Shrew Client Software
Die Suchfunktion ist dein Freund
Du bist kein wirklicher Netzwerker, oder ?
Zitat von @G-KA:
Müssen Router und Firewall bzw. UTM-Gerät dann mit einem Crossoverkabel oder einem normalen Netzwerkkabel verbunden werden?
Müssen Router und Firewall bzw. UTM-Gerät dann mit einem Crossoverkabel oder einem normalen Netzwerkkabel verbunden werden?
Ganz einfach: Du stöpselt die erstmal mit einem normalen kabel zusammen udn wenn das ncht geht, kannst Du imemr ncoh ein Crossover-Kabel nehmen. Allerdings gibt es heutzutage kaum noch neue Geräte, die kein Auto-MDI-X unterstützen.
Und wie funktioniert dann die VPN-Anbindung?
In Deinem Fall anbhängig davon, ob Du normal routest oder NAT an der Firewall machst.
lks
Zitat von @G-KA:
> Zitat von @aqui:
>
> In dem du einfach auf dem vorgelagerten Gerät per Port forwarding die von dir verwendeten VPN Protokolle per Port
Forwarding
> forwardest.
Würde es auch umgekehrt gehen, wenn man das Cisco-VPN vom Router für VPN-Verbindungen nutzen will?!
> Zitat von @aqui:
>
> In dem du einfach auf dem vorgelagerten Gerät per Port forwarding die von dir verwendeten VPN Protokolle per Port
Forwarding
> forwardest.
Würde es auch umgekehrt gehen, wenn man das Cisco-VPN vom Router für VPN-Verbindungen nutzen will?!
Natürlich kanst Du auch das Cisco-VPN benutzen und dann ganz normal "nach hinten" weiterrouten.