tuxhunt3r
Goto Top

Zyxel Zywall 5 - Einrichten einer DMZ

Hallo ans Forum

Bei der Temporärstelle, wo ich momentan arbeite, wurde ich dazu verknurrt, eine DMZ auf einer Zywall 5 einzurichten. Momentan sieht es so aus:

Internet - VDSL Bridge - ZyWall - LAN

Neu soll es so aussehen:
DMZ
Internet - VDSL Bridge - ZyWall <
LAN

Da ich während meiner Ausbildung nie etwas mit Firewalls in der Praxis zu tun hatte, bin ich momentan etwas überfordert (habe das Thema nur theoretisch studiert). In die DMZ soll eine Buffalo Linkstation kommen, auf der ein FTP-Server läuft, sodass die User dieser Firma mit anderen Firmen Daten austauschen können. Vom WAN her sollten also sicher alle Pakete mit TCP20/21 an die DMZ geschickt werden. Vom LAN aus muss man danach ebenfalls darauf zugreifen können, und zwar über FTP TCP20/21. Zudem muss ich auf die Device Webpage der NAS draufkommen und ein Verknüpfung mit dem AD muss auch möglich sein, damit ich die Ablage des FTP-Servers mit globalen Gruppen absichern kann.

Ich habe nun mal auf der Device-Webpage der ZyWall die DMZ eingerichtet (Network -> DMZ -> Registerkarte "DMZ"). Dieser habe ich das Subnetz 192.168.101.0 zugewiesen. Dieses Subnetz gibt es nicht auf meinem DHCP-Server, die IP-Adressen innerhalb der DMZ sind sowieso statisch. Nun soll ich eine Firewall-Rule dazu einrichten.

Bitte keine Links für Usermanuals schicken, die habe ich schon. Ich brauche eine genaue Beschreibung, was ich nun tun soll. Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Habe ich mich deutlich ausgedrückt? Falls nein, bitte sagen. Mir fehlt einfach die praktische Erfahrung mit Firewalls, ich bin zu unsicher, als dass ich einfach abdrücken würde.


Mit Gruss
TuXHunT3R

Content-Key: 125402

Url: https://administrator.de/contentid/125402

Printed on: May 23, 2024 at 12:05 o'clock

Member: GuentherH
GuentherH Sep 21, 2009 at 10:17:09 (UTC)
Goto Top
Hallo.

Mir fehlt einfach die praktische Erfahrung mit Firewalls

Nun, dazu gibt es ja das User Manual. Zudem kannst du auf der Webseite von Zyxel jede Oberfläche der lieferbaren Firewall aufrufen, und testen.

Schau dann auch einmal hier nach - http://www.zyxel.ch/knowledgebase.html - hier findest du jede Menge praktische Beispiele.

Es wäre sicher nicht so gut, wenn ich in der zweiten Woche bereits die FW abschiessen würde.

Dazu ist aber auch im User Manual beschrieben wie man eine Datensicherung anlegt.

LG Günther
Member: aqui
aqui Sep 21, 2009 at 11:34:24 (UTC)
Goto Top
Falls du über eine NAT Firewall musst (wenn die Zywall z.B. IP Adress Translation macht) wie vermutlich in deinem Falle (oder ist es der VDSL Router davor ??), denn du benutzt ja keine öffentlichen IPs in deiner DMZ sondern private nach RFC_1918 dann achte zwingend darauf das du dein remoter FTP Client im passive Mode arbeitet !
Andernfalls kommst du nicht über eine NAT Firewall bzw. Adress Translation Firewall per FTP auf die Linkstation !
Warum das so ist erklärt dir diese Webseite:
http://www.alenfelder.com/Informatik/pass-akt-ftp.html

FTP Clients wie Filezilla oder die embeddeten in den Browsern wie z.B. Firefox (ftp://...) benutzen von sich aus den passive Mode. Das musst du in jedem Falle sicherstellen

Der Rest ist nichts anderes als einfaches Firewall Accesslisten Customizing, das nix anderes durchkommt als FTP. Sollte mit Hilfe des Handbuchs dann ja kein Problem sein...
Member: TuXHunt3R
TuXHunt3R Sep 21, 2009 at 14:24:46 (UTC)
Goto Top
Danke für die Antworten. Ich bin schon erheblich weitergekommen, habe die DMZ konfiguriert und die Buffalo LinkStation in die DMZ gekriegt (ist noch kein FTP eingerichtet, mache ich, sobald die DMZ richtig läuft).

Ich habe die folgenden Rules definiert:
LAN => DMZ:
Default Rule: Drop,
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

DMZ => LAN:
Default Rule: Drop
Separate Regel: Alle Dienste erlauben (temporäre Lösung)

WAN => DMZ (sprich auf die IP der Buffalo):
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

DMZ (sprich auf die IP der Buffalo) => WAN:
Default Rule: Drop
Separate Regel: TCP 20/21 erlauben

Was haltet ihr davon? Ich muss mir noch überlegen, welche Dienste ich vom LAN=> DMZ und umgekehrt wieder aus der separaten Regel rausnehme. Aber sonst bin ich einigermassen zufrieden.
Member: TuXHunt3R
TuXHunt3R Sep 27, 2009 at 20:06:41 (UTC)
Goto Top
Hab eine Konfiguration hingekriegt, die relativ sicher ist, mit der aber auch die Administrierbarkeit aus dem LAN heraus gewährleistet ist.
Danke für die Antworten.