Wenn ich mir mittels z.B. SuSEfirewall 2 3 Netzwerkkarten einrichte: 1. Internet (Externes Interface) 2. Lokales Netz A (Internes Interface) 3. Lokales Netz B (DMZ) Was passiert dann ? Kann 1 dann auf 3 ungehindert zugreifen - oder muß das freigeben werden. 2 sollte ja Zugriff auf 3 haben umgekehrt aber nicht. Hintergrund: Ich hab ein Netzwerk, das über eine Linuxkiste im Internet hängen soll, und aber auch an einem "fremden lokalen" Netzwerk da ich einen SQL Server dort abfrage. Das fremde Netzwerk soll aber nicht auf mein Lokales Netz zugreifen, ich will aber auch nicht, dass ich dem Internet Tür und Tor ins "fremde lokale" Netz öffne ... Geht das mit meine oben genannten Anordnung?
Martin Hochreiter wrote:
Wenn ich mir mittels z.B. SuSEfirewall 2 3 Netzwerkkarten einrichte:
1. Internet (Externes Interface) 2. Lokales Netz A (Internes Interface) 3. Lokales Netz B (DMZ)
Was passiert dann ? Kann 1 dann auf 3 ungehindert zugreifen - oder muß das freigeben werden. 2 sollte ja Zugriff auf 3 haben umgekehrt aber nicht.
Schau dir mal ipcop an. Damit kannst du eigentlich nicht viel falsch machen.
Ralf schrieb:
Schau dir mal ipcop an. Damit kannst du eigentlich nicht viel falsch machen.
Hallo Ralf ... das ist meine momentane IPCOP Lösung, nur ich will wieder zurück zu Suse, denn der Server der da in Betrieb ist, muß leider mehr können als nur Firewall und da stösst man mit IPcop samt Addons bald an die Grenzen. Ich hab erfolgreich 2 SuSEfirewalls im Einsatz, aber hab noch keine Ahnung von 3 Netzwerkkarten Konfigurationen... lg
Martin Hochreiter wrote at Friday, October 07, 2005 12:21 PM
Wenn ich mir mittels z.B. SuSEfirewall 2 3 Netzwerkkarten einrichte:
1. Internet (Externes Interface) 2. Lokales Netz A (Internes Interface) 3. Lokales Netz B (DMZ)
Was passiert dann ? Kann 1 dann auf 3 ungehindert zugreifen - oder muß das freigeben werden. 2 sollte ja Zugriff auf 3 haben umgekehrt aber nicht.
Hintergrund: Ich hab ein Netzwerk, das über eine Linuxkiste im Internet hängen soll, und aber auch an einem "fremden lokalen" Netzwerk da ich einen SQL Server dort abfrage. Das fremde Netzwerk soll aber nicht auf mein Lokales Netz zugreifen, ich will aber auch nicht, dass ich dem Internet Tür und Tor ins "fremde lokale" Netz öffne ...
Geht das mit meine oben genannten Anordnung?
Schau Dir mal zunächst die Definition der DMZ an sich an: http://de.wikipedia.org/wiki/DMZ Im Grundzustand ist die DMZ genau so geschützt wie das interne Netz, d.h., dass Du die in der DMZ verfügbaren Dienste explizit freischalten musst, normalerweise sollte dies aus _beiden_ Netzen notwendig sein (Internet, Intranet). Beispiel Mailserver: Dieser muss von Außen über den SMTP-Port erreichbar sein, von innen über SMTP und POP3 bzw. IMAP. Das wichtigste dabei ist, dass NIEMALS ein DMZ Rechner von sich aus eine Verbindung ins Interne Netz aufbauen können darf, damit, falls ein solcher Server kompromittiert würde, das interne Netz von dort aus immer noch geschützt ist. Sinn der DMZ ist ja, dass das eigentliche interne Netz aus dem Internet überhaupt nicht direkt rerreichbar ist. Wenn Du Dir die Kommentare zu dein einzelnen Konfigurationsmöglichkeiten in /etc/sysconfig/SuSEfirewall2 anschaust, dürfte ziemlich klar werden, wo Du was eintragen muss, damit es so funktioniert, wie Du willst. Ich hoff, ich habe zum Verständnis beigetragen, Beste Grüße, Markus
Hallo, Martin Hochreiter schrieb:
Wenn ich mir mittels z.B. SuSEfirewall 2 3 Netzwerkkarten einrichte:
1. Internet (Externes Interface) 2. Lokales Netz A (Internes Interface) 3. Lokales Netz B (DMZ)
Was passiert dann ? Kann 1 dann auf 3 ungehindert zugreifen - oder muß das freigeben werden. 2 sollte ja Zugriff auf 3 haben umgekehrt aber nicht.
Hintergrund: Ich hab ein Netzwerk, das über eine Linuxkiste im Internet hängen soll, und aber auch an einem "fremden lokalen" Netzwerk da ich einen SQL Server dort abfrage. Das fremde Netzwerk soll aber nicht auf mein Lokales Netz zugreifen, ich will aber auch nicht, dass ich dem Internet Tür und Tor ins "fremde lokale" Netz öffne ...
Guarddog (www.simonzone.com/software/guarddog/) lässt sich auch empfehlen (ist hier im Einsatz), basiert auch auf IP Tables und ist leicht über eine GUI zu konfigurieren und zu bedienen. Mit GD kannst Du eigene Zonen bestimmen und konfigurieren, welche Protokolle eine Zone den anderen Zonen zur Verfügung stellt. Dein Fall sollte für GD kein Problem sein. Gruß Kimmo
participants (4)
-
K. Elo -
Markus Heidinger -
Martin Hochreiter -
Ralf Prengel