Aufbau DMZ

Seite 1 von 1 - Forum: Internet & Provider auf overclockers.at

URL: https://www.overclockers.at/internet-provider/aufbau_dmz_166034/page_1 - zur Vollversion wechseln!

Jehul schrieb am 21.07.2006 um 08:58

Hallo!

Ich bräuchte eure hilfe beim ändern unserer DMZ.
in der dmz stehen "sichere" server (werden von mir betreut) und "unsichere" (kunden-server) auf die ich keinen zugriff habe.

jetzt möcht ich gerne unsere server von den kundenservern trennen.
und meine liebste lösung wäre, dass alle unsere server untereinander kommunizieren können und jeder kundenserver "abgeschottet" ist.

wir haben ein ip-segment mit öffentlichen ip adressen.

derzeit schaut das netzwerk so aus:

inet -> hardware-router/firewall -> switch -> alleserver

version 1 (trennung sichere/unsichere server):
ich werde das ip segment auf 2 aufteilen.

inet router geht zu segment 1 (sichere server) direkt
inet router geht zu segment 2 (unsichere) über router #2

Code:

inet -> router/firewall -> switch -> sichereserver
                                  -> router/firewall#2 -> switch -> unsichere server

jetzt meine frage: hab ich wo nen denkfehler?
oder gibt es eine einfachere lösung.
und hat wer eine idee, wie das funktionieren könnte, dass die kundenserver untereinander sich nicht stören können?
es könnte ja jederzeit ein kund per ssh eine 2te ip adresse eintragen und so nen anderen server stören etc...

danke für antworten

n4plike schrieb am 21.07.2006 um 09:11

Mach doch am Internet einen Hub einen Häng 2 Router Dran und die sache hat sich? Ist doch etwas einfacher oder? ^^

Crash Override schrieb am 21.07.2006 um 12:49

Es gibt verschiedene Möglichkeiten, die von dem vorhandenen Router abhängen. Für die Sicherheit der fremden Server sind die Betreiber eigentlich selbst zuständig. Warum sollten die sich gegenseitig nicht erreichen können wenn sie von überall aus der Welt erreichbar sind?

Jehul schrieb am 21.07.2006 um 13:45

hallo.

@n4plike: nur hub wird nicht gehen, da ich am router nur 1e externe ip-adresse einstllen kann, weil auf die der provider weiterroutet.

@crashoverride:
hab jetzt auch beschlossen, dass der aufwand einfach zu hoch wäre (planung, realisierung, kosten) für so eine lösung. jeder kunde soll selber verantwortlich sein.
überall aus der welt sinds trotzdem nicht erreichbar, weil ich am router explizit prots für jeden server freischalte.

unser hardware router/firewall hat 3 ports (wan, dmz, intern).
das intern ist für uns zum surfen. das werd ich jetzt als "unsichere kunden" hernehmen.
somit hab ich wan und 2*lan für sichere dmz und kunden dmz.

damit wir intern auch ins netz kommen, kauf ich mir nen 0815 router.

darkboarder schrieb am 21.07.2006 um 13:59

kannst du nicht mit subnetzen trennen und einfach eine regel aufstellen das die Geräte nur mit Geräten im eigenen Subnetz kommunizieren können?

Jehul schrieb am 24.07.2006 um 08:43

hallo darkboarder.
das wäre schon möglich, aber wo stellst die regel ein?
man bräuchte einen switch, auf den man für jeden port eine ip-adresse festlegen kann.

darkboarder schrieb am 28.07.2006 um 20:09

ist etwas kompliziert. Die Einstellungen triffst du am Router bzw du musst die Subnetze ausrechnen und dann diese an jedem PC/Server einstellen.

Sagen wir es so, wenn du es somit günstig/gscheid lösen willst geht das nicht ohne das man sicht damit gscheid auskennt.

always_on schrieb am 17.08.2006 um 11:35

du könntest es auch so machen

Inet---router1--switch--router2---sicherer bereich
_________________ --router3---unsicherer bereich

ist zwar ein bissi mehr aufwand aber wär sicher machbar

NyoMic schrieb am 17.08.2006 um 11:39

mit jeweils eigenen VLAN's würds gehen dass die server nicht direkt miteinander kommunizieren können. Allerdings gibts bei den meistens Switches ein VLAN-Limit von 30 - ist halt die Frage ob du damit auskommst.

DAO schrieb am 18.08.2006 um 20:41

Die Fragen sind :

wieviele ips, (sercure, unsecure)
Welche Hw ist bereits vorhanden mit welchen Lizenzen.
Bzw mit welchem Grosshändler/Hersteller bestehen Verträge.
Welche Routing Protokolle kommen bereits zum einsatz.
Welches Budget ist vorhanden.
usw

Erst dann kann man in der PRaxis beginnen zu Evaluieren.

Wenn ich orbiges ausser acht lasse währe ein Bespiel :
(andere Varianten sind auch möglich)

Ich würd die sicheren Server über den Switch S1 mir Router R1 verbinden.
Weiters würde ich im Bereich der sicheren Server, die Ports an welchen diese gepatched sind an die Ip des Servers dahinter binden.

Da die Server den Router R1 nicht sinnlos belasten sollen bekommen sie jeweils eine zusätzliche Nic rein.
Und bekommen einen eigenen Switch S3 um allen Traffic welcher untereinander bestehen muss eben über diesen eigenen Switch erfolgt.
und der Interne Traffic ist an Switch S1 auch nicht ersichtlich.

Die unsicheren Server hängen an Switch S2.
Ips an die gepatchten Ports auch fix gebunden.
Dieser Switch hängt an Router R2.

Router R2 hängt an Switch S1.

Nun nur noch die Router und Switches anständig confen.
Eine ordentliche Doku Führen und passt.

PS: hab leider nix andres als MS Paint auf der Kiste oben.