Verstaendnisfrage: Routing...Firewall

Gemeinsam ins Internet mit Firewall und Proxy.
Antworten
panthip
Beiträge: 9
Registriert: 29.02.2004 13:31:29
Wohnort: Pforzheim

Verstaendnisfrage: Routing...Firewall

Beitrag von panthip » 29.02.2004 13:55:59

Es geht um folgende Netzwerktopologie:

Code: Alles auswählen

Internet  --  Router  --  Server(woody)
                      --  Hub  --  PC1
                               --  PC2
                      --  Hub  --  PC3
                               --  PC4
                      -- PC5 (WLAN)
Auf dem Server laeuft ein DHCP und DNS, beides funktioniert auch tadellos.
Soweit ich das nun verstehe, laeuft es so ab:
Die Clients holen sich beim DHCP dynamisch eine IP und zusaetzlich die Information, dass der Gateway/Router statisch auf 192.168.82.2 liegt.
Meine Frage ist nun, wenn ich den Verkehr durch eine Firewall schleussen moechte, wo muss ich diese installieren.
Ich wuerde sie gerne auf dem woody Server initiieren, aber wenn ich das richtig verstehe geht der Internet traffic ja eigentlich gar nicht ueber den Server, sondern wird direkt ueber den Router nach aussen gesendet, folglich muesste die Firewall auf dem Router (SMC) laufen.
Lieg ich da richtig oder kann man jeden traffic zunaechst ueber den Server routen und von diesem filtern lassen und dann erst in die rauhe Welt entlassen?
Auf dem Router von SMC sind zwar firewall optionen vorhanden, aber ich wuerde gerne das debian system nutzen, ich trau diesem einfach mehr =)

Bin da momentan einfach ueberfragt wie eine vernuenftige Loesung aussehen muss, hoffe ihr koennt mich aufklaeren.

gruss panthip
Nach oben
Benutzeravatar
arnem
Beiträge: 324
Registriert: 27.03.2003 08:17:25
Wohnort: Flensburg
Kontaktdaten:

Beitrag von arnem » 29.02.2004 22:35:49

So auf die Schnelle und ohne Gewähr :wink:

Der DHCP-Dienst des Routers muß als Gateway den Server an die Clients weitergeben. Somit geht der Verkehr erstmal nur zum Server. Der Server wiederum erhält eine zweite statische IP und als Gateway den SMC. Der SMC soll Verkehr nur an den Server schicken und nur von diesem Annehmen.
Ist allerdings eine suboptimale Lösung. Das LAN hängt weiterhin noch über Hubs am Router. Günstige ist es, dem Server eine zweite Netzwerkkarte zu spendieren:

Code: Alles auswählen

Inet -- Router -- Server -- Hub -- PC1
                                -- PC2
                                ....
                                -- PC5
Grüße aus Flensburg,
Arne
Nach oben
panthip
Beiträge: 9
Registriert: 29.02.2004 13:31:29
Wohnort: Pforzheim

Beitrag von panthip » 03.03.2004 13:08:32

Hallo arnem,
zunaechst mal vielen Dank, dass du dich meiner angenommen hast.
Jetzt plagen mich aber immer noch verstaendnisprobleme.
Vielleicht vorne weg noch ein paar Hintergrundinformatioen:
Bislang hat mein debian-woody server alle arbeiten im Netz uebernommen. Sprich er war router, dhcp-,dns- und file-server in einem. Nun hab ich mich aber von einem c't-Artikel aufklaeren lassen, dass es nicht ratsam ist, wenn die Maschine sowohl Dienste fuer das lokale Netzwerk bereithaelt, als auch den Zugang ins Inet. Folglich hab ich mir einen Hardwarerouter zugelegt, den ich zwischen WAN und LAN gesetzt habe. Ausserdem wollt ich gleich zwei Fliegen mit einer Klappe schlagen und habe den Hardwarerouter mit WLAN-Sender gekauft.
Also zwei Notebooks haengen noch ueber WLAN am Router.

Wenn ich nun aber die PCs ueber Hub an der Server schliesse, ist der Router dann nicht arbeitslos, weil der Server wieder routen muss?
Und wenn ich auf dem Server dann die Firewall laufen lasse, was mach ich mit den Notebooks die immernoch direkt am Router haengen?

Sorry wenn ich bissle ausschweife, aber ich wuerde dass nun gern mal verstehen, wie es zu funktionieren hat und irgendwie gehts mir nicht in den Kopf, deshalb hoffe ich mir kann es jemand an meinem Beispiel erklaeren.

PS: Hab noch eine Information vergessen: Die von dir erwaehnte zweite Netzwerkkarte im Server ist bereits vorhanden, da ich bislang ja ohne router gearbeitet habe, wird im moment nur nicht benutzt.
Nach oben
BlackSword
Beiträge: 25
Registriert: 14.01.2004 16:29:58
Wohnort: Südliches Münsterland

Beitrag von BlackSword » 03.03.2004 15:02:33

Hallöchen!

Was für dienste sollen denn im Internet genutzt werden (Http/SMTP/POP3 etc.)??

Nach deinen Aussagen würde ich folgendes machen:

Server -> Proxy für die Anwendungen
Clients -> Server als Proxy einrichten
Hardwarerouter (SMC) -> Firewall konfigurieren (hat doch einstellungen z.B. Paketfilter oder?!)

Gruß
BS

PS: Firewall ist ein Sicherheitskonzept keine einzelne Application
Nach oben
panthip
Beiträge: 9
Registriert: 29.02.2004 13:31:29
Wohnort: Pforzheim

Beitrag von panthip » 04.03.2004 10:58:44

Die Proxy-Loesung kam mir auch schon in Sinn, aber das macht bei diversen Programmen Probleme. Ich glaub, dass is einfach nicht zeitgemaess.

So wie ich das grad sehe, ist es sinnvoller zwei lokale Netzwerke zu errichten. Eins so wie es arnem aufgezeigt hat, die PCs hinter dem Server mittels Hub verbunden und ein lokales Netzwerk fuer die Notebooks, die sich mittels VPN/IPSec dann einklinken koennen.

Meine Frage aber bleibt trotzdem noch bestehen. Es wurde empfohlen zwischen LAN und WAN einen Router zu setzen und zwar einen, der sich nur ums Routing kuemmert. Wenn der Traffic aber zunaechst ueber den Server geht und von diesem ja dann schon gebuendelt/geroutet wird, wo bleibt da der Nutzen des Routers.
Nach oben
Antworten

Zurück zu „Internetrouter und Proxies“