Anordnung Router / Firewall

[teret4242]

Hallo,

steh grad irgendwie völlig auf dem Schlauch...

Und zwar frag ich mich grad, in welcher Reihenfolge man die Netzwerkgeräte Router und Firewall anordnen muss, um eine Verbindung zum ISP herzustellen. Statische IP-Konfiguration wird vom ISP vergeben.

Angenommen beide Dienste laufen nicht auf einer Appliance, sondern werden z.B. auf zwei Rechner betrieben. Einmal mit der Firewall-Funktion und einmal mit der Routing-Funktion.

So, in welcher Reihenfolge baut man das nun in einem Netzwerk auf?

Denn egal wie rum, in beiden Fällen müsste ja dann die Firewall routen können oder? Aber dann ist es eben ja keine reine Firewall mehr... Oder hab ich da einen Denkfehler in meiner Vorstellung?


Grüße

[mludwig]

So etwas gibt es, zum Beispiel eine bridged Firewall. D. h. die Firewall selber ist eine Bridge, d. h. auf IP Ebene transparent, solange sie da nichts filtert ...

Beispiel mit Grafik gibt es in der Doku zu Shorewall:

http://www.shorewall.net/bridge-Shorewall-perl.html

[teret4242]

So etwas gibt es, zum Beispiel eine bridged Firewall. D. h. die Firewall selber ist eine Bridge, d. h. auf IP Ebene transparent, solange sie da nichts filtert ...

Jetzt mal angenommen die Bridging-Funktion würde es nicht geben , oder ich will sie nicht verwenden, müsste dann die Firewall routen können um die Datenpakete an den Router weiterleiten zu können? Und wär dann das Standardgateway für die Clients die Firewall?

[mludwig]

Ohne Bridging wäre das eine etwas sinnlose Konfiguration. Aus Sicht des Clients ist lediglich der Standardgateway interessant, dieser sollte per Definition routing können. Ansonsten kommen Sie ja nicht an Systeme heran, die eine IP ausserhalb des eigenen Netzes haben. Ich kann eine Firewall auch hinter den Standardgateway packen (d. h. der Gateway/Router hat die Firewall wiederum als Gateway nach außen), oder ich schalte die Firewall als Bridge zwischen Standardgateway und dem Router des ISP.

Es gibt viele Möglichkeiten, dabei allerdings auch mehr und vor allem weniger Sinnvolle.

[wanne]

müsste dann die Firewall routen können um die Datenpakete an den Router weiterleiten zu können?

Ja aber welche FW kann nicht routen?!

[teret4242]

Ohne Bridging wäre das eine etwas sinnlose Konfiguration.

Ja, aber nur mal vom Verständnis her, müsste die Firewall routen können, um die Datenpakete an den Router weiterleiten zu können?

Beispiel:

Subnetz -- Firewall -- Router -- ISP

Wäre in dieser Konstellation das Standardgateway für die Clients die Firewall? Und auf der Firewall wär dann das Gateway der Router?

[teret4242]

müsste dann die Firewall routen können um die Datenpakete an den Router weiterleiten zu können?

Ja aber welche FW kann nicht routen?!

Mir geht es da auch mehr um die Definition klar wird es wahrscheinlich in der Praxis keine Firewall ohne Routingfunktion geben... Aber mein Lehrer vermischt immer Router und Firewall und laut Definition verbindet einfach ein Router verschiedene Subnetze und eine Firewall filtert den Datenverkehr - oder hab ich da etwas verpasst ?

[mludwig]

Bei der Variante
Subnetz -- Firewall -- Router -- ISP

ist die Firewall Standardgateway, wenn sie auch routing betreibt. Das dürfte in den meisten Installationen der Normalfall sein, sprich der Router dahinter fällt weg bzw. mit der Firewall zusammen.

Wenn sie aber in dieser Konstellation im bridged-Mode läuft, ist der Router Standardgateway. Alle Firewalls können meines Wissens routing (es gibt eventuell ein paar obskure Ausnahmen). Es gibt eben aber auch welche, wo man diese Funktion bewusst deaktivieren kann, wie eben bei Shorewall. Mit diesem System habe ich mich intensiver befasst, da ich ein paar von denen beruflich betreue.

mludwig

[teret4242]

Wenn sie aber in dieser Konstellation im bridged-Mode läuft, ist der Router Standardgateway.

Okay, das funktioniert dann aber nur in dieser Konstellation:

PC1 ---
PC2 --- --- Switch --- Bridged-Firewall --- Router --- ISP
PCn ---

...aber nicht in dieser:

PC1 ---
PC2 --- --- Switch --- Router --- ISP
PCn ---
Bridged-Firewall ---

...seh ich das so richtig? Weil in der letzten Konstellation würden ja die Clients die Firewall einfach umgehen, indem sie sich direkt an das Gateway wenden oder?

[mludwig]

Richtig. Sie könnte immerhin fleißig an Broadcast-Nachrichten rumfiltern, so als Nebenbeschäftigung da ansonsten nix anfällt.

[teret4242]

Richtig. Sie könnte immerhin fleißig an Broadcast-Nachrichten rumfiltern, so als Nebenbeschäftigung da ansonsten nix anfällt.

Perfekt

Wenn du mal folgendes Bild anschaust: http://www.cisco.com/en/US/i/200001-300 ... 251155.jpg

...da versteh ich jetzt z.B. nicht, warum die ganzen Router aufgezeigt sind, das könnten doch alles die ASA's realisieren? Gut, vielleicht bis auf den in der Mitte - weiß jetzt nicht wofür der zuständig ist, vermutlich für eine Lastverteilung der beiden ISP's. Wobei wenn der ausfällt, dann wars das mit den beiden ISP's

[mludwig]

Zu dem Bild nur mal als Beispiel:

die äußeren Router machen BGP mit dem ISP-Routern, die Security-Appliance macht Firewall, Accounting etc und die innere Firewall verteilt den Traffic dann auf DMZ, internes Netz, Kunden etc.

So ähnlich zumindest sieht das bei uns auch aus.

[teret4242]

die äußeren Router machen BGP mit dem ISP-Routern, die Security-Appliance macht Firewall, Accounting etc und die innere Firewall verteilt den Traffic dann auf DMZ, internes Netz, Kunden etc.

Kann eine ASA das Routingprotokoll BGP nicht?

Innere Firewall? Ist das nicht ein Router

[mludwig]

innere Firewall, innerer Router, genau. In dem Bild ist es ein Router. Es gibt Mischformen, wie wir bereits weiter oben gemerkt haben ...

Ob eine ASA BGP beherscht weiß ich nicht. Mir ist noch keine unter die Finger gekommen

[teret4242]

innere Firewall, innerer Router, genau. In dem Bild ist es ein Router. Es gibt Mischformen, wie wir bereits weiter oben gemerkt haben ...

Ob eine ASA BGP beherscht weiß ich nicht. Mir ist noch keine unter die Finger gekommen

Ok, dann vielen Dank mal soweit