Router und andere Services

[digl]

Hallo,

ich möchte zuhause einen Debian-Router aufstellen und überlege, ob es möglich ist, auf dieses Gerät zusätzlich auch noch andere Services laufen zu lassen (Mail-Server, Web-Server, Proxy, SFTP).
Eigentlich sollten ja beim Router externes und internes Netz voneinander getrennt sein. Somit stellt sich mir die Frage, ob ich mit meinem Vorhaben das Masquerading des Routers aushebel und eventuell irgendwelche Sicherheitsaspekte ungewollt umschiffe ?

Vielen Dank schon mal für Kommentare und Ideen.

Gruß
DIRK

[wanne]

Masquerading ist genau das, was die ganzen heimrouter machen. (Zum großen Teil sogar genau mit iptables.)
Dass sowas ein mehr an Sicherheit bringt würde ich eher bezweifeln. Das ist mehr ein Werbegag um NAT als für den Provider (Der Zahlt ja nicht die Heimrouter sondern nur seine Infrastruktur.) billigere Alternative zum umstieg auf IPv6 zu bewerben. Und jetzt leider aus den Köpfen leider nicht mehr rauszubekommnen, sodass man das unbedingt wieder haben muss, auch wenn es nichtmehr nötig ist.

[digl]

...bedeutet das, dass ich mir in meiner vorgestellten Konstellation keine Sorgen machen brauche ?
Ich dachte immer, dass der NAT immer benötigt wird, um die externen IPs auf die internen zu verbiegen ?!

[syssi]

...bedeutet das, dass ich mir in meiner vorgestellten Konstellation keine Sorgen machen brauche ?
Ich dachte immer, dass der NAT immer benötigt wird, um die externen IPs auf die internen zu verbiegen ?!

TL;DR: Jep, wobei verbiegen mehr ein 1:n mapping ist.

Auf die erste Frage moechte ich dir nicht antworten. Zur zweiten Frage: NAT bedeutet "Network Address Translation". Masquerade bedeuten Maskenspiel. Beides Dinge, welche fuer gewoehnlich Heim-Router fuer IPv4-Netze fuer dich erledigen. Aus dem Internet heraus ist dein lokales IP-Subnet nicht adressierbar/routebar. Dein gesamtes Heimnetz wird (oder wurde) von einer IPv4-Adresse maskiert. Stellen Geraete aus deinem Heimnetz (lokaler Adressbereich) Anfragen an IPs aus dem Internet, dann erfolgt in deinem Router eine Wandlung der IP-Adresse. Damit das Ganze sauber funktioniert pflegt dein Router eine Tabelle, in welcher ueber die aktiven Verbindungen Buch gefuehrt wird. Fuer IPv4-Netze ist dies in der Regel notwendig, weil ein Einwahlprovider nur eine IPv4-Adresse pro Anschluss verteilt.

Gruss syssi

[wanne]

Ich dachte immer, dass der NAT immer benötigt wird, um die externen IPs auf die internen zu verbiegen ?!

Dur das es die externe bei IPv6 nicht mehr gibt.
Jeder bekommt 65536 Netze mit je 18446744073709551615 IPs und dann kann jeder Rechner eine eigene externe haben.
So war das im Übrigen auch ursprünglich mit IPv4 gedacht. Jeder sollte mindestens 254 IP-Adressen bekommen, um seine Rechner an's Internet anschließen zu können. Nur dann haben sie gemerkt, dass man dann maximal 2.113.664 Internetanschlüsse haben könnte, und sie haben das umgestellt. (Als reaktion darauf kamen die NAT Router. Die im übrigen bei weitem nicht so einwandfrei funktionieren. Fas alle Dienste die es früher mal gab werden heute praktisch nicht mehr genutzt. Unter anderem weil sie durch NAT nicht funktionieren. Um NAT trotzdem schmakhaft zu machen, wurde es kurtzerhand zur Sicherheitsmaßnahme erkärt.)

[digl]

Vielen Dank Euch beiden für die ausführlichen Erläuterungen.
Aber nun noch mal zurück zu meiner eigentlichen Frage:

Wenn ich jetzt richtig verstehe, brauche ich mir um das eigentliche Routing keine Gedanken machen. Wenn ich mein System per iptables richtig härte, kann ich beruhigt schlafen ? Auch wenn die Services auf dem Router liegen ?

[wanne]

Ja, die meistenServices bieten scho an, das sie nur in ein Netz horchen. (Etweder durch Regeln, oder durch das ausschließliche hören auf die interne IP.) Für alle anderen kannst du mit iptabels einfach die verwendeten Ports dicht machen (vielleicht auch gleich alle bis 1024.) Das ist wesentlich sicherer als der Router in der Mitte.
Alternativ oder zusätzlich kann man die meisten Dienste auch nur gegen Authentifikation anbieten.

[digl]

Alternativ oder zusätzlich kann man die meisten Dienste auch nur gegen Authentifikation anbieten.

Dann müsste ich mir auch noch einen Kerberos hinstellen, das führt aber letztendlich zu weit, da ich nur drei hosts bedienen möchte.
Auf jeden Fall sollen die Dienste natürlich auch ins WAN (-> Mail-Server, SFTP), dann kann ich doch aber nicht alle Ports bis 1024 dicht machen, oder ?
Ist es vielleicht doch ratsamer, mir nen kleinen Raspberry Pi als Router aufzusetzen und dann die übrigen Services auf einem Extra-Server laufen zu lassen ?

[syssi]

Ist es vielleicht doch ratsamer, mir nen kleinen Raspberry Pi als Router aufzusetzen und dann die übrigen Services auf einem Extra-Server laufen zu lassen ?

Ich wuerde keinen Raspberry Pi einsetzen, weil er entschieden zu wenig Netzwerkkarten besitzt fuer einen Router und meinen gesamten Internet-Traffic moechte ich nicht ueber USB abwickeln. Und ja, wenn Ports von aussen erreichbar sein sollen, dann macht es keinen Sinn diese zu schliessen.

[wanne]

Dann müsste ich mir auch noch einen Kerberos hinstellen, das führt aber letztendlich zu weit, da ich nur drei hosts bedienen möchte.

Viele Dienste bieten auch leichtgewichtiger Authentifikationsmöglichkeiten an. Ich weiß aber nicht, was du nutzt.
Aber prnzipiell ist selbst ne HTTP-Basic Authentification oder ähnliches genauso sicher, wie das Sperren aus dem Internet. (Beides get lediglich davon aus, das keiner im Lokalen Netz keiner mit Netzzugriff sitzt.)

Auf jeden Fall sollen die Dienste natürlich auch ins WAN (-> Mail-Server, SFTP), dann kann ich doch aber nicht alle Ports bis 1024 dicht machen, oder ?

Ne, dann natürlich nicht.