DMZ ohne eigenes Subnet?

27/08/2008 - 18:40 von Peter Mairhofer | Report spam
Hallo!

Wenn man nicht gerade eine große Firma oder Institution ist, bekommt man
als kleineres Unternehmen von einschlàgigen business Anbietern z.B. ein
/29er Subnet geroutet. (Im konkreten Fall gibt es bei der Telekom
Austria bei den business Produkten ein /30er Subnet und auf Anfrage ein
/29er).

Gut, von den 8 IP Adressen ist eine die Netzadresse und eine die
Broadcastadresse und eine frisst das Modem, das sie installieren.

Nun möchte eine kleine Firma die verbleibenden 5 IP Adressen verwenden:
Einerseits eine für das interne Firmennetzerk, hier soll geNATted
werden. Und die restlichen 4 für eigene Server (1xDNS, 1xMail, 1xWeb,
1xWindows). Diese Server sollen aber nun in eine DMZ. Nur: Wie löst man das?

Im klassischen Fall einer DMZ hat man aber 2 Subnets: Das öffentliche
Internet. Über einen Paketfilter sind nun die Server der DMZ an einem
eigenen Interface. Und dann noch ein Netz nach innen.

Aber: Wie macht man das wenn man eben nur ein Subnet geroutet bekommt?
An dem Router der TA kann man nichts àndern: Die stellen den Kasten als
Blackbox auf und dahinter gibts ein Ethernet-Interface wo einfach das
fertige /29er Subnet rauskommt.

Dahinter soll nun ein Linuxrechner (Router) hin, der auf einem Interface
direkt an den o.g. Kasten der Telekom angeschlossen ist (z.B. eth0). Auf
einem weiteren (z.B. eth1) soll die DMZ angeschlossen werden, d.h. die
Server mit den verbleibenden IPs sollen dorthinein.

Und schließlich auf einem weiteren (eth2) soll das interne Firmen LAN
hàngen auf das NAT gemacht werden soll.

Ein Szenario für mich wàre nun, eth0 und eth1 zu bridgen und der Bridge
die externe NAT IP zuzuweisen. An eth2 soll einfach geNATted werden.
Dort kann ich auch einfach einen Paketfilter installieren. Aber zwischen
eth0 und eth1 geht das dann nicht mehr. Und ebtables dafür scheint mir
nicht die richtige Lösung zu sein. Und die Server über die Bridge direkt
dem Internet auszusetzen scheint mir ebensowenig günstig.

Wie gestaltet man nun so eine DMZ, sodass man den Verkehr zwischen
Internet<-->DMZ, Internet<-->Intranet sowie DMZ<-->Intranet separat
absichern kann wobei so wenig IP Adressen wie möglich verwendet werden
sollen?

Oder geht das mit einfachen Subnets gar nicht? Was braucht dann eine
Firma, die eine DMZ implementieren möchte?

lg,
Peter
 

Lesen sie die antworten

#1 Paul Muster
27/08/2008 - 20:23 | Warnen spam
Peter Mairhofer wrote:

Wenn man nicht gerade eine große Firma oder Institution ist, bekommt man
als kleineres Unternehmen von einschlàgigen business Anbietern z.B. ein
/29er Subnet geroutet.

Nun möchte eine kleine Firma die verbleibenden 5 IP Adressen verwenden:
Einerseits eine für das interne Firmennetzerk, hier soll geNATted
werden. Und die restlichen 4 für eigene Server (1xDNS, 1xMail, 1xWeb,
1xWindows). Diese Server sollen aber nun in eine DMZ. Nur: Wie löst man
das?

An dem Router der TA kann man nichts àndern: Die stellen den Kasten als
Blackbox auf und dahinter gibts ein Ethernet-Interface wo einfach das
fertige /29er Subnet rauskommt.

Dahinter soll nun ein Linuxrechner (Router) hin, der auf einem Interface
direkt an den o.g. Kasten der Telekom angeschlossen ist (z.B. eth0). Auf
einem weiteren (z.B. eth1) soll die DMZ angeschlossen werden, d.h. die
Server mit den verbleibenden IPs sollen dorthinein.

Und schließlich auf einem weiteren (eth2) soll das interne Firmen LAN
hàngen auf das NAT gemacht werden soll.



Jo, schaut doch gut aus.

Sowohl das Netz, in dem die Clients stehen, als auch das, in dem die
Server stehen, suchst du dir aus RfC1918. Die Clients kommen an eth2,
die Server an eth1, der Router an eth0.

Ein Szenario für mich wàre nun, eth0 und eth1 zu bridgen und der Bridge
die externe NAT IP zuzuweisen.



Nee, wieso das denn?

An eth2 soll einfach geNATted werden.



Ja.

Dort kann ich auch einfach einen Paketfilter installieren.



Ja.

Aber zwischen
eth0 und eth1 geht das dann nicht mehr.



Hm, wieso? Und wieso "dann"?

Und ebtables dafür scheint mir
nicht die richtige Lösung zu sein. Und die Server über die Bridge direkt
dem Internet auszusetzen scheint mir ebensowenig günstig.



Pack die Server in ein eigenes RFC1918-Netz und mache 1:1-NAT. Hierbei
wird eine offizielle externe IP-Adresse auf eine der internen
RFC1918-Adressen umgesetzt. Inbound wird DNAT gemacht, outbound SNAT.
Schau dir mal das hier an:
http://www.linuxhomenetworking.com/...ick_HOWTO_:_Ch14_:_Linux_Firewalls_Using_iptables#Static_NAT

Wie gestaltet man nun so eine DMZ, sodass man den Verkehr zwischen
Internet<-->DMZ, Internet<-->Intranet sowie DMZ<-->Intranet separat
absichern kann wobei so wenig IP Adressen wie möglich verwendet werden
sollen?



So, wie ich es oben beschreibe.

Oder geht das mit einfachen Subnets gar nicht? Was braucht dann eine
Firma, die eine DMZ implementieren möchte?



Genau das, was du auch hast, ein IP-Subnetz.


Achja, die Antwort auf deine nàchste Frage wird dann sein: "Bind DNS
view". ;-)


mfG Paul

Ähnliche fragen