Hallo in die Runde, ich würde gerne folgendes Netz aufbauen: INTERNET -> Fritz.Box | Firewall | NAT -> Netz als DMZ -> IpFire Firewall | NAT | Proxy -> internes Netzwerk Wie hier gezeigt wird ja 2x genattet, was gefühlt unschön ist, da ich im Netzwerk der DMZ nicht weiß, welcher Client aus dem internen Netzwerk denn z.B. zugegriffen hat... Oder sollte ich das als zusätzliches Sicherheitsmerkmal verbuchen? Wie seht ihr das bzw. wie habt ihr sowas in der Vergangenheit umgesetzt? Ich hätte gerne eine DMZ und ein internes Netzwerk und habe bereits eine Fritz.Box im Netzwerk. Kann ich IP Fire außerdem einfach auf jedem beliebigem Rechner mit 2 Netzwerkkarten der aktuellen Generation installieren? Danke und Gruß
feuerwand schrieb: > Wie hier gezeigt wird ja 2x genattet, was gefühlt unschön ist Unschön ist das falsche Wort, es ist schlicht unsinnig. > Wie seht ihr das Genau so. Deswegen: wer, zum Teufel, zwingt dich, auf dem inneren Gateway (also der IPFire) NAT zu betreiben?
Auf einen vom Provider gestellten Kabel-Fritz hat der Provider Zugriff. Was damit genau möglich ist weiss ich nicht, eine innere Firewall ist mir da durchaus recht. Doppeltes NAT ist nicht schlimmer als einfaches. Ich habe intern einen Mikrotik Router sitzen (auch aus anderen Gründen) und verbinde mich i.d.R. über diesen mit dem Kabel-Internet. Dieser Router verträgt sich auch bei IPv6/DSlite gut mit der Fritzbox.
:
Bearbeitet durch User
das ist ein "normales" setup heutzutage, da die meisten dsl router keinen modembetrieb mehr unterstützen. außerdem ist ein abgestuftes fireewallsetup empfohlen ;) das mit dem doppelten nat ist zwar nicht ganz so schön aber praktisch hast du dadurch keinerlei nachteile. für ipfire (oder lieber gleich opnsense?) reicht 1ne netzwerkkarte die vlan tags unterstützt und ein entsprechender switch
A. K. schrieb: > Auf einen vom Provider gestellten Kabel-Fritz hat der Provider Zugriff. > Was damit genau möglich ist weiss ich nicht, eine innere Firewall ist > mir da durchaus recht. Im Sinne von "Gürtel und Hosenträger"? Naja, wer es mag ... Sofern man Root-Zugang zur Fritzbox hat (und bislang habe ich das nicht anders angetroffen) kann man den Provider aussperren. Und zumindest ich bin auch paranoid genug, das zu tun. TestX schrieb: > das ist ein "normales" setup heutzutage, da die meisten dsl router > keinen modembetrieb mehr unterstützen. außerdem ist ein abgestuftes > fireewallsetup empfohlen ;) Wenn man eine DMZ braucht (hinter DSL?), dann nutzt man eher eine klassische 3-Port Firewall für intern/DMZ/extern. Zwei getrennte Firewalls sind zumindest mal doppelter Aufwand für Konfiguration und Pflege.
Grundregel Nr 1. : Ein NAT ist keine Firewall. Aus dieser Regel kann man daher ableiten, dass du für die Firewall kein NAT benötigst. Was du bspw. machen könntest wäre eine HW mit zwei Ethernetports zwischen der Fritzbox und dem Rest zu verwenden. Auf dieser kannst du dann FW Filterregeln laufen lassen und Pakete die an dieser HW vorbei wollen, müssen dann durch diese FW Filteregeln durch. Also so: Fritzbox > <eth1 HW eth2> < Rest des LAN Die beiden NIC Devicenamen kannst du dann in der FW Regel zum trennen verwenden, mit der internen IP der Fritzbox geht das allerdings auch.
Danke schon einmal für eure Antworten. Ich habe gelesen, dass die Fritz.Box nur Pakete aus ihrem eigenen Netz ins Internet weiterleitet, wenn das stimmt müsste zwangsläufig genattet werden. Ich möchte das Netz eigentlich gerne wie folgt aufbauen: DMZ Internes Netz Internet Hierfür würde ich gerne das interne Netz der Fritz.Box als DMZ nutzen. Zur "DMZ" zeigt dann IP Fire in die eine und ins interne Netz in die andere Richtung. Wird somit die Fritz.Box Firewall umgegangen muss erstmal noch die Firewall von IPFire geknackt werden. Ich habe gelesen, dass sich bei IPFire das genatte nicht ausschalten lässt, ist das richtig? Nach kurzem Googlen finde ich opnsense vom ersten Eindruck her schon schöner, kann man dort das natten deaktivieren?
feuerwand schrieb: > Ich habe gelesen, dass die Fritz.Box nur Pakete aus ihrem eigenen Netz > ins Internet weiterleitet, wenn das stimmt müsste zwangsläufig genattet > werden. Moderne FritzBoxen kennen "statische Route", mit denen man weitere Netze (RFC1918) ins Internet routen kann. Damit fallen die internen NATs weg, allerdings nicht die jeweilige Firewall.
Jim M. schrieb: > Moderne FritzBoxen kennen "statische Route", mit denen man weitere Netze > (RFC1918) ins Internet routen kann. "Moderne"? Das ist wohl doch eine sehr weite Auslegung des Begriffs "modern". Ich kann nicht mehr sagen, seit wie vielen Jahren Fritzboxen schon statische Routen beherrschen, aber es sind verdammt viele Jahre. Mindestens 10, wenn nicht sogar 15.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.