DMZ mittels MACVLAN realisierbar?

[Tempo]

Mein Heimnetzwerk sieht zur Zeit folgendermaßen aus:

Da mein DMZ-Server die Biege gemacht hat, ist nun meine Frage an die Netzwerk-Spezialisten hier im Forum. Kann ich eine DMZ mittels Docker und MACVLAN irgendwie umsetzen. Würde ungern meinen HomeServer (jetzt der Raspberry Pi auf dem kein IPFire mehr läuft) direkt an den Router anschließen (Sprich Netz. xxx.xxx.2.1). Auf dem Raspberry Pi soll ein apache2 Webserver in Docker laufen.

 

[Simanova]

Ein VLAN fähiger Switch wäre eine Lösung.
Die VLAN IDs einfach alle im IPFire definieren und untagged auf den Switch schicken.
Der Switch verteilt die Netzwerke dann tagged an deine Endgeräte.
Dem Switch dann unbedingt eine feste IP Adresse vergeben, und ein LAN Port zum managen.

Ich mache mir aber Sorgen um dein DNS. Woher soll PC1 wissen, dass es PC2 gibt. Und das ganze auch noch auf VLANs begrenzt. Da bräuchtest du für jedes VLAN einen DNS Server. Außer du nimmst einen öffentlichen DNS und ignorierst die lokale DNS Geschichte komplett.

Was deinen Docker betrifft, kannst du den ja an das entsprechende VLAN im IPFire dran hängen.

Nebengedanken:

• Ich gehe mal davon aus, dass dein "Router" (in rot) nur als DSL Modem dient ...
• Und dein Raspi als Exposed Host dahinter hängt
• Dein Raspi hat natürlich nur 1 LAN Schnittstelle, was alles verkompliziert

 

[Malaclypse17]

Die VLAN IDs einfach alle im IPFire definieren und untagged auf den Switch schicken.

Die Firewall gibt es laut Eingangspost aber nicht mehr.
Ohne einen VLAN fähigen Router/Switch sehe ich da schwarz.

 

[Raijin]

Irgendwie ergibt das für mich keinen Sinn.

Der DMZ-Server macht "die Biege" und warum auch immer hat @Tempo den Server dann auf den PI umgezogen, der zuvor mit IPFire als DMZ-Firewall fungiert hat. Den Umzug auf den PI kann ich nicht nachvollziehen. Wenn der Server im Eimer ist, dann repariert/ersetzt man ihn eben und alles andere läuft weiter so wie bisher. Irgendwie klingt das zu sehr nach einem XY-Problem.

Was genau läuft denn auf diesem Server und wieso meinst du, dass du dazu eine DMZ benötigst?


Wie dem auch sei.. Ja, man kann natürlich mit Docker auch netzwerken, das tut Docker bereits out-of-the-box. Standardmäßig befinden sich Docker-Container in einem eigenen Subnetz (172.17.0.0/16). Wenn es nur um die Container geht, braucht man erstmal kein VLAN, sondern kann einfach im Host die Firewall-Regeln in das Docker-Subnetz entsprechend anpassen. Natürlich muss man dazu wissen was zu tun ist und wie, aber das ist eine Grundvoraussetzung, wenn man sich mit Netzwerksicherheit beschäftigt. Copy&Paste ist eine schlechte Idee.


VLAN kämen eigentlich erst ins Spiel, wenn man die physische Infrastruktur - also Kabel und Switches - quasi doppelt verwenden möchte. Den Anwendungsfall kann ich hier aber nicht wirklich erkennen. Abgesehen davon würde ich als DMZ-Router ehrlich gesagt eh keinen Raspberry PI einsetzen, sondern einen EdgeRouter-X oder einen MikroTik hEX. Ein PI ist für sowas nur bedingt geeignet, da ein Router idealerweise für jedes Netzwerk eine eigene physische Schnittstelle zur Verfügung stellt.


Noch eine kleine Anmerkung: Wenn du die Subnetze 192.168.0.0/24 + 192.168.1.0/24 + 192.168.2.0/24 verwendest, sind Routingkonflikte nahezu garantiert, wenn du jemals über Fernzugriff per VPN nachdenken solltest.

 

[Tempo]

Will den Server auf den Pi umziehen, da ich nur eine kleine statische Homepage hosten will, kein Nextcloud mehr. Eine DMZ sollte man doch haben, dass wenn der Webserver kompromittiert werden sollte, das Heimnetzwerk mit seinen Geräten ncht angegriffen werden kann.

 

[Raijin]

Das ist schon richtig, aber wenn du solche Bedenken hast und dir das nötige KnowHow fehlt, warum suchst du dir nicht einen günstigen Webhoster? Ab 0,99 €/Monat und du sparst dir den Aufwand, den Server selbst abzusichern und kannst ggfs den PI in Rente schicken, der ja auch Strom kostet - wenig zwar, aber nicht weit von den ~12 €/Jahr, die der Webhoster kosten würde.

Eine richtige DMZ würde man auch (wieder) mit einem DMZ-Router bauen. Oben habe ich schon zwei Geräte genannt, mit denen man das tun könnte (beide ~50€). Man kann auch auf dem PI entsprechende Firewall-Regeln definieren, die das Verhalten einer DMZ imitieren, aber das ist nix halbes und nix ganzes. Wird das System gekapert, kann der Zugriff auch die Schutzmechanismen aushebeln.

Wie immer gilt: Die Sicherheit kommt durch die fachgerechte Konfiguration und nicht durch die bloße Existenz eines Routers bzw. einer HW-Firewall.

 

[norKoeri]

Eine DMZ sollte man doch haben, dass wenn der Webserver kompromittiert werden sollte, das Heimnetzwerk mit seinen Geräten nicht angegriffen werden kann.

Welchen Internet-Anbieter hast Du? Manche erlauben auch die Mehrfach-Einwahl. Dann könnte sich der Web-Server direkt einwählen, hätte also seinen eigenen Internet-Zugang.