ComputerBase Menü
Aktuelles

Ist das noch eine DMZ

Tempo

Tempo

Ensign
Registriert
Feb. 2003
Beiträge
151
Kann man bei folgender Netzwerk-Topologie von einer DMZ sprechen? Da der Traffic durch das sichere Netz durchtransportiert wird und am Ende erst die DMZ auftaucht. Wäre so etwas sicher?
dmz2.jpg
 
Die Trennung wuerde ich beim Router machen.
Oder Router als Bridge und den IPFire als Firewall fuer Hausnetz und DMZ.

1745787981361.png


Deine DMZ kann auf alles was Du im Hausnetz hast. Das soll nicht sein.
 
  • Gefällt mir
Reaktionen: CyborgBeta, qiller und AB´solut SiD
Weil das da ganz oben eigentlich eine schlichte Routerkaskade ist. @gaym0r
Wenn der IPFire nicht komplett das hinter ihm befindliche nach aussen abbleckt, kommt ein Host sehr wohl auf die Geraete die an der WAN Seite des IPFrire zu finden sind. IPFire routet halt.
 
Hä? Der DMZ-Server steckt in einem anderen Subnetz/VLAN hinter der IPFire, welche zwischen den Netzen routet und firewalling macht.
@BFF
 
Eine DMZ wird i.d.R. nicht durch ein Netz mit höherer Sicherheit geleitet (kein Transit). Mit der Firewall kannst Du aber Zugriffe auf das interne Netz unterbinden.

Als gängige DMZ würde ich es nicht bezeichnen, aber welche spielt es, ob es eine DMZ ist oder nicht?
 
  • Gefällt mir
Reaktionen: CyborgBeta, Redundanz und qiller
BFF schrieb:
IPFire routet halt.
Zum Vergrößern anklicken....
Würde sie nur routen: ja.
Aber sie kann auch per Policy den Zugriff auf alles abseits des Gateways im LAN (.2.1) filtern.

Kein schönes Design, aber ggfs. für den Heimgebrauch ok.
 
  • Gefällt mir
Reaktionen: qiller und gaym0r
gaym0r schrieb:
Hä?
Zum Vergrößern anklicken....

Und nun?
Ja der steckt hinter einem IPFire. Von VLAN lese ich ganz oben nix.

gaym0r schrieb:
Der DMZ-Server steckt in einem anderen Subnetz/VLAN hinter der IPFire, welche zwischen den Netzen routet
Zum Vergrößern anklicken....

Der Server kann, wenn nicht unterbunden wird das der ueber den IPFire nach aussen kommt, auf Geraete des Netzes wo der IPFire pe rWAN-Port (also dem Roten) angesteckt ist. Es ist und bleibt im Moment eine stupide Routerkaskade.

Joe Dalton schrieb:
Kein schönes Design, aber ggfs. für den Heimgebrauch ok.
Zum Vergrößern anklicken....

Deswegen IPFire direkt an den 1. Router und den Switch an den Gruenen Port des IPFire, an Orange oder Blau das Geraet was in der DMZ sein soll.

https://www.ipfire.org/docs/configuration/firewall/rules/dmz-setup
 
  • Gefällt mir
Reaktionen: CyborgBeta und qiller
Könnte man so machen. Aber ich vermute, dass der TE dazu keine passende Hardware (z.B. VLAN-fähige Switches) hat.
 
Joe Dalton schrieb:
TE dazu keine passende Hardware (z.B. VLAN-fähige Switches)
Zum Vergrößern anklicken....

Da ganz oben im Startpost ist ein IPFire genannt/gezeigt.
Auf IPFire kommt man eigentlich nur wenn man sich etwas mit Firewalls beschaefftigt und den OS welche darauf rennen. Anyway. Fuer das Projekt da ganz oben reicht eine kleine HW mit 3 Netzwerkschnittstellen. VLAN faehiger Switch muss nicht sein.
 
  • Gefällt mir
Reaktionen: qiller
BFF schrieb:
Der Server kann, wenn nicht unterbunden wird das der ueber den IPFire nach aussen kommt, auf Geraete des Netzes wo der IPFire pe rWAN-Port (also dem Roten) angesteckt ist. Es ist und bleibt im Moment eine stupide Routerkaskade.
Zum Vergrößern anklicken....
Wie kommst du zum Schluss, dass es nicht unterbunden wird? Wenn jemand schon auf die Idee kommt eine Firewall in seinem Netz zu installieren, dann wird er auch das Firewalling nutzen...? Es sind also erstmal nur Unterstellungen von dir.

Ansonsten könnte ich auch behaupten, dass dein DMZ-Konzept aus #3 wirkungslos ist, es sei denn man blockiert in der gezeigten Firewall entsprechende Kommunikation. :confused_alt:
 
Das komplette "LAN"-Netz befindet sich im Netz der roten Schnittstelle des IPFires. So eine Konstruktion macht nicht sehr viel Sinn. Defaultmäßig können Hosts in der DMZ ins rote Netz und damit alle Clients dort erreichen. Ein kompromitierter Server könnte so auf alle Clients zugreifen.

Achso, und falls der TE auf die Idee kommen würde, die grüne Schnittstelle anstatt der roten verwenden zu wollen: Dann kommt der Server in der DMZ nicht mehr ins Internet, weil von der DMZ ins grüne Netz blockiert wird. Man kann das zwar per Custom Firewallregel aufheben, aber dann macht die ganze Firewall/DMZ-Geschichte gar keinen Sinn mehr.

Richtig macht man es, wie @BFF in #3 gezeigt hat.

Edit: Um die Frage des TEs zu beantworten: Da sich die normalen "LAN"-Hosts alle in einem Netz befinden, die von der "DMZ" aus erreichbar sind, würde ich hier nicht von einer DMZ sprechen. Denn das ist ja gerade der Sinn der DMZ, Hosts dort fürs Internet erreichbar zu machen, aber gleichzeitig vom internen Netz abzuschirmen.
 
Zuletzt bearbeitet:
Mal eine Verständnis Frage:
Wenn ich im Router einen Port als DMZ konfigurieren kann, dann sollte doch kein routing zwischen diesem port und anderen erfolgen, oder?

Natürlich sagt TE hier nicht, wie der Router konfiguriert ist.
 
Firewalls sind heutzutage immer auch Router. Daher wird natürlich auch eine DMZ geroutet. Das, was die DMZ abschirmt, sind Firewallregeln (bei IPFire sind diese hardkodiert schon vorgegeben).
 
qiller schrieb:
Achso, und falls der TE auf die Idee kommen würde, die grüne Schnittstelle anstatt der roten verwenden zu wollen: Dann kommt der Server in der DMZ nicht mehr ins Internet, weil von der DMZ ins grüne Netz blockiert wird. Man kann das zwar per Custom Firewallregel aufheben, aber dann macht die ganze Firewall/DMZ-Geschichte gar keinen Sinn mehr.
Zum Vergrößern anklicken....
Genau das ist der Sinn der DMZ. Es sollen eben nur die Verbindungen möglich sein, die benötigt werden.

Generell sind hier einfach viel zu viele Mutmaßungen. Wir wissen nicht wie die IPfire konfiguriert ist, wir wissen nicht ob VLANs im Spiel sind, wir wissen eigentlich gar nichts. Fakt ist nunmal, dass man so ein physikalisch Konstrukt wie oben im Bild, prinzipiell sicher konfiguriert werden kann.
 
  • Gefällt mir
Reaktionen: CyborgBeta und Piktogramm
Bisher habe ich die DMZ so konfiguriet wie Beitrag Nr. 3 von BFF es zeigt. Sagen wir, dass in der Abbildung das Kabel-Modem noch WLAN-Funktionalität hat und dort mobile Geräte mit dem Internet verbunden sind. Also müssten doch die mobil vernetzten Geräte leicht angreifbar sein, wenn der Computer in der DMZ kompromittiert wurde oder?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Tempo
DMZ mittels MACVLAN realisierbar?
Antworten
6
Aufrufe
862
norKoeri
N
T
Andere Alternative zu CoD MW2 DMZ
Antworten
5
Aufrufe
836
Wischbob
Wischbob
David_mwd
Immer gleiche FPS in dmz?
2 3
Antworten
58
Aufrufe
2.614
Mircosfot
Mircosfot
B
DMZ/Router Hardware
Antworten
10
Aufrufe
1.493
boiler
B
Krautmaster
UDP Streaming LAN -> DMZ
Antworten
7
Aufrufe
1.156
Krautmaster
Krautmaster
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 158 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz