info
Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Frage(n)
2 views
Skip to first unread message
Kay Martinen
Apr 11, 2020, 4:49:12 PM4/11/20
to
Hallo
Angenommen es gibt drei Router und drei /24'er Netzsegmente dahinter.
Nennen wir sie Router 1-3 und Netz 1-3 mit den Beispielwerten (Jeweils
Netzinterne IP)
Router1 192.168.1.1
Router2 192.168.2.1
Router3 192.168.3.1
Wobei Router 1 als einziger mit Dualstack zum WAN führt, hinter Router2
das Interne LAN liegt und Router 3 eine DMZ vom Netz1 abtrennt was dann
so aussähe
WAN
|
Router1
|
|----- Router3 --- DMZ/Netz3
|
| Netz1
|
Router2
|
LAN
Netz2
Ziel dabei wäre auf dem Router2; der ggf. noch mehrere interne (V)LANs
führen könnte den Traffic nur von innen nach "außen"(Netz1+Netz3) zu
führen und nicht etwa noch spezielle FW Regeln für den Zugang vom WAN
zur DMZ - falls die DMZ von diesem mit ausginge. Diese letzteren sollten
nur im Router3 nötig sein, der einerseits zugang vom WAN zu DMZ - nicht
aber in Netz1 oder 2 erlaubt und zugang von Router2/Netz2 zur DMZ/Netz3
erlaubt.
Allerdings möchte ich außerdem verhindern das aus dem Netz3 auf das
Netz1 zugegriffen werden kann. Dabei soll eigentlich nur Router1 IPv4
Adressen zum WAN hin maskieren, intern habe ich vor ohne NAT/Masq. aus
zu kommen (also weder auf Router2 noch Router3) weil ich denke das ich
dann Quelle und Ziel von Datenpfaden leichter identifizieren kann.
Die fragen:
Geht das so überhaupt? Mit einer Deny-all Policy und Allow-regeln?
Wenn IPV4 Zugriffe von außen erfolgen sollen, kann ein üblicher
Providerrouter das überhaupt auf netz3 umsetzen obwohl die Pakete erst
durch Netz1 durch müssen? Router1 braucht dazu doch vermutlich eine
netzroute die auf Router3 verweist oder geht das auch anders?
Übersehe ich noch Stolpersteine, geht es auch anders/besser?
Wie gesagt: Ziel ist es Traffic in/von DMZ auf dem zugehörigen Router zu
bündeln und eben NICHT den Router2 mit einer DMZ und zugehörigen Regeln
zu verkomplizieren. Die dann ja Traffic von seinem Externen Interface
hinein lassen müssten (zur DMZ) und zugleich Traffic von innen nach draußen.
Ich hoffe ich hab es verständlich beschrieben. Idee ist auch die
Komplexität ggf. in die HW oder 1-x Virtuelle Maschinen zu verlagern um
das Software-Setup einfacher halten zu können.
Kay
--
Posted via SN
Angenommen es gibt drei Router und drei /24'er Netzsegmente dahinter.
Nennen wir sie Router 1-3 und Netz 1-3 mit den Beispielwerten (Jeweils
Netzinterne IP)
Router1 192.168.1.1
Router2 192.168.2.1
Router3 192.168.3.1
Wobei Router 1 als einziger mit Dualstack zum WAN führt, hinter Router2
das Interne LAN liegt und Router 3 eine DMZ vom Netz1 abtrennt was dann
so aussähe
WAN
|
Router1
|
|----- Router3 --- DMZ/Netz3
|
| Netz1
|
Router2
|
LAN
Netz2
Ziel dabei wäre auf dem Router2; der ggf. noch mehrere interne (V)LANs
führen könnte den Traffic nur von innen nach "außen"(Netz1+Netz3) zu
führen und nicht etwa noch spezielle FW Regeln für den Zugang vom WAN
zur DMZ - falls die DMZ von diesem mit ausginge. Diese letzteren sollten
nur im Router3 nötig sein, der einerseits zugang vom WAN zu DMZ - nicht
aber in Netz1 oder 2 erlaubt und zugang von Router2/Netz2 zur DMZ/Netz3
erlaubt.
Allerdings möchte ich außerdem verhindern das aus dem Netz3 auf das
Netz1 zugegriffen werden kann. Dabei soll eigentlich nur Router1 IPv4
Adressen zum WAN hin maskieren, intern habe ich vor ohne NAT/Masq. aus
zu kommen (also weder auf Router2 noch Router3) weil ich denke das ich
dann Quelle und Ziel von Datenpfaden leichter identifizieren kann.
Die fragen:
Geht das so überhaupt? Mit einer Deny-all Policy und Allow-regeln?
Wenn IPV4 Zugriffe von außen erfolgen sollen, kann ein üblicher
Providerrouter das überhaupt auf netz3 umsetzen obwohl die Pakete erst
durch Netz1 durch müssen? Router1 braucht dazu doch vermutlich eine
netzroute die auf Router3 verweist oder geht das auch anders?
Übersehe ich noch Stolpersteine, geht es auch anders/besser?
Wie gesagt: Ziel ist es Traffic in/von DMZ auf dem zugehörigen Router zu
bündeln und eben NICHT den Router2 mit einer DMZ und zugehörigen Regeln
zu verkomplizieren. Die dann ja Traffic von seinem Externen Interface
hinein lassen müssten (zur DMZ) und zugleich Traffic von innen nach draußen.
Ich hoffe ich hab es verständlich beschrieben. Idee ist auch die
Komplexität ggf. in die HW oder 1-x Virtuelle Maschinen zu verlagern um
das Software-Setup einfacher halten zu können.
Kay
--
Posted via SN
Marc Haber
Apr 12, 2020, 3:04:58 AM4/12/20
to
Kay Martinen <k...@martinen.de> wrote:
>Angenommen es gibt drei Router und drei /24'er Netzsegmente dahinter.
>Nennen wir sie Router 1-3 und Netz 1-3 mit den Beispielwerten (Jeweils
>Netzinterne IP)
>
>Router1 192.168.1.1
>Router2 192.168.2.1
>Router3 192.168.3.1
>
>Wobei Router 1 als einziger mit Dualstack zum WAN führt, hinter Router2
>das Interne LAN liegt und Router 3 eine DMZ vom Netz1 abtrennt was dann
>so aussähe
>
> WAN
> |
>Router1
> |
> |----- Router3 --- DMZ/Netz3
> |
> | Netz1
> |
>Router2
> |
> LAN
>Netz2
Damit ist eigentlich Netz1 eine Art DMZ.
>Angenommen es gibt drei Router und drei /24'er Netzsegmente dahinter.
>Nennen wir sie Router 1-3 und Netz 1-3 mit den Beispielwerten (Jeweils
>Netzinterne IP)
>
>Router1 192.168.1.1
>Router2 192.168.2.1
>Router3 192.168.3.1
>
>Wobei Router 1 als einziger mit Dualstack zum WAN führt, hinter Router2
>das Interne LAN liegt und Router 3 eine DMZ vom Netz1 abtrennt was dann
>so aussähe
>
> WAN
> |
>Router1
> |
> |----- Router3 --- DMZ/Netz3
> |
> | Netz1
> |
>Router2
> |
> LAN
>Netz2
>Ziel dabei wäre auf dem Router2; der ggf. noch mehrere interne (V)LANs
>führen könnte den Traffic nur von innen nach "außen"(Netz1+Netz3) zu
>führen und nicht etwa noch spezielle FW Regeln für den Zugang vom WAN
>zur DMZ - falls die DMZ von diesem mit ausginge. Diese letzteren sollten
>nur im Router3 nötig sein, der einerseits zugang vom WAN zu DMZ - nicht
>aber in Netz1 oder 2 erlaubt und zugang von Router2/Netz2 zur DMZ/Netz3
>erlaubt.
>
>Allerdings möchte ich außerdem verhindern das aus dem Netz3 auf das
>Netz1 zugegriffen werden kann.
Netz 3 nach Netz 2 oder das Internet wird von dieser Regel nicht
erfasst, die Zieladresse dieses Traffic liegt ja im Internet oder in
192.168.2.0/24.
>Dabei soll eigentlich nur Router1 IPv4
>Adressen zum WAN hin maskieren, intern habe ich vor ohne NAT/Masq. aus
>zu kommen (also weder auf Router2 noch Router3) weil ich denke das ich
>dann Quelle und Ziel von Datenpfaden leichter identifizieren kann.
>Geht das so überhaupt? Mit einer Deny-all Policy und Allow-regeln?
>Wenn IPV4 Zugriffe von außen erfolgen sollen, kann ein üblicher
>Providerrouter das überhaupt auf netz3 umsetzen obwohl die Pakete erst
>durch Netz1 durch müssen? Router1 braucht dazu doch vermutlich eine
>netzroute die auf Router3 verweist oder geht das auch anders?
Router für Netz2, die auf Router2 zeigt. Sonst schickt er Traffic für
diese NEtze ins Internet.
>Wie gesagt: Ziel ist es Traffic in/von DMZ auf dem zugehörigen Router zu
>bündeln und eben NICHT den Router2 mit einer DMZ und zugehörigen Regeln
>zu verkomplizieren. Die dann ja Traffic von seinem Externen Interface
>hinein lassen müssten (zur DMZ) und zugleich Traffic von innen nach draußen.
>
>Ich hoffe ich hab es verständlich beschrieben. Idee ist auch die
>Komplexität ggf. in die HW oder 1-x Virtuelle Maschinen zu verlagern um
>das Software-Setup einfacher halten zu können.
Unterm Strich ist ein Regelwerk mit vier Ausgängen einfacher als vier
Regelwerke mit je zwei Ausgängen.
Grüße
Marc
--
-------------------------------------- !! No courtesy copies, please !! -----
Marc Haber | " Questions are the | Mailadresse im Header
Mannheim, Germany | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 621 72739834
0 new messages