PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Firewall Zonen



spacewan
19.03.07, 10:52
Hallo Leute,
ich habe mal eine etwas banale Frage, da ich mir einfach was unsicher bin.

Kann die externe und interne Zone in einem Klasse C Netz liegen?

Will heißen:
Die Karte der Internen Zone hat z.B. die 192.168.0.1 und die Karte der externen Zone
die 192.168.0.100.
Ich frage es deshalb, weil ich eine Firewall in einem Netz in Betrieb nehmen will das "dirket im Internet sitzt". Alle Rechner haben feste IPs und DNS Einträge die auch gebraucht werden.
Die Idee ist halt die Firewall als Gateway für die Rechner einfach dazwischen zu "stöpseln".

Der Aufwand das Netz umzubauen wäre gigantisch, darum wäre so eine Lösung super.
Da ich bis jetzt immer nur mit 3+ Zonen gearbeitet habe, weis ich garnicht ob das überhaupt geht.

Grüße Marc

bla!zilla
19.03.07, 11:03
Nein, trusted und untrusted müssen unterschiedliche Netze sein. Alternativ kannst du über ebtables und eine Bridge filtern. Ich würde aber davon abraten.

spacewan
19.03.07, 11:16
Ok, danke für die Info.
Na das kann dann ja nen heiden Spaß werden das alles umzubauen.
Und eine Lösung für DNS muss dann irgentwie auch noch her...ai ai ai..

michih
21.03.07, 07:10
Alternativ kannst du über ebtables und eine Bridge filtern. Ich würde aber davon abraten.


Aus welchem Grund rätst du von einer Bridging-Lösung ab? Das wäre ja eigentlich genau das, was er sucht, wenn er eine Firewall einfach zum "dazwischen stöpseln" sucht...

Mfg Michi

bla!zilla
21.03.07, 12:03
Aus welchem Grund rätst du von einer Bridging-Lösung ab? Das wäre ja eigentlich genau das, was er sucht, wenn er eine Firewall einfach zum "dazwischen stöpseln" sucht...

Zu aufwendig und schwer zu handhaben. Lieber eine saubere Netztrennung über unterschiedliche Netze und eine Firewall. In diesem Fall auch lieber eine "richtige" Firewall, statt nur einen Paketfilter.

drunkenPenguin
21.03.07, 15:31
Ok, danke für die Info.
Na das kann dann ja nen heiden Spaß werden das alles umzubauen.
Und eine Lösung für DNS muss dann irgentwie auch noch her...ai ai ai..

Hinsichtlich DNS koenntest Du mit Views arbeiten. Hab ich aber noch nicht wirklich getestet. Richtig sicher ist das wohl auch nicht unbedingt.