• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

DMZ mit OpenSuSE

B

=BaSe=

Scenario:

eth0(MZ):200.200.200.100
eth1(LAN):192.168.1.1
eth2(DMZ): ?

Webserver DMZ: 200.200.200.200

Wie man sieht möchte ich einen Webserver in die DMZ stellen, dieser hat eine öffentliche IP Adresse. Meine Frage dabei ist, welche IP verpass ich eth2, bekommt dann eth2 auch eine öffentliche IP?

FW_DEV_EXT=eth0
FW_DEV_INT=eth1
FW_DEV_DMZ=eth2
FW_ROUTE=yes
fw_masq.=yes
fw_masq_net=192.168.1.0/24
fw_services_ext_tcp=25 53
fw_services_ext_udp=53
fw_services_dmz_tcp=53
fw_services_dmz_udp=53
fw_services_int_tcp=25 80 123
fw_services_int_udp=53
fw_forward=0/0,200.200.200.200,tcp,80 \
0/0,200.200.200.200.200,tcp,443"
FW_ALLOW_PING_DMZ=yes
 
S

spoensche

=BaSe= schrieb:
eth0(MZ):200.200.200.100
eth1(LAN):192.168.1.1
eth2(DMZ): ?
Zum Vergrößern anklicken....

Laut dieser Aussage ist eth0 dein DMZ und nicht eth2. So müsste bei dir eth2 die Schnittstelle für das Internet sein. Du willst doch den Rechner als Router für das LAN, DMZ und Internet verwenden oder?
 
OP
B

=BaSe=

Ich habs jetzt aber anderst gelöst, ich hab dem Serverin der DMZ eine private IP gegeben und mach ein forward_masq.

Was ich mich jetzt allerdings Frage ist folgendes. Wenn ich auf dem Webserver ein SSL Zertifikat einrichten möchte muß ich doch
das Zertifikat auf die IP Adresse des externen Adapter(MZ) ausstellen oder?
 
S

spoensche

=BaSe= schrieb:
Ich habs jetzt aber anderst gelöst, ich hab dem Serverin der DMZ eine private IP gegeben und mach ein forward_masq.
Zum Vergrößern anklicken....

Das ist aber nicht gerade die eleganteste Lösung. Die Schnittstelle eth2 muss im selben Subnetz liegen wie die DMZ. Sonst funktioniert das weiterleiten vom Internet und vom lokalen Netz in die DMZ nicht.
 
OP
B

=BaSe=

Eth2 liegt ja im selben Subnet und hat auch die entsprechende IP sonst würde das ja gar nicht funktionieren.
Der Vorteil für private IP´s in der DMZ liegt wohl auch das ein Angreifer es schwerer hat Angriffe zustarten.

Der andere Vorteil scheint noch zu sein wenn man aus dem internen LAN auf den Webserver in der DMZ zugreifen möchte.
 
S

spoensche

=BaSe= schrieb:
Eth2 liegt ja im selben Subnet und hat auch die entsprechende IP sonst würde das ja gar nicht funktionieren.
Der Vorteil für private IP´s in der DMZ liegt wohl auch das ein Angreifer es schwerer hat Angriffe zustarten.

Der andere Vorteil scheint noch zu sein wenn man aus dem internen LAN auf den Webserver in der DMZ zugreifen möchte.
Zum Vergrößern anklicken....

Der Angreifer muss ein wenig mehr Aufwand betreiben um an die IP zu kommen, deswegen wird es aber nicht unbedingt schwerer Angriffe durch zu führen.
 
framp

framp

Moderator
Teammitglied
spoensche schrieb:
=BaSe= schrieb:
... Die Schnittstelle eth2 muss im selben Subnetz liegen wie die DMZ. Sonst funktioniert das weiterleiten vom Internet und vom lokalen Netz in die DMZ nicht.
Zum Vergrößern anklicken....
Zum Vergrößern anklicken....
Das ist der Sinn der DMZ dass ein möglicher Eindringling in die DMZ keinerlei netzwerktechnische Möglichkeit hat in das interne Netz zu gelangen und deshalb nimmt man für die DMZ immer ein anderes Subnetz als für das interne Netz und blockt jeglichen netzwerktechnischen Verkehr per iptables zwischen DMZ eth2 und internem Netz eth1.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben