- Mitglied seit
- 29 Jul 2005
- Beiträge
- 263
- Punkte für Reaktionen
- 0
- Punkte
- 16
Hallo allerseits,
es wurde hier ja schon viel über DMZ gesprochen. Aber eigentlich ging es dabei immer um einen "exposed host", der einfach im lokalen Netz steht und einige oder alle Ports von außen durchgeleitet bekommt. - Das möchte nicht.
Da die Fritzbox Fon WLAN 7050 (und vielleicht auch andere) ja neben dem DSL-Interface ja noch 2 separate interne Interfaces hat, liegt es nahe, damit einen richtigen Firewall zu bauen und die Interfaces folgendermaßen zu benutzen:
- eins für DSL nach extern
- eins für das lokale, total abgeschirmte Netz
- und eins für das Perimeternetz (die DMZ)
Wenn ich in den Netzwerkeinstellung "Alle Computer befinden sich im selben IP-Netzwerk" deaktiviere, habe ich ja schon separate Netze. Allerdings wird noch zwischen den beiden internen Netzen alles einfach durchgeroutet. Drei Dinge wären nun wichtig:
- Vom Perimeternetz dürfen nur Verbindungen nach extern aufgebaut werden. Kein Verbindung, kein ping etc. ins lokale Netz.
- Vom lokalen Netz aus darf man alles: Nach draußen und ins Perimeternetz.
- Die Port-Weiterleitungen von außen dürfen nur ins Perimeternetz kommen: Das sollte sich sogar über die Weboberfläche machen lassen, wenn man halt als Ziel nur IP-Nummern von Rechnern im Perimeternetz angibt.
Ich gehe davon aus, dass ich das über die ar7.cfg leicht hinbekommen kann, wenn ich nur wüsste, wie...
Vielen Dank schonmal,
Dirk
es wurde hier ja schon viel über DMZ gesprochen. Aber eigentlich ging es dabei immer um einen "exposed host", der einfach im lokalen Netz steht und einige oder alle Ports von außen durchgeleitet bekommt. - Das möchte nicht.
Da die Fritzbox Fon WLAN 7050 (und vielleicht auch andere) ja neben dem DSL-Interface ja noch 2 separate interne Interfaces hat, liegt es nahe, damit einen richtigen Firewall zu bauen und die Interfaces folgendermaßen zu benutzen:
- eins für DSL nach extern
- eins für das lokale, total abgeschirmte Netz
- und eins für das Perimeternetz (die DMZ)
Wenn ich in den Netzwerkeinstellung "Alle Computer befinden sich im selben IP-Netzwerk" deaktiviere, habe ich ja schon separate Netze. Allerdings wird noch zwischen den beiden internen Netzen alles einfach durchgeroutet. Drei Dinge wären nun wichtig:
- Vom Perimeternetz dürfen nur Verbindungen nach extern aufgebaut werden. Kein Verbindung, kein ping etc. ins lokale Netz.
- Vom lokalen Netz aus darf man alles: Nach draußen und ins Perimeternetz.
- Die Port-Weiterleitungen von außen dürfen nur ins Perimeternetz kommen: Das sollte sich sogar über die Weboberfläche machen lassen, wenn man halt als Ziel nur IP-Nummern von Rechnern im Perimeternetz angibt.
Ich gehe davon aus, dass ich das über die ar7.cfg leicht hinbekommen kann, wenn ich nur wüsste, wie...
Vielen Dank schonmal,
Dirk
