Aktuelles
router-security.de Forum

Du hast fragen zum Thema Router, Netzwerktechnik, Firewall und Netzwerksicherheit? Registrieren dich noch heute kostenlos hier im Forum, um Mitglied zu werden! Sobald du angemeldet bist, kannst du dich an dieser Seite beteiligen, indem Du eigenen Themen und Beiträge verfasst und du kannst mit anderen Mitgliedern über Ihren privaten Posteingang in Verbindung treten!

Bintec DMZ mit öffentlichem IP-Subnetz

Bintec
CapFloor

CapFloor

Moderator
Teammitglied
Hi,

wenn man von seinem Provider ein öffentliches IP-Subnetz zur Verfügung gestellt bekommt, wird man es aller Wahrscheinlichkeit nach für eine DMZ verwenden wollen. Zur Erinnerung: In einer DMZ werden alle Netzwerkkomponenten gesammelt, die aus dem Internet erreichbar sein sollen. Geräte aus der DMZ haben keinen Zugang zum LAN-Segment. Geräte im LAN können aber auf die DMZ zugreifen.

Um eine derartige DMZ mit öffentlichen IP-Adressen einzurichten, gibt es verschiedene Möglichkeiten. Zwei davon sind üblich:

  • Das von Provider zur Verfügung gestellte Subnetz, z.B. 96.146.72.248/29, wird in zwei weitere Subnetze segmentiert.
    • Auf dem Interface zum Provider-Router wird das Subnetz 96.146.72.248/30 konfiguriert. Dieses Subnetz umfasst 4 Adressen: Netzwerk: 96.146.72.248, Host-Adressen: 96.146.72.249 (Provider-Router), 96.146.72.250 (Zugangsrouter), Broadcast-Adresse: 96.146.72.251
    • Auf dem Interface zur DMZ wird das Subnetz 96.146.72.252/30 konfiguriert. Dieses Subnetz umfasst ebenfalls 4 Adressen: Netzwerk: 96.146.72.252, Host-Adressen: 96.146.72.253 (DMZ-Interface vom Zugangsrouter), 96.146.72.254 (DMZ-Host), Broadcast-Adresse: 96.146.72.255
Diese Segmentierung führt dazu, dass aus dem vom Provider zur Verfügung gestellten Subnetz mit eigentlich 5 für DMZ-Hosts nutzbaren IP-Adressen nur noch eine IP-Adresse für einen DMZ-Host übrigbleibt. Eine sehr schlechte Ausbeute...​
  • Die zweite Möglichkeit nutzt das zur Verfügung gestellt IP-Subnetz optimal für ein Maximum an IP-Adressen in der DMZ. Dazu wird auf dem Interface zum Provider-Router ein PtP-Netzwerk mit der IP-Adresse 96.146.72.250/32 und eine "Host-Route über Interface" zum Provider-Router (96.146.72.249/32) eingerichtet. Auf dem Interface zur DMZ wiederum wird das komplette Subnetz mit der gleichen IP-Adresse wie beim Interface zum Provider-Router konfiguriert: 96.146.72.250/29.

    Damit der Provider-Router die Netzwerk-Pakete, die an die Hosts am DMZ-Interface gerichtet sind, an den Zugangsrouter schickt, muss am Interface zum Provider-Router die Funktion "Proxy-ARP" angeschaltet sein.
Das zweite Szenario habe ich als Schaubild angehängt. Der Default-Gateway auf dem Zugangsrouter bleibt bei 96.146.72.249, auf den Hosts in der DMZ ist der Zugangsrouter der Default-Gateway (96.146.72.250).

Ist auf dem eth1-Interface ein NAT aktiv, so muss das DMZ-Subnetz eingehend wie ausgehend vom NATten ausgenommen werden. Wie derartige Ausnahmen bei einem bintec-Router aussehen, kann man den angehängten Screenshots entnehmen.

VG
 

Anhänge

  • DMZ.jpg
    DMZ.jpg
    88 KB · Aufrufe: 10
  • NAT-Ausschluss (egress).jpg
    NAT-Ausschluss (egress).jpg
    157,3 KB · Aufrufe: 10
  • NAT-Ausschluss (ingress).jpg
    NAT-Ausschluss (ingress).jpg
    154,5 KB · Aufrufe: 10
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben