Groups | Search | Server Info | Login | Register

Groups > de.comp.security.firewall > #222

Frage(n)

From Kay Martinen <kay@martinen.de>
Newsgroups de.comp.security.firewall
Subject Frage(n)
Date 2020-04-11 22:49 +0200
Organization TOTA
Message-ID <41e0.5e922d45.960b4@mailnews.int.martinen.de> (permalink)

Show all headers | View raw

Hallo

Angenommen es gibt drei Router und drei /24'er Netzsegmente dahinter.
Nennen wir sie Router 1-3 und Netz 1-3 mit den Beispielwerten (Jeweils
Netzinterne IP)

Router1 192.168.1.1
Router2 192.168.2.1
Router3 192.168.3.1

Wobei Router 1 als einziger mit Dualstack zum WAN führt, hinter Router2
das Interne LAN liegt und Router 3 eine DMZ vom Netz1 abtrennt was dann
so aussähe

 WAN
  |
Router1
  |
  |----- Router3 --- DMZ/Netz3
  |
  | Netz1
  |
Router2
  |
 LAN
Netz2

Ziel dabei wäre auf dem Router2; der ggf. noch mehrere interne (V)LANs
führen könnte den Traffic nur von innen nach "außen"(Netz1+Netz3) zu
führen und nicht etwa noch spezielle FW Regeln für den Zugang vom WAN
zur DMZ - falls die DMZ von diesem mit ausginge. Diese letzteren sollten
nur im Router3 nötig sein, der einerseits zugang vom WAN zu DMZ - nicht
aber in Netz1 oder 2 erlaubt und zugang von Router2/Netz2 zur DMZ/Netz3
erlaubt.

Allerdings möchte ich außerdem verhindern das aus dem Netz3 auf das
Netz1 zugegriffen werden kann. Dabei soll eigentlich nur Router1 IPv4
Adressen zum WAN hin maskieren, intern habe ich vor ohne NAT/Masq. aus
zu kommen (also weder auf Router2 noch Router3) weil ich denke das ich
dann Quelle und Ziel von Datenpfaden leichter identifizieren kann.

Die fragen:

Geht das so überhaupt? Mit einer Deny-all Policy und Allow-regeln?
Wenn IPV4 Zugriffe von außen erfolgen sollen, kann ein üblicher
Providerrouter das überhaupt auf netz3 umsetzen obwohl die Pakete erst
durch Netz1 durch müssen? Router1 braucht dazu doch vermutlich eine
netzroute die auf Router3 verweist oder geht das auch anders?

Übersehe ich noch Stolpersteine, geht es auch anders/besser?

Wie gesagt: Ziel ist es Traffic in/von DMZ auf dem zugehörigen Router zu
bündeln und eben NICHT den Router2 mit einer DMZ und zugehörigen Regeln
zu verkomplizieren. Die dann ja Traffic von seinem Externen Interface
hinein lassen müssten (zur DMZ) und zugleich Traffic von innen nach draußen.

Ich hoffe ich hab es verständlich beschrieben. Idee ist auch die
Komplexität ggf. in die HW oder 1-x Virtuelle Maschinen zu verlagern um
das Software-Setup einfacher halten zu können.


Kay

-- 
Posted via SN

Back to de.comp.security.firewall | Previous | NextNext in thread | Find similar

Thread

Frage(n) Kay Martinen <kay@martinen.de> - 2020-04-11 22:49 +0200
  Re: Frage(n) Marc Haber <mh+usenetspam1118@zugschl.us> - 2020-04-12 09:04 +0200

csiph-web