Macht folgender Aufbau (Netzwerk) Sinn?

Moin,
bin gerade dabei mein privates LAN zu restrukturieren, soll demnächst folgendermassen aussehen:

Internet
|
Router (mit NAT)
|.........|.......|
...PC3..........|
|.........|.......|
PC 1 PC2 PC3

PC1 und Pc2 sind normale Windows-Clients, PC3 wird ein Linux-Server, der folgendes beinhalten soll:
- Proxy Funktion
- Trafficshapper
- IDS
- Webserver
- VPN

Frage nun: macht es Sinn, bei PC3 auch noch Iptables einzurichten und Firewall-Regeln zu definieren, weil ja eigentlich schon der Router hier die ganze Arbeit macht, oder wäre das überflüssig?
 
ich versteh den plan zwar nicht richtig und PC3 gibts zweimal aber ich nehm mal an du willst noch nen server zwischen clients und router hängen.
iptables ist eigentlich ziemlich sinnlos außer:
- du willst komplexere firewallregeln
- du möchtest einfach ein bisschen rumspielen

wenn du noch dazu ein kernel-image hast (nicht selbstkompiliert) isses eh egal, weil dann ipfilter meist schon im kernel mitkompiliert ist.
 
Danke für deine Antwort, dachte mir sowas schon, dann sollte das IDS ausreichen, die paar Port-Forwarding Regeln kann auch der Router machen.

PC3 ist übrigens zweimal da, weil die Kiste drei Netzwerkkarten bekommt (für Proxyfunktion zwei karten und für den VPN-access noch mal ne separate) ;)
 
Original von R!K3R
Bin ich jetzt Dumm, weil ich da nicht durchsteige?
nein, nicht unbedingt ;)

soll wohl eher so aussehn dass alles an nem switch hängt.
was willst du mit 3 netzwerkkarten für pc3 ?
eine recht doch völlig aus.
 
VPN lass ich über separate Netzwerkkarte und separaten Adressbereich laufen, Proxy und IDS brauchen zwei Karten, geht nicht über eine.
Oder zeig mir eine Lösung wo das wirklich nur mit einer Karte geht.
 
Warum sollte das IDS ne extra Karte brauchen? Ist doch total sinnlos, da z.B. der Traffic des Proxies und der VPN-Verbindungen damit nicht überwacht wird. Nicht umsonst kann man in guten IDS (z.B. Snort) mehrere Interfaces und Zonen definieren.
 
Ich persönlich würde dir raten das IDS auf den Router zu packen und dort 2 Zonen zu definieren, die Internet-Zone und die LAN-Zone. Da es sich um dein privates LAN handelt, kannst du davon ausgehen, dass im LAN keine Exploits o.ä. angewendet werden, du kannst also im LAN jedem Rechner trauen. Daher muss das IDS den Traffic im LAN nicht überprüfen, was Rechenzeit spart und die Verbindungen etwas schneller macht. Die Internet-Zone restriktest du so stark es eben geht und überwachst jeglichen Traffic auf Unstimmigkeiten, so dass jeder Angriff, der aus dem Internet kommt auch aufgezeichnet wird. Auch das Traffic-Shaping würde ich dem Router überlassen. Natürlich setzt das voraus, dass es sich nicht um einen Hardware-Router handelt, auf dem du die Software nicht ändern kannst.
VPN, Webserver, Proxy usw. kannst du über virtuelle Interfaces realisieren, denen du extra IPs zuordnest, so dass jeder Service seine eigene IP hat. Damit reicht dann für den Linux-Server eine einzige Netzwerkkarte.
 
Auch ein Proxy geht mit nur einer Netzwerkkarte. Nur für nen Transparenten Proxy braucht man nach meinem Wissen zwei, da man ja den ganzen Traffic nach HTTP Paketen durchsuchen muss. So hab ichs zumindest mal gelernt.
 
Auf Router packen geht nicht, da reines hardwareteil. Daher auch meine Frage bezüglich iptables und ob es Sinn macht hinter dem Router noch weiter zu filtern. Aber die Frage hat sich für mich erledigt mittlerweile, das IDS sollte reichen.
 
Hallo,
IPTables auf dem Server einzurichtet schadet auch nicht.
Was du machen solltest, sofern der Server über 2 Netzwerkkarten verfügt, dass er alle Packete verwirft, die angeblich von innen kommen, aber am Interface des Internets gefunden werden und dass diese Anwendungen (Proxy etc.) nur über die "Lokale"-Netzwerkkarte erreichbar sind (mit Außnahme von VPN), sprich vom Router könnte man nicht auf den Proxy zugreifen, nur von den Clients aus.
 
Original von Elderan
Hallo,
IPTables auf dem Server einzurichtet schadet auch nicht.
Was du machen solltest, sofern der Server über 2 Netzwerkkarten verfügt, dass er alle Packete verwirft, die angeblich von innen kommen, aber am Interface des Internets gefunden werden und dass diese Anwendungen (Proxy etc.) nur über die "Lokale"-Netzwerkkarte erreichbar sind (mit Außnahme von VPN), sprich vom Router könnte man nicht auf den Proxy zugreifen, nur von den Clients aus.

Eigentlich sinnlos, wenn man nur die benötigten Ports von Router zum Server forwarded. Und lokale Adressen werden sowieso nicht übers Inet geroutet.
 
Bei einem sauber eingerichteten Server sollten eh alle Services, die nur lokal für den Server wichtig sind, an localhost gebunden werden, so dass Ports garnicht erst offen sind, wenn sie nicht von aussen genutzt werden sollen. IPtables machen vor allem dann Sinn, wenn der Zugriff auf bestimmte Services auf bestimmte IPs beschränkt werden soll u.ä.
 
Zurück
Oben