[HaBo]

Heptamer · 18.12.06, 13:25

Moin,
bin gerade dabei mein privates LAN zu restrukturieren, soll demnächst folgendermassen aussehen:

Internet
|
Router (mit NAT)
|.........|.......|
...PC3..........|
|.........|.......|
PC 1 PC2 PC3

PC1 und Pc2 sind normale Windows-Clients, PC3 wird ein Linux-Server, der folgendes beinhalten soll:
- Proxy Funktion
- Trafficshapper
- IDS
- Webserver
- VPN

Frage nun: macht es Sinn, bei PC3 auch noch Iptables einzurichten und Firewall-Regeln zu definieren, weil ja eigentlich schon der Router hier die ganze Arbeit macht, oder wäre das überflüssig?

v01d · 18.12.06, 14:04

ich versteh den plan zwar nicht richtig und PC3 gibts zweimal aber ich nehm mal an du willst noch nen server zwischen clients und router hängen.
iptables ist eigentlich ziemlich sinnlos außer:
- du willst komplexere firewallregeln
- du möchtest einfach ein bisschen rumspielen

wenn du noch dazu ein kernel-image hast (nicht selbstkompiliert) isses eh egal, weil dann ipfilter meist schon im kernel mitkompiliert ist.

Anzeige

- Anzeige -

Heptamer · 18.12.06, 14:29

Danke für deine Antwort, dachte mir sowas schon, dann sollte das IDS ausreichen, die paar Port-Forwarding Regeln kann auch der Router machen.

PC3 ist übrigens zweimal da, weil die Kiste drei Netzwerkkarten bekommt (für Proxyfunktion zwei karten und für den VPN-access noch mal ne separate)

R!K3R · 18.12.06, 15:10

Zitat:

Internet
|
Router (mit NAT)
|.........|.......|
...PC3..........|
|.........|.......|
PC 1 PC2 PC3

Bin ich jetzt Dumm, weil ich da nicht durchsteige?

v01d · 18.12.06, 17:24

Zitat:

Original von R!K3R
Bin ich jetzt Dumm, weil ich da nicht durchsteige?

nein, nicht unbedingt

soll wohl eher so aussehn dass alles an nem switch hängt.
was willst du mit 3 netzwerkkarten für pc3 ?
eine recht doch völlig aus.

Heptamer · 18.12.06, 17:46

VPN lass ich über separate Netzwerkkarte und separaten Adressbereich laufen, Proxy und IDS brauchen zwei Karten, geht nicht über eine.
Oder zeig mir eine Lösung wo das wirklich nur mit einer Karte geht.

**bitmuncher** · 18.12.06, 17:51

Warum sollte das IDS ne extra Karte brauchen? Ist doch total sinnlos, da z.B. der Traffic des Proxies und der VPN-Verbindungen damit nicht überwacht wird. Nicht umsonst kann man in guten IDS (z.B. Snort) mehrere Interfaces und Zonen definieren.

Heptamer · 18.12.06, 17:56

^Hm, da haste recht, da hatte ich wohl einen Denkfehler, bin ja noch in der theorethischen Planung.

**bitmuncher** · 18.12.06, 18:56

Ich persönlich würde dir raten das IDS auf den Router zu packen und dort 2 Zonen zu definieren, die Internet-Zone und die LAN-Zone. Da es sich um dein privates LAN handelt, kannst du davon ausgehen, dass im LAN keine Exploits o.ä. angewendet werden, du kannst also im LAN jedem Rechner trauen. Daher muss das IDS den Traffic im LAN nicht überprüfen, was Rechenzeit spart und die Verbindungen etwas schneller macht. Die Internet-Zone restriktest du so stark es eben geht und überwachst jeglichen Traffic auf Unstimmigkeiten, so dass jeder Angriff, der aus dem Internet kommt auch aufgezeichnet wird. Auch das Traffic-Shaping würde ich dem Router überlassen. Natürlich setzt das voraus, dass es sich nicht um einen Hardware-Router handelt, auf dem du die Software nicht ändern kannst.
VPN, Webserver, Proxy usw. kannst du über virtuelle Interfaces realisieren, denen du extra IPs zuordnest, so dass jeder Service seine eigene IP hat. Damit reicht dann für den Linux-Server eine einzige Netzwerkkarte.

v01d · 18.12.06, 19:08

Auch ein Proxy geht mit nur einer Netzwerkkarte. Nur für nen Transparenten Proxy braucht man nach meinem Wissen zwei, da man ja den ganzen Traffic nach HTTP Paketen durchsuchen muss. So hab ichs zumindest mal gelernt.

Heptamer · 18.12.06, 19:53

Auf Router packen geht nicht, da reines hardwareteil. Daher auch meine Frage bezüglich iptables und ob es Sinn macht hinter dem Router noch weiter zu filtern. Aber die Frage hat sich für mich erledigt mittlerweile, das IDS sollte reichen.

**Elderan** · 18.12.06, 20:43

Hallo,
IPTables auf dem Server einzurichtet schadet auch nicht.
Was du machen solltest, sofern der Server über 2 Netzwerkkarten verfügt, dass er alle Packete verwirft, die angeblich von innen kommen, aber am Interface des Internets gefunden werden und dass diese Anwendungen (Proxy etc.) nur über die "Lokale"-Netzwerkkarte erreichbar sind (mit Außnahme von VPN), sprich vom Router könnte man nicht auf den Proxy zugreifen, nur von den Clients aus.

v01d · 18.12.06, 21:12

Zitat:

Original von Elderan
Hallo,
IPTables auf dem Server einzurichtet schadet auch nicht.
Was du machen solltest, sofern der Server über 2 Netzwerkkarten verfügt, dass er alle Packete verwirft, die angeblich von innen kommen, aber am Interface des Internets gefunden werden und dass diese Anwendungen (Proxy etc.) nur über die "Lokale"-Netzwerkkarte erreichbar sind (mit Außnahme von VPN), sprich vom Router könnte man nicht auf den Proxy zugreifen, nur von den Clients aus.

Eigentlich sinnlos, wenn man nur die benötigten Ports von Router zum Server forwarded. Und lokale Adressen werden sowieso nicht übers Inet geroutet.

**bitmuncher** · 18.12.06, 21:20

Bei einem sauber eingerichteten Server sollten eh alle Services, die nur lokal für den Server wichtig sind, an localhost gebunden werden, so dass Ports garnicht erst offen sind, wenn sie nicht von aussen genutzt werden sollen. IPtables machen vor allem dann Sinn, wenn der Zugriff auf bestimmte Services auf bestimmte IPs beschränkt werden soll u.ä.

Anzeige

- Anzeige -

18.12.06, 13:25	#1 (permalink)
Heptamer Registriert seit: 03.09.06 Likes: 0	Macht folgender Aufbau (Netzwerk) Sinn? Anzeige Moin, bin gerade dabei mein privates LAN zu restrukturieren, soll demnächst folgendermassen aussehen: Internet \| Router (mit NAT) \|.........\|.......\| ...PC3..........\| \|.........\|.......\| PC 1 PC2 PC3 PC1 und Pc2 sind normale Windows-Clients, PC3 wird ein Linux-Server, der folgendes beinhalten soll: - Proxy Funktion - Trafficshapper - IDS - Webserver - VPN Frage nun: macht es Sinn, bei PC3 auch noch Iptables einzurichten und Firewall-Regeln zu definieren, weil ja eigentlich schon der Router hier die ganze Arbeit macht, oder wäre das überflüssig?

18.12.06, 17:51	#7 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Warum sollte das IDS ne extra Karte brauchen? Ist doch total sinnlos, da z.B. der Traffic des Proxies und der VPN-Verbindungen damit nicht überwacht wird. Nicht umsonst kann man in guten IDS (z.B. Snort) mehrere Interfaces und Zonen definieren. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

18.12.06, 18:56	#9 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Ich persönlich würde dir raten das IDS auf den Router zu packen und dort 2 Zonen zu definieren, die Internet-Zone und die LAN-Zone. Da es sich um dein privates LAN handelt, kannst du davon ausgehen, dass im LAN keine Exploits o.ä. angewendet werden, du kannst also im LAN jedem Rechner trauen. Daher muss das IDS den Traffic im LAN nicht überprüfen, was Rechenzeit spart und die Verbindungen etwas schneller macht. Die Internet-Zone restriktest du so stark es eben geht und überwachst jeglichen Traffic auf Unstimmigkeiten, so dass jeder Angriff, der aus dem Internet kommt auch aufgezeichnet wird. Auch das Traffic-Shaping würde ich dem Router überlassen. Natürlich setzt das voraus, dass es sich nicht um einen Hardware-Router handelt, auf dem du die Software nicht ändern kannst. VPN, Webserver, Proxy usw. kannst du über virtuelle Interfaces realisieren, denen du extra IPs zuordnest, so dass jeder Service seine eigene IP hat. Damit reicht dann für den Linux-Server eine einzige Netzwerkkarte. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

18.12.06, 21:20	#14 (permalink)
bitmuncher Moderator Registriert seit: 30.09.06 Likes: 442	Bei einem sauber eingerichteten Server sollten eh alle Services, die nur lokal für den Server wichtig sind, an localhost gebunden werden, so dass Ports garnicht erst offen sind, wenn sie nicht von aussen genutzt werden sollen. IPtables machen vor allem dann Sinn, wenn der Zugriff auf bestimmte Services auf bestimmte IPs beschränkt werden soll u.ä. __________________ Mein Blog - Mein Job - Diaspora Der Ring uns zu knechten besteht aus 12 Sternen auf blauem Grund. Neue Beiträge im Habo via Twitter - Das HaBo auf FB - Das HaBo bei G+

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

18.12.06, 14:04	#2 (permalink)
v01d Registriert seit: 30.05.05 Likes: 0	ich versteh den plan zwar nicht richtig und PC3 gibts zweimal aber ich nehm mal an du willst noch nen server zwischen clients und router hängen. iptables ist eigentlich ziemlich sinnlos außer: - du willst komplexere firewallregeln - du möchtest einfach ein bisschen rumspielen wenn du noch dazu ein kernel-image hast (nicht selbstkompiliert) isses eh egal, weil dann ipfilter meist schon im kernel mitkompiliert ist.

18.12.06, 14:29	#3 (permalink)
Heptamer Themenstarter Registriert seit: 03.09.06 Likes: 0	Danke für deine Antwort, dachte mir sowas schon, dann sollte das IDS ausreichen, die paar Port-Forwarding Regeln kann auch der Router machen. PC3 ist übrigens zweimal da, weil die Kiste drei Netzwerkkarten bekommt (für Proxyfunktion zwei karten und für den VPN-access noch mal ne separate)

18.12.06, 17:46	#6 (permalink)
Heptamer Themenstarter Registriert seit: 03.09.06 Likes: 0	VPN lass ich über separate Netzwerkkarte und separaten Adressbereich laufen, Proxy und IDS brauchen zwei Karten, geht nicht über eine. Oder zeig mir eine Lösung wo das wirklich nur mit einer Karte geht.

18.12.06, 17:56	#8 (permalink)
Heptamer Themenstarter Registriert seit: 03.09.06 Likes: 0	^Hm, da haste recht, da hatte ich wohl einen Denkfehler, bin ja noch in der theorethischen Planung.

18.12.06, 19:08	#10 (permalink)
v01d Registriert seit: 30.05.05 Likes: 0	Auch ein Proxy geht mit nur einer Netzwerkkarte. Nur für nen Transparenten Proxy braucht man nach meinem Wissen zwei, da man ja den ganzen Traffic nach HTTP Paketen durchsuchen muss. So hab ichs zumindest mal gelernt.

18.12.06, 19:53	#11 (permalink)
Heptamer Themenstarter Registriert seit: 03.09.06 Likes: 0	Auf Router packen geht nicht, da reines hardwareteil. Daher auch meine Frage bezüglich iptables und ob es Sinn macht hinter dem Router noch weiter zu filtern. Aber die Frage hat sich für mich erledigt mittlerweile, das IDS sollte reichen.

18.12.06, 20:43	#12 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, IPTables auf dem Server einzurichtet schadet auch nicht. Was du machen solltest, sofern der Server über 2 Netzwerkkarten verfügt, dass er alle Packete verwirft, die angeblich von innen kommen, aber am Interface des Internets gefunden werden und dass diese Anwendungen (Proxy etc.) nur über die "Lokale"-Netzwerkkarte erreichbar sind (mit Außnahme von VPN), sprich vom Router könnte man nicht auf den Proxy zugreifen, nur von den Clients aus.

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Macht mehr Ram Sinn???	bluhminga	Hardware Probleme	12	13.07.08 17:33
Sinn??	XXXX	Windows	14	09.06.06 16:46
URL Aufbau	Cyberm@ster	Internet Allgemein	2	20.02.05 10:35
Macht TV-Karte Sinn?	coolman	Hardware Probleme	18	22.08.03 12:48

[HaBo]

Macht folgender Aufbau (Netzwerk) Sinn?