Toon posts:

nat met 2 isp's, firewall en dmz

Pagina: 1
Acties:

woensdag 13 april 2005 22:55

Acties:

Verwijderd

Topicstarter
Ik zit met een probleem. Binnen het bedrijf waar ik werk willen we het netwerk herstructureren. Ik zal eerst even kort de verschillende segmenten van ons netwerk noemen + een situatieschets van de nieuwe situatie

segmenten
protected - dit is ons interne netwerk
dmz - spreekt voor zich
isp1 - Een internetverbinding die vooral gebruikt moet worden voor toegang tot onze servers in dmz. We willen deze lijn niet belasten met data van pc's in protected.
isp2 - Onze lijn die vooral bedoeld is voor data vanuit protected.

devices:
firewall - We hebben nu een hardware firewall die nogal duur was, en die we dus eigenlijk niet willen vervangen(mijn voorganger daar heeft 'm aangeschaft). Het grote nadeel van dit apparaat is dat er maar 3 poorten op zitten.

en natuurlijk diverse switches.

Nu is het grote probleem dus dat die hardware firewall maar 3 interfaces heeft. Anders had ik gedacht om de 2 internet lijnen er in te doen en 2 het psn en lan. Er kan dan op die firewall vast wel geregeld worden dat verkeer van protected alleen via isp2 naar buiten mag enz. Maar ja, dit is dus geen optie.

Nu moet er dus wat anders bedacht worden. Ik had bedacht om een pc te nemen en daarop smoothwall te installeren(een eenvoudige linux nat/firewall distro). Mijn bedachte layout is dan als volgt:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

        ISP1      ISP2
         |         |
        -------------
        |HW Firewall|
        -------------
              | <- verkeer naar dmz en protected wordt
              |    hierin geroute
              |
        -------------
        |smoothwall | <- hier wordt verkeer voor dmz en protected gescheiden en
        -------------        verkeer tussen dmz en protected geregeld
Protected |        | DMZ
          |        |
          |        |
        switch1   switch2


Mijn grote vraag is eigenlijk wat jullie hiervan vinden. Gaat dat routeren van twee totaal verschillende subnetten goed over 1 lijn? (het zijn de ranges 192.168.1.*, dmz, en 10.*.*.*, protected). Daarna is nog de vraag of ik op die hardware firewall(gnatbox) kan configureren dat verkeer vanaf protected naar isp2 gaat en dms via isp1. Ik vraag dit me af omdat er natuurlijk nu 2 keer wordt geNAT, weet dan de hardware firewall nog waar de pakketen oorspronkelijk vandaan komen?

edit:
overigens, we hebben ook onderstaande opbouw overwogen maar die lijkt me qua routering wat lasterig en ik vind em zelf niet overzichtelijk:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

        ISP2      ISP1
         |         |
         |    ---------------
         |    | HW Firewall |
         |    ---------------
         |     |           |
         |     |           | DMZ
         |     |           |
        -------------      |
        |smoothwall |      |
        -------------      |
Protected |                |
          |                |
          |                |
        switch1         switch2

[ Voor 13% gewijzigd door Verwijderd op 13-04-2005 23:00 ]

donderdag 14 april 2005 00:12

Acties:

Verwijderd

Ik vraag dit me af omdat er natuurlijk nu 2 keer wordt geNAT, weet dan de hardware firewall nog waar de pakketen oorspronkelijk vandaan komen?
Nee. De vraag is echter wel of dit écht relevant is. Voor uitgaand verkeer maakt het waarschijnlijk niet echt uit welke poort gebruikt wordt en inkomende TCP/IP connecties zijn stateful. De data die je terugstuurt vanaf de server gaat dus via de verbinding waarop ze ook zijn binnengekomen. Dit geldt echter niet voor UDP connecties!
Maar eigenlijk vind ik in deze opstelling de oude firewall een beetje overbodig. Stop een extra netwerkkaart in de Smoothwall en je bent (hopelijk) in 1 keer klaar. Nu haal je je verschillende problemen op de hals zonder dat ik een echte meerwaarde zie. Zowel de load balancing tussen de ISPs als de routering tussen de twee firewalls is niet optimaal. Of dit een probleem is hangt sterk af van de mogelijkheden van de firewall. Dat zul je dus in de handleiding moeten opzoeken.

Als je per se de oude firewall wilt handhaven zou ik waarschijnlijk voor de tweede methode kiezen.mits je bij Smoothwall kan aangeven dat alles via ISP2 moet gaan behalve als ISP2 onbereikbaar is of het doeladres in het subnet 192.168.0.x ligt. Dit zou echter niet zo'n heel groot probleem mogen zijn.(anders moet je een andere firewall nemen of misschien de twee firewalls in het schema omwisselen)

Voordeel is dat over elke lijn maar 1 subnet gaat, je scheiding van de beide ISPs is zoals je wilt en je de Smoothwall firewall dicht kan timmeren want je DMZ zit daar buiten. Nadeel is dat je dus twee verschillende firewalls rechtstreeks aan het internet koppelt. Je kan dus op twee plaatsen aangevallen worden en beide plaatsen moet je op een andere manier beheren.

[ Voor 11% gewijzigd door Verwijderd op 14-04-2005 00:23 ]

vrijdag 15 april 2005 18:28

Acties:

Verwijderd

De 1e tekening is in mijn ogen sowieso niet in orde, zie onderaan. De 2e is al beter maar in mijn ogen nodeloos complex wegens het feit dat 3 gaatjes niet betekent dat er maar 3 aansluitingen mogelijk zijn (switchke?).

Je zou de buitenkant van je HW firewall in een switch kunnen doppen, waar je beide SDSL modems van ISP1 en 2 ook in propt. De HW firewall laat je dan verkeer van ISP1 NATten naar je DMZ interface (en ALLEEN je DMZ interface) en het verkeer van ISP2 naar je trusted netwerk indien zinvol. Je maakt vanaf je trusted de route naar ISP1 verboden, en vanaf je DMZ die naar ISP2 ook. Vervolgens specifiek opgeven wat er tussen je DMZ en je trusted netwerk allemaal mag, en klaar is ruuddie.

Je ISP1 en ISP2 moet je alleen van elkaar zien te scheiden in je FW, bijvoorbeeld door er dan voor te opteren de SDSL modems zó in te richten dat die wél het PPPoA stuk doen, maar verder geen IP adres krijgen (een beetje zoals een Speedtouch Home voor adsl thuis, maar dan zelf inbellend) en je firewall beide externe IPs toekennen. Inkomend verkeer kun je dan per IP opgeven (ISP1 IP is wat anders dan het IP van ISP2, tenslotte). Hier zijn best leuke oplossingen voor, bijvoorbeeld als je een range IP adresjes hebt en je modem is gelijk je externe router. Eén belletje met je providers en je bent zó een eind op streek. Bovendien biedt deze configuratie iets minder foutgevoeligheid dan een smoothwalltje plus een HW firewall. Die kunnen allebij uitvallen, plus dat je nu geen smoothwall hoeft te gaan bouwen op en potentieel instabiel hardware platform (zijnde "een PCtje")

Bovendien heeft jouw 1e config het nadeel dat *al* je verkeer over beide vuurmuren moet, dat zou je dan niet moeten doen: je DMZ aan je HW firewall en je trusted aan je smoothwall lijkt er dan meer op (zo zou een DMZ ook moeten werken volgens mij: gesandwiched tussen je externe firewall en je interne firewall. Die interne mag dan wat light zijn vergeleken met die buiten: je weet (redelijk) zeker dat de systemen in je DMZ je niet gaan aanvallen en attacks van buiten zijn ook al door je stoere firewall gefilterd.

Zo zou het *volgens mij, en ik ben geen super-expert* horen:
code:
1
2
3
4
5
6
7
8
9

ISP1 + ISP2
     |
     |
ext. firewall (HWfirewall)
|      |
|      DMZ
|
|
LAN

[ Voor 18% gewijzigd door Verwijderd op 15-04-2005 18:32 . Reden: ASCII Van Gogh gemaakt van wat als Picasso begon :) ]

vrijdag 15 april 2005 18:38

Acties:
  • JackBol
  • Registratie: Maart 2000
  • Niet online

JackBol

Security is not an option!

Wat voor hardware firewall is het? waarom zou je niet met VLANs gaan werken? dan kun je de DMZ poorten en het productienetwerk gewoon trunken van de switch naar de firewall

Opbrengst van mijn Tibber Homevolt met externe kWh meter. | Opbrengst van mijn Tibber Homevolt volgens de Tibber Data API.

zondag 17 april 2005 12:02

Acties:
  • Predator
  • Registratie: Januari 2001
  • Nu online

Predator

Suffers from split brain

Mag ik even vragen wat voor datalijnen je in gedachten had ?
Ik neem aan dat je een LL of SDSL wil nemen voor de sites, en een prof ADSL abbo voor je gebruikers ? Maar kan je misschien wat specifieker zijn ?

Om hoeveel gebruikers gaat het, hoeveel bandbreedte hebben je sites nodig ?
Het kan misschien te overwegen om maar 1 lijn te nemen.
Websites verbruiken meestal upload, en gebruikers meestal download.
Met symmetrische datalijnen (SDSL / LL) storen ze elkaar niet zo veel.
Zeker niet als je nog eens aan de slag gaat met wat traffic policying.

Maar alles hangt natuurlijk af van het totaalbeeld, vandaar dat het misschien best is dat je wat meer info daarover geeft ?

Everybody lies | BFD rocks ! | PC-specs

Reageer