Hardware firewall achter switch

Wat is het doel van de setup, en dan met name - waarom plaats je tussen je hw-firewall en je internet router een switch?

Het kan prima werken. Op deze manier kun je een DMZ creeren en je server-netwerk (intranet) afschermen voor aanvallen van het internet.

Zorg ervoor dat de internet router DHCP is voor het interne netwerk (en dat de hardware router een IP adres van de DHCP router pakt) en dat deze hardware router DHCP server is voor het interne netwerk. Na de hardware router een andere router zetten is dubbelop aangezien je er geen computers tussen plaatst. Na de hardware router zou ik gewoon een switch gebruiken.

inderdaad, kan prima werken dit. Sterker nog: ik heb het bij een klant al eens zien werken.

Dan kun je die 3com superstack vergelijken met een internet aansluiting thuis, daar kun je prima een firewall op aansluiten (deze DHCP & DNS naar het interne netwerk laten spelen eventueel) en gaan met de banaan.

Als jouw hardware firewall een Ip adres heeft wat in de juiste range valt dan zie ik niet in waarom het niet zou kunnen.

Let wel even op dat je achter de hardware firewall een andere IP range gebruikt dan tussen internet-router en firewall

Dit heb ik ook zo lopen:

Speedtouch > Switch 1 > VPN Firewall > Switch 2

Speedtouch heeft 10.0.0.138, en strooit door Switch 1 de iprange 10.0.0.xxx .
De VPN Firewall heeft aan de "ADSL" kant 10.0.0.254 en aan de "LAN" kant 192.168.0.50, en strooit over Switch 2 de iprange 192.168.0.xxx.

Dit is wat CyberJ bedoelt neem ik aan.

Het kan technisch prima, ik zou er echter wel zorg voor dragen dat de switch niet via het net manageble is daar hij voor de FW zit.

Beter dan dat je remote management uitschakelt en enkel seriele toegang (indien mogelijk) toestaat. Indien dit niet mogelijk is is het slim om je management ip adressen in een andere range te plaatsen dan je internet IP range.

Een firewall in bridge mode zorgt er alleen voor dat het externe IP adres en de interne adressen in het zelfde subdomein liggen. Maar aangezien je de hardware zo aansluit dat je interne servers via de firewall verbonden worden blijven deze beschermd door de firewall. Tenminste, als je firewall actief blijft in bridge mode. Er zijn voorbeelden bekend van firewalls die in zo'n situatie gewoon als standaard switch fungeren.

Maar elke firewall die als router functioneert kan het en ik ben nog geen firewall tegengekomen die niet als router geconfigureerd kan worden.

Anoniem: 114746 schreef op donderdag 15 december 2005 @ 22:59:
[...]

Hoezo dan? Die firewall is er niet voor die switch.... en die switch is volgens de specs van 3com wel manageable via het internet...

Heel simpel, wil jij dan dat ieder willekeurig iemand jouw switch gaat managen ?

Anoniem: 31879 schreef op vrijdag 16 december 2005 @ 11:37:
[...]


Heel simpel, wil jij dan dat ieder willekeurig iemand jouw switch gaat managen ?

Zo ja: wat is het IP-adres van dat ding? IK wil hem wel voor je managen hoor

Anoniem: 31879 schreef op vrijdag 16 december 2005 @ 11:37:
[...]


Heel simpel, wil jij dan dat ieder willekeurig iemand jouw switch gaat managen ?

Er zitten ook nog wachtwoorden op die dingen hoor...

Daarnaast had je kunnen lezen dat het niet zijn switch is maar die van zijn hoster.

IcE_364 schreef op vrijdag 16 december 2005 @ 13:01:
[...]

Er zitten ook nog wachtwoorden op die dingen hoor...

Daarnaast had je kunnen lezen dat het niet zijn switch is maar die van zijn hoster.

laat me raden: wachtwoord 3com, tech, admin of niks??

Anoniem: 159032 schreef op vrijdag 16 december 2005 @ 13:24:
[...]


laat me raden: wachtwoord 3com, tech, admin of niks??

Het gaat om een switch van zijn hosting provider! Ik mag verwachten dat zij over genoeg kennis beschikken om die switch wel te beveiligen. Onze ciscos hangen ook gewoon managable aan het internet en nee je komt er niet in met cisco : cisco

[ Voor 8% gewijzigd door IcE_364 op 16-12-2005 15:27 ]

Dan mag je aannemen dat je isp zijn zaakjes wel geregeld hebt. (redbus zeker ?)

Het kan dus zeker wel, er zitten alleen een aantal maar's aan. Ik denk dat je rustig mag aannemen dat je isp daar aan gedacht heeft.

Anoniem: 31879 schreef op vrijdag 16 december 2005 @ 19:42:
Dan mag je aannemen dat je isp zijn zaakjes wel geregeld hebt. (redbus zeker ?)

Het kan dus zeker wel, er zitten alleen een aantal maar's aan. Ik denk dat je rustig mag aannemen dat je isp daar aan gedacht heeft.

Redbus is geen ISP en ja: een switch kan je prima beveiligen en nee, daar gaat dit topic niet over ..

DaMorpheus schreef op vrijdag 16 december 2005 @ 20:00:
[...]

Redbus is geen ISP en ja: een switch kan je prima beveiligen en nee, daar gaat dit topic niet over ..

Mischien voor paRtIculieren niet, maar je kunt er als bedrijf echt wel een stukje huren met de faciliteiten die daar bij horen en dat is toch echt "service provisioning".

Klopt, maar hoe is een vraag die mischien wel intressant is, ik zou zeggen doe eens een suggestie.

Dus in jouw opinie had dit een ja of nee volstaan ? Je mag best even verder denken hoor, anders worden de topics zo leeg en onintressant .

[ Voor 29% gewijzigd door Anoniem: 31879 op 17-12-2005 14:57 ]

Dit verzandt een beetje in een onzindiscussie. Bovendien ben ik van mening dat je een aantal dingen best even zelfstandig had kunnen uitzoeken (bijvoorbeeld wat een bridging firewall doet).