Technische vraag firewall

Waar haal jij die informatie vandaan? Wat jij denkt dat kan en klopt ook, en zal vaak ook de gebruikte weg zijn.

overigens, het internet is meer dan alleen WWW

[ Voor 19% gewijzigd door paella op 10-01-2008 11:49 ]

Hoe ben je van plan de verschillende subnetten te bereiken via 1 nic?
Vlans bouwen op je netwerkkaart?

[ Voor 19% gewijzigd door arjants op 10-01-2008 11:51 ]

Veel firewalls hebben die 2 interfaces (interne netwerk en internet).
Die bekijken voor welke machine het pakketje is dat binnenkomt en besluit dan wat er mee moet gebeuren.

Tuurlijk kun je m.b.v. je router en een paar acl's hetzelfde bereiken. Het zit 'm ook in de performance. Een Cisco pix is bijvoorbeeld gebouwd om deze taken uit te voeren terwijl een router dit "ernaast" doet. Ofwel, de Asic (Application Specific Integrated Circuit) van een Pix voert deze handelingen een stuk sneller uit dan een router.

Voor elke service een subnet is geen goed principe. Vaak heb je servers die een heel rijtje services (ssh, ftp, http, https en wat dies meer zij) aanbieden en dan moet je op zo'n server allemaal virtuele netwerkinterfaces aanmaken. Dat maakt het gecompliceerder dan je zou willen.

Aan TS: Misschien moet je je tussendoor nog wat inlezen (over functie van een firewall in een typisch IPv4 netwerk met beperkt aantal publieke IP-nrs -> NAT, over IPv6 waarmee je wel het interne netwerk publiek zou kunnen adresseren). En kun je voor de discussie hier wat meer informatie geven over de (beoogde) firewall zelf, kan of moet deze alleen op pakketniveau filteren of doet deze meer? Speelt de firewall voor NAT/router of bridge? Of andersgezegd: kun je een voorbeeldje laten zien voor de netwerkopstelling?

Ik draai IPcop op een servertje met 3 nics.

Groene interface = LAN
Rode interface = Internet.
Oranje interface= DMZ

Van je LAN naar internet staat alles open en voor de DMZ maak je aparte pinholes aan voor elke toepassing.
Ook voor je DMZ naar je lan moet je dit doen, voor een FTP server geen probleem en een fileserver zet je natuurlijk niet in de DMZ.

Dit is erg veilig want mocht een server in de DMZ gehacked worden dan heeft deze nog maar beperte toegang tot je LAN.

arjants schreef op donderdag 10 januari 2008 @ 11:50:
Hoe ben je van plan de verschillende subnetten te bereiken via 1 nic?
Vlans bouwen op je netwerkkaart?

Dat kan, maar je kan het ook routeren. Dus dat je firewall niet je interne router is, maar een aparte router voor interne routeringen. En die stuurt als default gateway alles naar de firewall, waar je rules per subnet kan maken.