Via firewall routeren mogelijk?

Ik weet niet zeker of het op deze manier wel kan want nu gaat het eerst via de router en dan gaat die gelijk naar buiten.
Als je een Accespoint voor de firwallzet zou het wel goed moeten gaan

Dan zou je een andere setup moeten maken. Je Wifi AP geeft je nu een gateway 10.0.1.1 en internet verkeer zal dan dus meteen via die gateway naar buiten gaan. Om dat verkeer eerst van buiten naar binnen te routeren omdaarna weer naar buiten te laten is IMO een beveiligings risico.

Wat je zou kunnen doen is het volgende:


Je hebt hier wel een apart Access Point voor nodig, maar het is wel een veiligere manier..

Nu heb je controle over het verkeer dat via de firewall loopt, en je zit niet direct op je LAN. Wil je op je Lan komen dan zal je een VPN optie moeten bedenken en op je lan te komen..

[ Voor 15% gewijzigd door Equator op 08-04-2008 14:19 ]

Verwijderd schreef op dinsdag 08 april 2008 @ 14:34:
Is het wel mogelijk dan om het WIFI verkeer zo via de firewall te routeren? Wat voor beveiligingsrisico's zouden hier dan ontstaan, gezien het verkeer nog niet op internet is zal dit wel meevallen of zie ik dit verkeerd?

Ja, of je je router/wifi zo kunt configuren dat al het verkeer dat via wifi binnenkomt default gateway 10.0.1.2 gebruikt is de vraag. (of wellicht de wifi in een ander subnet hangen als het verkeer dat via internet gaat.

Als dat gelukt is moet je firewall ook nog loopback routing ondersteunen(relatief processor intensief, niet onmogelijk)

De vraag of het veilig is is pas te benatwoorden als je aangeeft waartegen het veiligheid moet geven (inkomend/uitgaand/wat doet je firewall)

Verwijderd schreef op dinsdag 08 april 2008 @ 14:34:
Is het wel mogelijk dan om het WIFI verkeer zo via de firewall te routeren? Wat voor beveiligingsrisico's zouden hier dan ontstaan, gezien het verkeer nog niet op internet is zal dit wel meevallen of zie ik dit verkeerd?

Sorry, misschien was ik niet duidelijk genoeg. Hiervoor dien je wel een aparte netwerkkaart in de firewall te steken (Indien mogelijk natuurlijk)

Waarom je een AP niet direct op je LAN wilt hebben is natuurlijk vrij simpel. Dan maak je het voor "minder legale personen" makkelijker om binnen te komen. Natuurlijk is een WPA2 configuratie niet direct te kraken, maar als er een flaw zit in de implementatie dan is de veiligheid kwijt.

Hier kan je over discussieren natuurlijk

Als je op je router meerdere IP adressen op 1 poort kan instellen dan kan het.
Stel je hebt drie subnets:
10.0.0.x
10.0.1.x

Je router draait een DHCPD en heeft zelf 10.0.0.1 en 10.0.1.1 en een extern IP.
Laat je DHCPD een lease aan je laptop geven in 10.0.1.x (bijv. 10.0.1.2), een lease aan je firewall in 10.0.1.x (bijv. 10.0.1.3) en een lease in 10.0.0.x (bijv. 10.0.0.2).
Laat de lease aan je firewall als defaultrouter 10.0.0.1 hebben en de lease aan je laptop als defaultrouter 10.0.1.3.
Zo zal de volgende resolve plaatsvinden 10.0.1.2 (laptop, default router 10.0.1.3) -> 10.0.1.3 (firewall, default router 10.0.0.1) -> 10.0.0.1 (router, default router van provider).

Als je firewall ook een DHCPD heeft zou je die leases kunnen laten verlenen in het subnnet van je wifi en een lease aanvraag of fixed IP in het subnet van je router's ethernet.

Verwijderd schreef op dinsdag 08 april 2008 @ 15:20:
(...)
Zou ik niet eigenlijk gewoon de firewall als gateway moeten kunnen gebruiken of ben ik nu fout?

De firewall is puur voor verkeer tussen netwerk en internet.

Dat kan ook, als je router een normale broadband router is in plaats van een router/modem ineen. In dat geval wissel je beiden om, het beste kan je dan de firewall de routerfuncties en dhcpd op zich laten nemen en de router instellen als bridge (of anders transparent routing, of NAT uitzetten indien mogelijk), zodat deze als het ware eenvoudigweg een switch is tussen de firewall en de pc's.