DMZ : Goed of andere optie? - Netwerken

woensdag 21 mei 2008 13:56

Acties:

Topicstarter

Hey,

ik ben ff het noorden kwijt...

We hebben een redelijk eenvoudige configuratie staan. 1 sdsl aansluiting, 1 intern netwerk met een aantal servertjes in, dan 4 servers die zowel van binnen als via het internet moeten kunnen benaderd worden...

Hoe lossen we dit het beste op?

Hier wordt luidop geroepen : DMZ DMZ, maar ik dacht dat de bedoeling van dmz was dat verschillende poorten naar 1 ip worden doorgestuurd.

Soit, ik zie het dus effe nie goe meer hoe ik dit moet oplossen.

Ip intern netwerk : 192.168.10.XXX
Ip DMZ : 172.16.24.xxx

Als ik het goed heb, is het de bedoeling dat aanvragen van internet naar bijv 172.16.24.10 moeten kunnen, maar dat een aanvraag van 192.168.10.25 naar 172.16.24.10 ook moet kunnen.

Kunnen jullie me effe op weg helpen? Ik wil dit zelf wel opzetten, maar 'k weet dus nie goe hoe te beginnen...

Thanks!

Build a bridge, get over it... Specs : yes !!! website over bouwen & verbouwen

woensdag 21 mei 2008 14:07

Acties:

Noork

Je geeft niet aan wat voor services je op deze servers beschikbaar wilt maken. Je kan toch ook gewoon poorten doorsturen (port mapping).

b.v.
172.16.24.xxx poort 80 gaat naar 192.168.10.101:80
172.16.24.xxx poort 81 gaat naar 192.168.10.102:80
enz enz..

c00kie schreef op woensdag 21 mei 2008 @ 13:56:
Hier wordt luidop geroepen : DMZ DMZ, maar ik dacht dat de bedoeling van dmz was dat verschillende poorten naar 1 ip worden doorgestuurd.

Wie roept dat luidop dan? DMZ is inderdaad handig voor 1 pc/server. Wanneer je dus alle poorten/services wilt doorsturen. Kan soms handig zijn voor een server of b.v. voor online gaming.

[ Voor 49% gewijzigd door Noork op 21-05-2008 14:12 ]

woensdag 21 mei 2008 14:35

Acties:

jvanhambelgium

Bon, idealiter zal een DMZ 2 firewalls (van verschillende vendors) hebben, 1 firewall met voldoende interfaces zal ook lukken alhoewel toch een stuk veilig is...

Een DMZ is niets meer dan een netwerk-segment waar bepaalde traffiekstromen doorheen afkomstig van verschillende zone's, dikwijls ook van "untrusted" (eg. internet)
Het is een soort scheidingsvlak / demarcatie-vlak tussen intern (trusted) en extern (untrusted)

Aanvragen vanuit internet voor DMZ-machines te bereiken zullen altijd aan de hand van NAT moeten gebeuren waarbij een reeks externe,publieke routable adresses gaat gebruiken als "frontend" voor de interne host.
Mogelijk is ook dat machines op een DMZ effectief Internet IP-space hebben direct "routable" benaderbaar zijn na de nodige firewall-policies te hebben doorgezwommen (geen NAT dus)

WELKE traffiekstromen mogelijk zijn moet je oa documenteren in de security policy.
Dus ja, van Internet op de DMZ, van intern naar de DMZ,
In complexere gevallen met meerdere DMZ's heb je ook inter-DMZ stromen etc

-> Welke firewall heb je concreet ? Hoeveel poorten heeft da ding ?

donderdag 22 mei 2008 11:58

Acties:

c00kie

Topicstarter

bon, ik heb het voor elkaar gekregen dat ik het niet meer moet doen. Bovenstaande antwoorden hebben mij geholpen om duidelijk te maken dat ik een pak kennis hiervoor mis

. Merci mannen, nu kan ik dat met een rustig geweten laten doen. (ieder zijn specialiteit, maar grotere netwerken is niks voor mij).

Build a bridge, get over it... Specs : yes !!! website over bouwen & verbouwen

donderdag 22 mei 2008 12:16

Acties:

ik222

Als je op 4 servers verschillende services aan wil bieden dan is het veel makkelijker en veiliger om gewoon de juiste poorten naar de juiste server te forwarden. Bijvoorbeeld:

Server 1 - 192.168.1.10 ---> Webserver --> Forward alleen de webserver poorten naar 192.168.1.10
Server 2 - 192.168.1.20 ---> Mailserver ---> Forward alleen de mailserver poorten naar 192.168.1.20
Etc.

Op die manier zorg je er voor dat op je webserver geen poorten openstaan voor mail die toch niet gebruikt worden. Hetzelfde geld voor de web poorten op je mailserver.

DMZ hoeft eigenlijk alleen te gebruiken als je zeer veel services naar dezelfde server wilt sturen.

[ Voor 3% gewijzigd door ik222 op 22-05-2008 12:17 ]