Toon posts:

IP adressering in DMZ

Pagina: 1
Acties:

woensdag 19 juni 2013 13:53

Acties:
  • Funzy83
  • Registratie: Juni 2013
  • Laatst online: 13-10-2024

Funzy83

Topicstarter
Ik zou wat raad kunnen gebruiken ivm met het adresseren van servers in een DMZ zone. Deze servers in DMZ wil ik toewijzen aan verschillende VLAN ' s .(dus ook verschillende subnets).

Stel er staat een webserver, proxyserver en mailserver in de DMZ . Dewelke alle 3 zijn aangesloten op een layer 3 switch. Deze layer 3 switch is vervolgens aangesloten op een firewall. En de firewall is aangesloten op een router .

router ----- firewall ----- layer 3 switch .

De router heeft 4 interfaces .
1. WAN poort met publiek IP 210.100.35.5/24 (fictief)
2. LAN poort met IP 192.168.10.0/24
3. LAN poort met IP 192.168.20.0/24
4. Deze interface moet verbonden worden met de firewall. Aangezien ik de servers achter de firewall een publiek IP wens te geven , neem ik aan dat deze interface ook een publiek IP moet krijgen , is dit correct ?

Aangezien ik elke server in een andere VLAN wil steken, moet ook elke VLAN een ander subnet hebben.
Hoe krijg je dit werkende , aangezien je meestal een range publieke IP ' s uit hetzelfde subnet krijgt toegedeelt van de ISP ?

woensdag 19 juni 2013 14:48

Acties:
  • Giftcard
  • Registratie: Augustus 2010
  • Laatst online: 24-11 20:44

Giftcard

Je servers in de DMZ hebben geen publiek IP adres nodig op hun netwerkkaart. Het idee van een DMZ is juist dat je een apart stukje creeert wat configuratiewijs niks van doen heeft met de netwerken waar het op aangesloten zit.

Maw: De servers in je DMZ kan je op 10.11.12.0/24, 10.11.13.0/24 en 10.11.14.0/24 laten draaien, terwijl je lokale netwerk op de 192.168.10.0/24 en 192.168.20.0/24.
Je router moet dus natten van publiek IP naar je servers in de DMZ.

Ik zou de configuratie logisch houden, zoiets als dit:
Server _____ Subnet _______ IP _______ vlan _____ Public IP
Server_1 | 10.11.12.0/24 | 10.11.12.100 | Vlan12 | 210.100.35.20
Server_2 | 10.11.13.0/24 | 10.11.13.100 | Vlan13 | 210.100.35.21
Server_3 | 10.11.14.0/24 | 10.11.14.100 | Vlan14 | 210.100.35.22

Het is nogal overdreven om /24 subnets te gebruiken voor 1 server, maar op deze manier blijft het wel overzichtelijker..

Je zou tussen je router en L3 switch dan een 10.11.10.1 en 10.11.10.2 netwerkje kunnen maken en dan de server IP adressen op de L3 switch naar 10.11.10.1 te laten routeren.

[ Voor 8% gewijzigd door Giftcard op 19-06-2013 14:52 ]

"Secrets are only secrets if they are secret."

woensdag 19 juni 2013 16:44

Acties:
  • Funzy83
  • Registratie: Juni 2013
  • Laatst online: 13-10-2024

Funzy83

Topicstarter
Bedankt voor de nuttige uitleg Giftcard !

De IP setting van de servers in de VLANS en de natting tussen publiek en extern die moet gebeuren zijn duidelijk . Bedankt

Ik heb echter nog een vraagje bij het volgende dat je zegt.
Giftcard schreef op woensdag 19 juni 2013 @ 14:48:

Je zou tussen je router en L3 switch dan een 10.11.10.1 en 10.11.10.2 netwerkje kunnen maken en dan de server IP adressen op de L3 switch naar 10.11.10.1 te laten routeren.
Bedoel je de volgende configuratie ?

router : WAN poort : 210.100.35.5/24
LAN : poort 10.11.10.1
switch : 10.11.10.2

Of begrijp ik het verkeerd.

Ik heb volgende opstelling . router ----- firewall ----- layer 3 switch .

zou het volgende mogelijk zijn :

router :
WAN poort : 210.100.35.5/24
LAN : poort 10.11.10.1

firewall :
interface 1 : 10.11.10.2
interface 2 : 10. 11 20.1

Layer 3 switch
10.11.20.2

En dan vervolgens de servers zoals jij ze adresseerde :

Server_1 | 10.11.12.0/24 | 10.11.12.100 | Vlan12 | 210.100.35.20
Server_2 | 10.11.13.0/24 | 10.11.13.100 | Vlan13 | 210.100.35.21
Server_3 | 10.11.14.0/24 | 10.11.14.100 | Vlan14 | 210.100.35.22

Is deze adressering mogelijk , of waar loopt het mis ?

woensdag 19 juni 2013 16:46

Acties:
  • DukeBox
  • Registratie: April 2000
  • Laatst online: 02-12 19:14

DukeBox

loves wheat smoothies

Giftcard schreef op woensdag 19 juni 2013 @ 14:48:
Je servers in de DMZ hebben geen publiek IP adres nodig op hun netwerkkaart
Want ? Als je ip's genoeg hebt en er zit een firewall tussen zit is daar niets op tegen.

Hoe dan ook zou ik je DMZ niet een compleet andere private ip-range geven (192.168.0.0/16 gemixt met 10.0.0.0/8 en/of 172.16.0.0/12) dat maakt routering veel makkelijker indien je meerdere (vpn) locaties hebt.

[ Voor 28% gewijzigd door DukeBox op 19-06-2013 16:51 ]

Duct tape can't fix stupid, but it can muffle the sound.

woensdag 19 juni 2013 17:00

Acties:
  • Giftcard
  • Registratie: Augustus 2010
  • Laatst online: 24-11 20:44

Giftcard

Funzy83 schreef op woensdag 19 juni 2013 @ 16:44:

Is deze adressering mogelijk , of waar loopt het mis ?
Dat is inderdaad een setup die zou kunnen werken.

"Secrets are only secrets if they are secret."

woensdag 19 juni 2013 17:07

Acties:
  • Giftcard
  • Registratie: Augustus 2010
  • Laatst online: 24-11 20:44

Giftcard

DukeBox schreef op woensdag 19 juni 2013 @ 16:46:
[...]

Want ? Als je ip's genoeg hebt en er zit een firewall tussen zit is daar niets op tegen.
Ja, is opzich wat voor te zeggen.. Hangt een beetje van het beveiligingsniveau af wat je wil bereiken.

Maar als je in mijn ogen een DMZ goed wil gebruiken, vanwege zijn beveiligingsaspecten , moet je daarvoor ook nog NAT, dan heb je logisch gezien echt 3 gescheiden segmenten, nl; Public, Local, DMZ.

"Secrets are only secrets if they are secret."

woensdag 19 juni 2013 17:26

Acties:
  • Paul
  • Registratie: September 2000
  • Laatst online: 21:36

Paul

NAT is _GEEN_ beveiligingsmechanisme. Dat veel thuisgebruikers maar wat blij zijn dat een NAT-router geen flauw idee heeft waar hij pakketjes heen moet sturen die niet in zijn NAT-tabel staan is mooi meegenomen, maar dat maakt het nog geen beveiligingsmechanisme!

Heb je een /24 die naar je gerouteerd wordt of heb je 'een kabeltje' waarvan de andere kant (die van je ISP) 210.100.35.1 (of 210.100.35.254 of zo heeft)?

Als de gateway van je /24 bij de ISP staat dan moet je de adressen die je uit wilt delen als alias toevoegen op je firewall om er iets mee te doen. Alternatief is een switch ipv router en dan de Windows- of Linuxfirewall gebruiken . Aangezien je echter verschillende DMZ's hebt gaat dat niet werken.

Alias it is. Vervolgens moet je die inderdaad gaan forwarden (met 1-op-1 NAT of slechts enkele poorten) naar je DMZ's. In dat geval is het het makkelijkste om een koppel-VLAN in te stellen tussen de router (bijvoorbeeld 192.168.30.1/24) en de L3-switch (192.168.30.2/24) en tegen je router te zeggen (static route) dat alles voor (DMZ IP-range) naar 192.168.30.2 toe moet. Op je L3-switch maak je dan het koppel-VLAN + je DMZs en als default gateway neem je de router.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq