# 2 Netzwerke verbinden mit Firewall dazwischen



## myplex (21. Juni 2006)

Hallo,

ich habe 2 verschiedene Netzwerkzonen. Einmal alles was "unsicher" ist wie z.B. einen W-LAN Access Point, einen Server der öffentlich im WWW verfügbr ist etc. Dann habe ich eine weitere Zone mit allen Clients und Server die nur Intern gebraucht werden. Alle sollen allerdings Zugriff auf bestimmte Dienste auf den Servern in der unsicheren bekommen und natürlich auf das Internet. (WWW + Email)
Nun weiß ich nicht wie ich das anstellen will. Habe mehrere Vermutungen und Möglichkeiten aus dem Internet mir rausgesucht und möchte von euch nun wissen was am besten ist. (Geld spielt erstmal keine Rolle)

Meine Vorschläge:

- 1 Computer mit 2 Netzwerkkarten und dann ein Gateway erstellen (finde ich nicht so besonders weil man müsste einen weiteren PC anschaffen der auch wieder nur Strom "frist")
- VPN (überhaupt keine Ahnung davon, nicht sicher obs geht. Hab ich nur von gehört)
-Hardware Firewall wie z.B. Symnatec Gateway Security 320 (von nem Freund gehört)

Weitere Möglichkeiten könnt ihr mir natürlich auchnoch nennen nur ich würde gerne die Benutzung eines weiteren PC`s vermeiden.



mfg


----------



## Dennis Wronka (21. Juni 2006)

Ich wuerde dazu einen PC mit 3 Netzwerkkarten einsetzen.
Eine die zum LAN geht, eine zur DMZ und eine zum Internet.
Mit ein paar durchdachten Filter-Regeln kann man den Verkehr recht gut beeinflussen.
Der Rechner muss auch nicht wirklich viel Power haben, ein ausrangierter P1 mit 64MB RAM sollte da schon gelangweilt sein wenn die Netze nicht all zu gross sind.
So einen P1 kann man dann auch wunderbar passiv kuehlen und da braucht auch nicht so viel rein, dementsprechend braucht man kein dickes Netzteil und der Stromverbrauch ist somit auch garnicht mal so hoch.
Natuerlich wohl immer noch hoeher als bei einer Hardware-Firewall, aber diese duerfte in der Anschaffung teurer kommen als ein passender PC (vielleicht steht ja auch noch was passendes dafuer im Keller).
VPN bringt in dem Fall meiner Meinung nach garnichts, das ist eher dazu gedacht um z.B. 2 Netzwerke ueber das Internet miteinander zu verbinden.

Wie gesagt, ich wuerde dafuer zu einem PC greifen, vor allem da ich keine Lust haette der Gnade irgendwelcher Firewallhersteller in Sachen Konfiguration ausgeliefert zu sein. Bei IPTables weiss ich was ich damit machen kann und koennte schon im Voraus effektiv die notwendigen Regeln planen.


----------



## myplex (21. Juni 2006)

Hallo und schonmal Danke für die schnelle Antwort !

Wenn man mal die Anschaffungskosten und den Installationsaufwand einer Hardware - Firewall nicht beachtet ist die besser in der Leistung und/oder Ausfallsicherheit als der PC oder anders rum 

Ist das Vorhaben überhaupt mit der Firewall möglich die ich genannt hab ? (Er will mir das Gerät für 150 € verkaufen. Das Gerät ist fast neu und hat keine Gebrauchspurern. Ich hab im Internet mal geguckt und hab gesehen das, das Gerät neu das doppelte kostet)


mfg


----------



## Dennis Wronka (21. Juni 2006)

Zu der genannten Firewall kann ich Dir nichts sagen. Bisher hatte ich auch nur Kontakt zu einer Firewall, einer FortiGate bei uns im Buero. Diese bringt, wenn ich mich recht erinnere, auch einen Anschluss fuer eine DMZ mit, sodass diese noch ein zusaetzliches Netzwerk verwalten kann.
Durch die Filter-Einstellungen hab ich mich da noch nicht gewuehlt, kann ich aber wenn ich die Zeit finde mal machen.

Ich denke es kommt auch darauf an was Du genau willst. Z.B. wie Du die Logs pruefen willst, was Du fuer Anforderungen an die Konfiguration hast, ob Du vielleicht sogar ein IDS oder IPS haben willst, vielleicht einen transparenten Proxy (vielleicht sogar mit Virenscanner), etc.

Ich wuerde in jedem Fall zu einem PC mit Linux greifen, da kann ich dann auch leicht nachtraeglich noch Funktionen hinzufuegen. Bei einer Firewall kauft man in der Regel ein Produkt passend zu den aktuellen Anforderungen. Wenn diese sich dann aber mal aendern darf man gleich wieder was anderes kaufen.


----------



## myplex (22. Juni 2006)

Hallo,

ich habe einiges seit gestern ausprobiert und auch einen PC mir aus dem Keller gehohlt (233 MHz / 128 MB RAM) und da Suse Linux 10 draufgespielt. Die Firewall steht. Habs mit 2 Netzwerkkarten gemacht. Leider ist der Stromvebrauch mir zu hoch und auch der Geräuchpegel ist nicht annehmbar. Platz nimmt das Teil auchnoch weg und in einen Schrank stellen geht auch nicht durch die hohe Wärmeentwicklung ^^ Solange ich keine Alternative gefunden hab werde ich es so stehen lassen.

Daher hab ich weiter nach einer Hardware-Lösung gesucht. Ich hab mir mal das Gerät FortiGate 50A angeguckt. Würde es damit gehen die 2 LAN`s (also nicht WAN - LAN) zu trennen. Ich hab keine Infomationen gefunden ob es sich um 2 LAN`s Ports handeln oder um einen WAN und der andere LAN, wie es an vielen anderen Geräten ist. 

Ich bin mir nicht ganz sicher weil ich auf dem Gebiet nicht so fit bin aber irgendwie hab ich mir gedacht falls es sich um einen WAN Port handelt kann man dann diesen an einen WAN Port von einem anderen Gerät anschliesen und so irgendwie (z.B. durch einen alten Router) LAN Ports draus machen ?

Und noch eine Frage hab ich noch: Bin ich da überhaupt richtig infomiert das es da einen Unterschied (technisch)  gesehen zwischen LAN und WAN gibt ? Wenn ja kann mir jemand genauer beschreiben welchen ?


mfg


----------



## Dennis Wronka (22. Juni 2006)

Im Grunde sind das alles IP-Netze, dementsprechend ist zumindest kein offensichtlicher Unterschied da. Man unterscheidet halt ob es ein lokal ist oder eben nicht.
WAN steht ja fuer Wide Arean Network, das Wide koennte man in diesem Fall als "weit verteilt" oder gar global ansehen.

Ich schau morgen mal auf der Arbeit welche FortiGate wir haben und was fuer Ports die bietet. Mit Preisen kann ich Dir dann aber leider nicht dienen, da bei uns ja doch alles was guenstiger ist.


----------



## myplex (22. Juni 2006)

danke für die Infos`s mal wieder was dazugelernt ...

Heißt das, wenn ich einen FortiGate 50A hab mit WAN und LAN anschluss kann ich am WAN einen Switch hängen der 3 Server + den Internet-Router wiederrum dranhängen hat und am LAN Anschluss einen Switch mit allen Clients ?

mfg und thx schonmal !


----------



## Dennis Wronka (22. Juni 2006)

Das sollte eigentlich gehen, vorausgesetzt die Firewall besteht nicht darauf irgendeine lustige Verbindung (z.B. DialUp) fuer den WAN-Port konfigurieren zu wollen.
Davon gehe ich aber eigentlich weniger aus.
Wenn ich mich recht erinnere sieht es bei uns sogar aehnlich aus, das LAN geht in die Firewall und die Firewall dann in den Router, jedoch haengt bei uns am Router nicht zusaetzlich noch was.
Allgemein ist es eigentlich sinnvoll alle Netze mit einer Firewall zu schuetzen, deshalb hatte ich auch in meinem ersten Post einen Rechner mit 3 Netzwerkkarten angesprochen. Ueber IPTables laesst sich das ja alles ziemlich genau regeln sodass der Verkehr zwischen den jeweiligen Netzen gut gesteuert werden kann.


----------



## myplex (22. Juni 2006)

So hab jetzt mal bei meinem DLINK Router die Firewall ganz lahm gelegt und dann ne IP Adresse auf den WAN Port gelegt. (siehe Bild)
Komme dann aber net auf den Router. Pingen geht auch net

mfg

edit:
computer ist im gleichen subnet und mit der ip: 192.168.0.6


----------



## Dennis Wronka (23. Juni 2006)

Versuch es mal mit verschiedenen Netzen. Ich koennte mir vorstellen, dass der Router nicht weiss wohin er schicken soll.
Wenn Du aber die Netze klar trennst dann sollte der damit klarkommen.
Du kannst ja am LAN-Port das Netz 192.168.0.0 und am WAN-Port das Netz 192.168.1.0 haben.


----------

