.titleBar { margin-bottom: 5px!important; }

echte DMZ (Perimeter-Netz) einrichten?

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von dsteinkopf, 6 Aug. 2005.

  1. dsteinkopf

    dsteinkopf Mitglied

    Registriert seit:
    29 Juli 2005
    Beiträge:
    263
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo allerseits,

    es wurde hier ja schon viel über DMZ gesprochen. Aber eigentlich ging es dabei immer um einen "exposed host", der einfach im lokalen Netz steht und einige oder alle Ports von außen durchgeleitet bekommt. - Das möchte nicht.

    Da die Fritzbox Fon WLAN 7050 (und vielleicht auch andere) ja neben dem DSL-Interface ja noch 2 separate interne Interfaces hat, liegt es nahe, damit einen richtigen Firewall zu bauen und die Interfaces folgendermaßen zu benutzen:

    - eins für DSL nach extern
    - eins für das lokale, total abgeschirmte Netz
    - und eins für das Perimeternetz (die DMZ)

    Wenn ich in den Netzwerkeinstellung "Alle Computer befinden sich im selben IP-Netzwerk" deaktiviere, habe ich ja schon separate Netze. Allerdings wird noch zwischen den beiden internen Netzen alles einfach durchgeroutet. Drei Dinge wären nun wichtig:

    - Vom Perimeternetz dürfen nur Verbindungen nach extern aufgebaut werden. Kein Verbindung, kein ping etc. ins lokale Netz.

    - Vom lokalen Netz aus darf man alles: Nach draußen und ins Perimeternetz.

    - Die Port-Weiterleitungen von außen dürfen nur ins Perimeternetz kommen: Das sollte sich sogar über die Weboberfläche machen lassen, wenn man halt als Ziel nur IP-Nummern von Rechnern im Perimeternetz angibt.


    Ich gehe davon aus, dass ich das über die ar7.cfg leicht hinbekommen kann, wenn ich nur wüsste, wie...

    Vielen Dank schonmal,


    Dirk
     
  2. sphings

    sphings Mitglied

    Registriert seit:
    3 Okt. 2004
    Beiträge:
    522
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    ich denke nicht das sich das realisieren lässt *leider*
     
  3. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Also die Trennung vom Internet sollte kein Problem sein

    Hallo Leutinnen und Leute,

    also rein mit dem Internet geht das schon. Ich habe dem WLAN den Internet-Zugriff genommen (guckst Du hier: http://www.ip-phone-forum.de/forum/viewtopic.php?t=18445 ). Ob sich das auch zwischen den anderen Interfaces so machen läßt, müßte man probieren bzw. in der ar7.cfg resp. export-Datei nachschauen.

    Hawedieehre.
    Fant
     
  4. dsteinkopf

    dsteinkopf Mitglied

    Registriert seit:
    29 Juli 2005
    Beiträge:
    263
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hallo fant,

    ich habe den genannten Thread gelesen. Wie hast Du das rausgefunden? Durch ar7.cfg-lesen und raten?

    Gibt es eigentlich nirgendwo eine Doku zur ar7.cfg? Durch googeln habe ich nichts gefunden.

    Alles was in der ar7.cfg inspiriert einen ja schon zu Ideen, was das bedeuten könnte, aber ich fürchte, das ist vieeeel Arbeit, bis man die soweit _wirklich_ versteht... Es sind halt alles nur Ahnungen, bisher.

    -> Kann man vielleicht so einen dpconfig-Abschnitt mit entsprechenden Rules auch bei den ethinterfaces eintragen?
    -> eth0 und eth1 tauchen immer nur gemeinsam auf? Wie muss ich die trennen? (Muss ich die überhaupt trennen?)

    Eigentlich würde ja eine einzige Filterregel an der richtigen Stelle reichen: "reject ip [perimeter] [intern]" o.ä. ...

    Dirk
     
  5. fant

    fant Mitglied

    Registriert seit:
    6 Mai 2005
    Beiträge:
    622
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    Sers Dirk,

    ich habe mir tatsächlich mal die ar7.cfg zur Brust genommen und einfach herumprobiert. Ich hatte halt darauf geachtet, keinen Briefbeschwerer zu basteln... ;-)

    Wenn Du eine Doku findest, dann schick mir ein Mail. Ich habe leider bis jetzt auch nix brauchbares gefunden. Probiere doch einfach mal, die entsprechenden Interfaces aus dem Bridge-System rauszunehmen. Ich weiß nicht, ob das geht, aber kannst es ja mal testen.

    Gruß,
    Ingo
     
  6. Rolf13

    Rolf13 Neuer User

    Registriert seit:
    10 Aug. 2005
    Beiträge:
    11
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Genau das suche ich auch.
    Warum bietet das AVM nicht im Web-Interfache? Die 7050 wäre ideal dafür geeignet.
    Bin gespannt, ob jemand eine Lösung findet.
    Danke für den thread
    Rolf