Public IP Adressen in der DMZ JA oder NEIN

Dieses Thema im Forum "Diskussionen und Anfragen" wurde erstellt von trashcity, 28.09.2004.

?

In der DMZ die Public IP Adressen beibehalten

Diese Umfrage wurde geschlossen: 06.10.2004
  1. JA

    14,3%
  2. NEIN

    85,7%
  1. #1 trashcity, 28.09.2004
    trashcity

    trashcity Foren As

    Dabei seit:
    30.11.2003
    Beiträge:
    96
    Zustimmungen:
    0
    Ort:
    austria
    Ich administriere drei Firewalls und ich höre viele verschiedene Antworten

    Ob man jetzt in der DMZ offizielle IP Adressen verwenden soll oder ob man die IP Adressen auf der Firewall einfach in die DMZ nated

    Was spricht für Public IP Adressen in der DMZ
    Und was spricht dafür wenn man IP Adressen Nated
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. saiki

    saiki Bratwurstgriller

    Dabei seit:
    18.03.2003
    Beiträge:
    934
    Zustimmungen:
    0
    Ort:
    Sachsen/ Meerane
    Nein, weil imho es für einen ngreifer von außen schwerer ist, genatete netzwerke zu durchforsten. außerdem lassen sich genatete netze imho leichter administrieren.
     
  4. #3 ph1rl3ph4ntz, 30.09.2004
    ph1rl3ph4ntz

    ph1rl3ph4ntz Jungspund

    Dabei seit:
    13.05.2004
    Beiträge:
    17
    Zustimmungen:
    0
    Ort:
    FFM
    Privatadressen in der DMZ

    Ich kenne niemanden, der in der DMZ was anderes als private Adressen verwendet.
    Zum einen spart es natürlich Geld, weil man nur noch eine "echte" IP-Adresse fürs Internet braucht, zum andern ist es - wie saiki schon sagte - für einen uneingeladenen Gast nicht ohne weiteres möglich, z.B. einen Mailserver 192.168.0.33 anzusprechen, weil die Adresse im Internet ungültig ist.
    Umgekehrt fällt mir auch kein Grund ein, wozu man in einer DMZ richtige Adressen brauchen sollte...
     
  5. winix

    winix Jungspund

    Dabei seit:
    01.10.2004
    Beiträge:
    22
    Zustimmungen:
    0
    Wenn du einen Server in der DMZ auch aus dem LAN ansprechen musst, kommt i.d.R. eine öffentliche IP nicht in Frage, da der Großteil der Router ein Problem bekommt, wenn CLIENT aus dem LAN den SERVER in der DMZ mit einer öffentlichen IP anspricht. Wie soll die Paketweiterleitung funktionieren?

    Annahme:
    ROUTER:externe IP(eth1)=195.195.195.195/24, LAN IP(eth0)=192.168.1.1/24, DMZ IP(eth2)=192.168.6.1/24
    SERVER in DMZ=192.168.6.10/24
    CLIENT im LAN=192.168.1.50/24
    Portforwarding für Port 80 nach SERVER 192.168.6.10 ist eingestellt.

    Ich stelle mich jetzt mal ganz dumm und frage mich: "Maskiert ROUTER, wenn ich von innen nach innen forwarde?"
    Nehmen wir weiterhin an, ich wüsste die Antwort nicht, dann muss ich beide Möglichkeiten durchspielen.
    1. Fall: ROUTER maskiert nicht von innen nach innen:
    Der Client adressiert die externe IP. Im Paket steht also:
    Absender: 192.168.1.50
    Empfänger: 195.195.195.195:80

    Das Paket gelangt (logisch gesehen) zur eth1. ROUTER schickt dieses Paket nun (unsere Annahme) an den lokalen Server, wobei er die Empfaenger-Adresse auf 192.168.6.10 ändert. Auf dem Server käme also an:
    Absender: 192.168.1.50 <- unverändert
    Empfänger: 192.168.6.10:80 <- geändert wegen Portforwarding
    Nun kann der Server antworten. Er wird die Antwort an den lokalen Rechner 192.168.1.50 schicken, denn dieser ist als Absender drin.
    Der Client bekommt das Paket also direkt(!) von 192.168.6.10 und stutzt: "Ich habe den Request an "195.195.195.195" geschickt und bekomme die Antwort von 192.168.6.10?". Der Client wird daraufhin das Antwort-Paket verwerfen.

    2. Fall: ROUTER maskiert auch von innen nach innen:
    Der Client adressiert die externe IP. Im Paket steht also:
    Absender: 192.168.1.50
    Empfänger: 195.195.195.195:80
    Das Paket wird wegen Portforwarding an den internen Server weitergeleitet:
    Absender: 195.195.195.195 <- Masquerading
    Empfänger: 192.168.6.10:80 <- Forwarding
    Es wären nun also Absender und Empfänger geändert.
    Der Server antwortet nun an 195.195.195.195 mit Absender 192.168.6.10, also:
    Absender: 192.168.6.10
    Empfänger: 195.195.195.195
    ROUTER würde nun daraus machen:
    Absender: 195.195.195.195 <- Masquerading
    Empfänger: 195.195.195.195 <- unverändert, da extern.

    Beide Probleme erkannt?
     
  6. niLs

    niLs òle òle

    Dabei seit:
    10.06.2004
    Beiträge:
    153
    Zustimmungen:
    0
    Ort:
    Hannover
    :]
     
Thema:

Public IP Adressen in der DMZ JA oder NEIN

Die Seite wird geladen...

Public IP Adressen in der DMZ JA oder NEIN - Ähnliche Themen

  1. »Star Wars: Knights of the Old Republic II« für Linux freigegeben

    »Star Wars: Knights of the Old Republic II« für Linux freigegeben: Mehr als zehn Jahre nach dem initialen Start steht das Weltraumepos »Star Wars: Knights of the Old Republic II: The Sith Lords« nun auch allen...
  2. Univention-Absolventenpreis 2015 auf der re:publica verliehen

    Univention-Absolventenpreis 2015 auf der re:publica verliehen: Die Verleihung des mittlerweile zum achten Mal vergebenen Univention-Absolventenpreises fand auf der re:publica in Berlin statt. Mit diesem Preis...
  3. Mozilla Public License Version 2.0 ist fertig

    Mozilla Public License Version 2.0 ist fertig: Die Mozilla Foundation hat zum Jahresanfang eine neue Version der Mozilla Public License (MPL) veröffentlicht. Die Open-Source-Lizenz wird unter...
  4. Ubuntu und OpenStack für HPs Public Cloud

    Ubuntu und OpenStack für HPs Public Cloud: Auf der heute zu Ende gehenden OpenStack-Konferenz hat die Canonical-Geschäftsführerin Jane Silber gekannt gegeben, dass Hewlett Packard auf der...
  5. GnuPG - public key austausch

    GnuPG - public key austausch: Hallo, ich habe mit meinem Mailprogramm nun GnuPG eingerichtet. Ein Freund hat mir dabei seinen Public Key als Mailanhang geschickt. Nun meine...