DMZ: Unterschied zwischen den Versionen

Aus OrgaMon Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
 
(17 dazwischenliegende Versionen von 2 Benutzern werden nicht angezeigt)
Zeile 40: Zeile 40:
[[Bild:Firewall-dmz-interner-externer-router.png]]
[[Bild:Firewall-dmz-interner-externer-router.png]]


=== Alternative mit DrayTek Vigor ===
[[Bild:Vigor-Routing.png]]
==== Nameserver - Problem bei Load-Balancing ====
* Schlundtech
host nsb3.schlundtech.de
nsb3.schlundtech.de has address 217.160.113.53
nsb3.schlundtech.de has address 83.169.55.13
* http://code.google.com/intl/de-DE/speed/public-dns/
8.8.8.8 and 8.8.4.4


== Hibakusha ==
== Hibakusha ==
Zeile 45: Zeile 60:
[[Bild:Hibakusha.jpg|320px]]
[[Bild:Hibakusha.jpg|320px]]


* ist das Gateway inerhalb der DMZ (eth0, oranges Kabel), er ist mit dem Internet verbunden (eth1, magenta Kabel). Ich denke er macht ein ganz normales NAT, hierzu hat er eine zentrale Regel:
* ist das Gateway innerhalb der DMZ (eth0, oranges Kabel), er ist mit dem Internet verbunden (eth1, magenta Kabel). Ich denke er macht ein ganz normales NAT, hierzu hat er eine zentrale Regel:


  #
  #
Zeile 89: Zeile 104:


das Routing auf "Hibakasu" war falsch: Er fand keine Route mehr zurück ins LAN. Siehe den Auszug seiner korrekten Routing Tabelle!
das Routing auf "Hibakasu" war falsch: Er fand keine Route mehr zurück ins LAN. Siehe den Auszug seiner korrekten Routing Tabelle!
== Dezidierter Server ==
Kernel IP routing table
Destination    Gateway        Genmask        Flags Metric Ref    Use Iface
192.168.115.0  *              255.255.255.0  U    0      0        0 eth0
91.89.152.0    *              255.255.252.0  U    0      0        0 eth1
link-local      *              255.255.0.0    U    0      0        0 eth0
loopback        *              255.0.0.0      U    0      0        0 lo
default        HSI-KBW-091-089 0.0.0.0        UG    0      0        0 eth1
#
# also 91.89.152.1 ist HSI-KBW-091-089-152-001.hsi2.kabel-badenwuerttemberg.de
== VLAN ==
ab Juni 2010: Vom Einsatz von VLANs verspreche ich mir einige Kostenersparnisse. Insbesondere kann alles auf den Switch aufgeschaltet werden was (RJ45-)Beine hat.
So will ich DSL+DSL+Kabel Modem auf eigene VLANs schalten. Jeder Internet-Zugangs-Endpunkt ist isoliert und kann keine "Nachbarn" im Netz sehen. Es ergeben sich einige Vorteile ...
* http://www.linuxjournal.com/article/7268
* http://www.cyberciti.biz/tips/howto-configure-linux-virtual-local-area-network-vlan.html
* http://www.heise.de/netze/artikel/VLAN-Virtuelles-LAN-221621.html
=== Gruppen ===
0 Reserviert bzw. existiert nicht
1 LAN "Shared"
2 DMZ "Shared"
9 DSL Modem 1
10 DSL Modem 2
11 Kabel Modem 1
12 frei
13 Server Gruppe 1
14 Server Gruppe 1
15 Server Gruppe 1
16 Uplink
# trusted (Internet, Drucker, NAS)
# neutral
25 Client 1 (Internet / Drucker )
..  Client n
100 Client 101
# untrusted
100 Guest 1 (nur Internet)
101 Guest 2 (nur Internet)
... Guest n
200 Guest 11
=== Ports ===
der (Smart) Switch besitzt eine Port-Konfiguration. Sie kann nur statisch sein, das heisst Du musst Dinge festlegen für den physikalisch exisierenden Port 9 (als Bespiel). Das bedeutet wahlfreies Umstecken der Netzwerkkabel am Switch (so wie früher) is nich'
Man könnte die Port-Konfiguration aber auch MAC Adress-Abhängig machen, wär für mich OK, da bei mir keiner einfach MAC-Adressen mitlauschen kann und einfach ein System mit einer gefälschten MAC Adresse einführen kann.
Das würde bedeuten, egal in welchen Port des Switch ich fahre - meine Konfiguration bleibt erhalten.
==== Client Ports ====
* 01 raib25
* 02 h
* 03
* 04
* 05
* 06
* 07
* 08
* 09 WAN A
* 10 WAN B
* 11 WAN C
* 12 WAN D
* 13 Server A
* 14 Server B
* 15 Server C
* 16 Uplink "LAN"
==== Isolierte Ports ====
09 DSL 16000
10 DSL 3000
11 Kabel BW
12 - frei -
==== Server / Uplinks ====
13 raib25
14 - frei -
15 - frei -
16 Uplink DGS-1024
==== tagged ... ====
.... an diesem Port bedeutet:
* Im Tx: Der VLAN-ID wird belassen, ist er nicht vorhanden wird er hinzugefügt
* Im Rx: Der VLAN-ID wird belassen, ist er nicht vorhanden wird er hinzugefügt
==== untagged ... ====
.... an diesem Port bedeutet:
* Im Tx: Der VLAN-ID wird entfernt (falls vorhanden)
* Im Rx: Der VLAN-ID wird entfernt (falls vorhanden)
    |
    |
  *---*  Tx: Richtung Switch Port -> NIC
  | P |  Rx: Richtung NIC -> Switch Port
  *---*
    |
  *------*
  | NIC  |
  *------*
Rx: Alles was ohne VLAN ID kommt könnte man ja ergänzen
Rx: Alles war mit VLAN-ID kommt könnte man ja fälschen oder man könnte "unerlaubte" VLAN Pakete ja verwerfen
-> da sind noch viele Fragen offen
==== unmanaged ... =====
VLAN-IDs sind und bleiben da wenn sie da sind.
Wenn nicht: Pech
=== Anlegen bei openSUSE ===
* http://en.opensuse.org/YaST/Network/11.0-vlan
Also Du brauchst erst mal einen "unkonfigurierten" physikalisch existierenden Netzwerk-Adapter. Also z.B. "eth0". Da darf keine Netzwerk-IP oder so was konfiguriert sein, solche Sachen machst Du später bei den VLANs.
Sind alle Konfigs von ´"eth0" entfernt erstellst Du einen Neuen Netzwerk-Adapter auf Basis von "eth0". Der Name ist gleich dem virtulenn VLAN ID.


== Links ==
== Links ==


http://www.freebsd.org/doc/de/books/handbook/network-routing.html
* Advanced Routing http://www.freebsd.org/doc/de/books/handbook/network-routing.html
* Eingesetzte Mainboards http://www.asus.com/Motherboards/Intel_CPU_on_Board/AT5NM10I/

Aktuelle Version vom 8. November 2017, 10:35 Uhr

ADSL2+ Modem (192.168.1.1)
  |
  |
  |
+-eth1@.254----------------+
*                          *
* Host Hibakusha           *
*                          * 
+-eth0@.1------------------+
  |
  |
  |  192.168.68.0/255.255.255.0  (DMZ-Netz "Heiwadori")
  |
  |
+-eth1@.254---------------+
*                         *
* Host Heiwakoen          * 
*                         *
+-eth0@.20----------------+
  |
  |
  | 192.168.115.0/255.255.255.0 (LAN-Netz "Lummerland")
  |
  |
 **** Clients


Plan

Info zur Verwendung der japanischen Worte: Zur Erhaltung der Erinnerung an den Atombomben Abwurf von Hiroshima und in tiefen Respekt vor allen Opfern verwende ich folgende japanische Ausdrücke für Domänen und Hostnamen des Sicherungskonzeptes:

  • Hibakusha (Explosionsopfer) -> Host der dem Internet ausgesetzt ist
  • Heiwadori (Friedensallee) -> Domäne
  • Heiwakoen (Friedenspark) -> Host der den Router für das interne LAN darstellt

reale Umsetzung

Alternative mit DrayTek Vigor

Nameserver - Problem bei Load-Balancing

  • Schlundtech
host nsb3.schlundtech.de
nsb3.schlundtech.de has address 217.160.113.53
nsb3.schlundtech.de has address 83.169.55.13
8.8.8.8 and 8.8.4.4

Hibakusha

  • ist das Gateway innerhalb der DMZ (eth0, oranges Kabel), er ist mit dem Internet verbunden (eth1, magenta Kabel). Ich denke er macht ein ganz normales NAT, hierzu hat er eine zentrale Regel:
#
# anfragen aus dem lokalen Netz verfälschen dass es mit einer IP funktioniert
#
$IPTABLES -t nat -A POSTROUTING -o dsl0 -j MASQUERADE

#
# Pakete neu stückeln, so dass das DSL Netz damit klar kommt
#
$IPTABLES -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu


  • Routing: Hierbei ist wichtig, dass im bekannt ist wohin er "Antworten" ans LAN schicken darf. Dabei ist ja Heiwakoen unser "Router"
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
217.5.98.1      *               255.255.255.255 UH    0      0        0 dsl0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth1
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
192.168.115.0   192.168.68.254  255.255.255.0   UG    0      0        0 eth0   <-- wichtig, sonst geht nix!
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         *               0.0.0.0         U     0      0        0 dsl0

Heiwakoen


  • ist das Gateway für das normale LAN (eth0, beiges Kabel), er hat jedoch Verbindung zum DMZ-Netz (eth1, organges Kabel), er muss sich anfühlen wie ein normaler Router, dass hinter ihm die DMZ und der wirkliche Router steht soll das LAN natürlich nicht merken! Ich denke Heiwakoen macht den DHCPD für beide Netze.

Status

Problem: auf der Maschine selbst funktioniert das inet. Das LAN sieht Heiwakoen ja als Router an, Pakete mit "fremden" IPs landen bei diesem internen Router. Ich hatte gedacht der merkt das selbst, dass er diese Pakete an "sein" Gateway weiterleiten muss ...

  • erfolgloser Versuch:
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 192.168.1.2
  • erfolgreicher Versuch:

das Routing auf "Hibakasu" war falsch: Er fand keine Route mehr zurück ins LAN. Siehe den Auszug seiner korrekten Routing Tabelle!

Dezidierter Server

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.115.0   *               255.255.255.0   U     0      0        0 eth0
91.89.152.0     *               255.255.252.0   U     0      0        0 eth1
link-local      *               255.255.0.0     U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         HSI-KBW-091-089 0.0.0.0         UG    0      0        0 eth1

#
# also 91.89.152.1 ist HSI-KBW-091-089-152-001.hsi2.kabel-badenwuerttemberg.de

VLAN

ab Juni 2010: Vom Einsatz von VLANs verspreche ich mir einige Kostenersparnisse. Insbesondere kann alles auf den Switch aufgeschaltet werden was (RJ45-)Beine hat. So will ich DSL+DSL+Kabel Modem auf eigene VLANs schalten. Jeder Internet-Zugangs-Endpunkt ist isoliert und kann keine "Nachbarn" im Netz sehen. Es ergeben sich einige Vorteile ...


Gruppen

0 Reserviert bzw. existiert nicht
1 LAN "Shared"
2 DMZ "Shared"

9 DSL Modem 1
10 DSL Modem 2
11 Kabel Modem 1
12 frei

13 Server Gruppe 1
14 Server Gruppe 1
15 Server Gruppe 1
16 Uplink
# trusted (Internet, Drucker, NAS)


# neutral

25 Client 1 (Internet / Drucker )
..  Client n
100 Client 101

# untrusted

100 Guest 1 (nur Internet)
101 Guest 2 (nur Internet)
... Guest n
200 Guest 11


Ports

der (Smart) Switch besitzt eine Port-Konfiguration. Sie kann nur statisch sein, das heisst Du musst Dinge festlegen für den physikalisch exisierenden Port 9 (als Bespiel). Das bedeutet wahlfreies Umstecken der Netzwerkkabel am Switch (so wie früher) is nich' Man könnte die Port-Konfiguration aber auch MAC Adress-Abhängig machen, wär für mich OK, da bei mir keiner einfach MAC-Adressen mitlauschen kann und einfach ein System mit einer gefälschten MAC Adresse einführen kann. Das würde bedeuten, egal in welchen Port des Switch ich fahre - meine Konfiguration bleibt erhalten.

Client Ports

  • 01 raib25
  • 02 h
  • 03
  • 04
  • 05
  • 06
  • 07
  • 08
  • 09 WAN A
  • 10 WAN B
  • 11 WAN C
  • 12 WAN D
  • 13 Server A
  • 14 Server B
  • 15 Server C
  • 16 Uplink "LAN"

Isolierte Ports

09 DSL 16000
10 DSL 3000
11 Kabel BW
12 - frei -

Server / Uplinks

13 raib25
14 - frei -
15 - frei -
16 Uplink DGS-1024

tagged ...

.... an diesem Port bedeutet:

  • Im Tx: Der VLAN-ID wird belassen, ist er nicht vorhanden wird er hinzugefügt
  • Im Rx: Der VLAN-ID wird belassen, ist er nicht vorhanden wird er hinzugefügt

untagged ...

.... an diesem Port bedeutet:

  • Im Tx: Der VLAN-ID wird entfernt (falls vorhanden)
  • Im Rx: Der VLAN-ID wird entfernt (falls vorhanden)


   | 
   | 
 *---*   Tx: Richtung Switch Port -> NIC
 | P |   Rx: Richtung NIC -> Switch Port
 *---*
   |
 *------*
 | NIC  |
 *------*


Rx: Alles was ohne VLAN ID kommt könnte man ja ergänzen Rx: Alles war mit VLAN-ID kommt könnte man ja fälschen oder man könnte "unerlaubte" VLAN Pakete ja verwerfen

-> da sind noch viele Fragen offen

unmanaged ... =

VLAN-IDs sind und bleiben da wenn sie da sind. Wenn nicht: Pech

Anlegen bei openSUSE

Also Du brauchst erst mal einen "unkonfigurierten" physikalisch existierenden Netzwerk-Adapter. Also z.B. "eth0". Da darf keine Netzwerk-IP oder so was konfiguriert sein, solche Sachen machst Du später bei den VLANs. Sind alle Konfigs von ´"eth0" entfernt erstellst Du einen Neuen Netzwerk-Adapter auf Basis von "eth0". Der Name ist gleich dem virtulenn VLAN ID.

Links