expertenaustausch > comp.* > comp.security.firewall

Kay Martinen (11.04.2020, 22:49)
Hallo

Angenommen es gibt drei Router und drei /24'er Netzsegmente dahinter.
Nennen wir sie Router 1-3 und Netz 1-3 mit den Beispielwerten (Jeweils
Netzinterne IP)

Router1 192.168.1.1
Router2 192.168.2.1
Router3 192.168.3.1

Wobei Router 1 als einziger mit Dualstack zum WAN führt, hinter Router2
das Interne LAN liegt und Router 3 eine DMZ vom Netz1 abtrennt was dann
so aussähe

WAN
|
Router1
|
|----- Router3 --- DMZ/Netz3
|
| Netz1
|
Router2
|
LAN
Netz2

Ziel dabei wäre auf dem Router2; der ggf. noch mehrere interne (V)LANs
führen könnte den Traffic nur von innen nach "außen"(Netz1+Netz3) zu
führen und nicht etwa noch spezielle FW Regeln für den Zugang vom WAN
zur DMZ - falls die DMZ von diesem mit ausginge. Diese letzteren sollten
nur im Router3 nötig sein, der einerseits zugang vom WAN zu DMZ - nicht
aber in Netz1 oder 2 erlaubt und zugang von Router2/Netz2 zur DMZ/Netz3
erlaubt.

Allerdings möchte ich außerdem verhindern das aus dem Netz3 auf das
Netz1 zugegriffen werden kann. Dabei soll eigentlich nur Router1 IPv4
Adressen zum WAN hin maskieren, intern habe ich vor ohne NAT/Masq. aus
zu kommen (also weder auf Router2 noch Router3) weil ich denke das ich
dann Quelle und Ziel von Datenpfaden leichter identifizieren kann.

Die fragen:

Geht das so überhaupt? Mit einer Deny-all Policy und Allow-regeln?
Wenn IPV4 Zugriffe von außen erfolgen sollen, kann ein üblicher
Providerrouter das überhaupt auf netz3 umsetzen obwohl die Pakete erst
durch Netz1 durch müssen? Router1 braucht dazu doch vermutlich eine
netzroute die auf Router3 verweist oder geht das auch anders?

Übersehe ich noch Stolpersteine, geht es auch anders/besser?

Wie gesagt: Ziel ist es Traffic in/von DMZ auf dem zugehörigen Router zu
bündeln und eben NICHT den Router2 mit einer DMZ und zugehörigen Regeln
zu verkomplizieren. Die dann ja Traffic von seinem Externen Interface
hinein lassen müssten (zur DMZ) und zugleich Traffic von innen nach draußen.

Ich hoffe ich hab es verständlich beschrieben. Idee ist auch die
Komplexität ggf. in die HW oder 1-x Virtuelle Maschinen zu verlagern um
das Software-Setup einfacher halten zu können.

Kay
Marc Haber (12.04.2020, 09:04)
Kay Martinen <kay> wrote:
[..]
> |
> LAN
>Netz2


Damit ist eigentlich Netz1 eine Art DMZ.

>Ziel dabei wäre auf dem Router2; der ggf. noch mehrere interne (V)LANs
>führen könnte den Traffic nur von innen nach "außen"(Netz1+Netz3) zu
>führen und nicht etwa noch spezielle FW Regeln für den Zugang vom WAN
>zur DMZ - falls die DMZ von diesem mit ausginge. Diese letzteren sollten
>nur im Router3 nötig sein, der einerseits zugang vom WAN zu DMZ - nicht
>aber in Netz1 oder 2 erlaubt und zugang von Router2/Netz2 zur DMZ/Netz3
>erlaubt.
>Allerdings möchte ich außerdem verhindern das aus dem Netz3 auf das
>Netz1 zugegriffen werden kann.


DENY from 192.168.3.0/24 to 192.168.1.0/24 auf Router 3. Traffic aus
Netz 3 nach Netz 2 oder das Internet wird von dieser Regel nicht
erfasst, die Zieladresse dieses Traffic liegt ja im Internet oder in
192.168.2.0/24.

>Dabei soll eigentlich nur Router1 IPv4
>Adressen zum WAN hin maskieren, intern habe ich vor ohne NAT/Masq. aus
>zu kommen (also weder auf Router2 noch Router3) weil ich denke das ich
>dann Quelle und Ziel von Datenpfaden leichter identifizieren kann.


Das ist gut.

>Geht das so überhaupt? Mit einer Deny-all Policy und Allow-regeln?


Natürlich.

>Wenn IPV4 Zugriffe von außen erfolgen sollen, kann ein üblicher
>Providerrouter das überhaupt auf netz3 umsetzen obwohl die Pakete erst
>durch Netz1 durch müssen? Router1 braucht dazu doch vermutlich eine
>netzroute die auf Router3 verweist oder geht das auch anders?


Router 1 braucht eine Route für Netz3, die auf Router3 zeigt, und eine
Router für Netz2, die auf Router2 zeigt. Sonst schickt er Traffic für
diese NEtze ins Internet.

>Wie gesagt: Ziel ist es Traffic in/von DMZ auf dem zugehörigen Router zu
>bündeln und eben NICHT den Router2 mit einer DMZ und zugehörigen Regeln
>zu verkomplizieren. Die dann ja Traffic von seinem Externen Interface
>hinein lassen müssten (zur DMZ) und zugleich Traffic von innen nach draußen.
>Ich hoffe ich hab es verständlich beschrieben. Idee ist auch die
>Komplexität ggf. in die HW oder 1-x Virtuelle Maschinen zu verlagern um
>das Software-Setup einfacher halten zu können.


Ich würde mir das sparen und einen router mit vier Interfaces nehmen.
Unterm Strich ist ein Regelwerk mit vier Ausgängen einfacher als vier
Regelwerke mit je zwei Ausgängen.

Grüße
Marc
Ähnliche Themen