© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Am Dienstag, 21. Januar 2003 11:39 schrieb Matthias Teege:
> > Jein. Der Paketfilter auf der Firewall, die die DMZ abschottet,
> > gilt ja nur nach außen, bzw. ins Intranet. Über lokale
> > Firewallregeln kann man ja noch erreichen, daß, falls eine Maschine
> > geknackt wird, und in der DMZ mehrere Hosts stehen, nicht von einem
> > Rechner in der DMZ auf einen anderen Rechner in der DMZ zugegriffen
> > werden kann.
>
> Bitte? Es ist doch egal wieviel unsichere Server Du in der DMZ hast.
> Ich brauche nicht einen Rechner in der DMZ übernehmen um eine zweiten
> anzugreifen. Ich erreiche beide aus dem Internet. Die Frage ist
> weniger von wo nach wo ich zugreifen kann. Die Tatsache, daß ich
> zugreifen kann reicht aus. Ein Rechner auf den ich nicht zugreifen
> kann brauche ich in der DMZ nicht.
>
> Eine Ausnahme ist vielleicht ein NFS- oder Datenbankserver in der
> DMZ der einem Webserver die Dateien liefert und der nur vom Webserver
> erreicht werden darf. Aber auch in diesem Fall würde ich wohl eher
Und diese Ausnahme meinte ich. (Obwohl ich das nicht mal als Ausnahme
ansehe, ich kenne viele solcher Setups.)
> ein weiteres Interface in den Router/Paketfilter bauen und eine
> weitere DMZ einrichten oder besser noch, am äußeren Router filtern.
Wenn Du ein passendes Budget hast, sind mehrere Interfaces natürlich
eine feine Sache. Wenn in Deiner DMZ aber Mail-, News-, SQL- und
mehrere Webserver stehen, wird's mit ner Firewall mit einer HE, in die
max. drei Interfaces passen, schon eng, das hieße also neue Server
anschaffen, neue Netzwerkkarten kaufen, die Maschine neu installieren,
usw. Da halte ich es für vertretbarer, auf den einzelnen Rechnern in
der DMZ lokale Firewallregeln laufenzulassen. Aber wie gesagt: das ist
alles ne Frage des Budgets und des Aufwands, den man betreiben
will/kann.
Björn
--
"The number of Unix installations has grown to ten, with more expected"
[ The Unix programmers manual, 1972 ]
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 21 Jan 2003 - 12:25:59 CET