DMZ für WG

JKuehl · 04.05.2012, 15:22

Hallo Netzwerkspezialisten!

Für eine WG suche ich folgende Lösung:

Router (NETZ 1)
PC A0 (WLAN)
PC B0 (WLAN)
PC C0 (WLAN)

PC A (Ubuntu 12.04 LTS) greift also über WLAN und Router aufs Internet zu.
Nun gibt es noch PC A1 und PC A2
A0, A1, A2 sind untereinander durch einen Switch per 1GB-Ethernet verbunden (NETZ 3)
A1 und A2 sollen über A0 transparent ins Internet gelangen können (also also ob A1 und A2 direkt am Router hängen würden).

Es soll kein Traffic zwischen PC A1 und A2 <--> PC B0, PC C0 möglich sein.

Spontan fällt mir da eine DMZ und NAT ein:
NETZ1: PC A0, B0, C0
NETZ2: PC A0
NETZ3: PC A0, A1, A2

wer kann mir sagen wie ich das auf A0 - Ubuntu (da auch gerne mit einer VM unter QEMU / KVM oder Virtualbox) einbruchsicher realisiere?

SPINA · 05.05.2012, 14:06

Ich würde das einfacher angehen und hinter den Router einen Managed Switch mit 802.1Q Unterstützung hängen.
Dann kannst du für jedes der Teilnetze ein statisches VLAN auf dem entsprechenden Port aufspannen und fertig.

Dann sparst du dir den ganzen Aufwand mit den fehleranfälligen Firewallregeln für eine DMZ.

JKuehl · 05.05.2012, 14:56

Das geht nicht.

Die Strecke Router <--WLAN---> PC A0 ist vorgegeben.

Das muss doch mit einer einfachen VM die eine DMZ realisiert, oder einem VLAN einfach machbar sein....

SPINA · 05.05.2012, 15:03

Dann setz an die Stelle von PC A0 einen WLAN Access Point, der einen Client Mode beherrscht und häng dahinter das Switch für die VLANs.

JKuehl · 05.05.2012, 15:14

Und wer zahlt das? ;-)

Wobei, ich hätte noch ne Easybox 80x, mal schauen ob die da was bietet... Das löst aber immer noch nicht das VLAN-Problem; den Switch müsste ich auch erst kaufen.

Sowei ich verstehe braucht man für eine DMZ drei NICS:
1) eine externe (WLAN)
2) eine die zwischen extern und intern vermittelt (eine VM - ich könnte auch eine dritte Karte einbauen) und
3) eine interne (das ist die Gigabit-NIC)

ghostadmin · 05.05.2012, 19:12

Nimm doch einfach "Passwörter" oder vermutest du potentielle Hacker unter den Mitbewohnern?

Eine DMZ erfordert entweder mehrere NICs oder VLANs.

JKuehl · 05.05.2012, 19:17

2 NICs sind vorhanden (WLAN und ETH), eine dritte kann man ja per VM bereitstellen oder ich baue dort noch eine PCIe ein.

Die Netzwerkstruktur an sich ist noch etwas komplexer, daher soll es in dieser kleinen Einheit gelöst werden.

Leider hat der Ubuntu Rechner keine Intel - dort gibts nämlich die Möglichkeit direkt in der Karte VLANs einzurichten (bei meinem Sabertooth geht das z.B.)

ghostadmin · 05.05.2012, 20:54

Linux kann auch so VLAN

JKuehl · 05.05.2012, 21:18

Okay.. aber dennoch die Frage: wie erreiche ich mein Ziel am besten ohne zusätzliche Hardware zu kaufen?

eR1K1 · 06.05.2012, 14:40

Wie schon gesagt wurde, durch Firewallregeln auf den jeweiligen Clients, das ist die billigste Lösung.
Aber dafür auch die aufwendigste.
Wenn du je Netz ein Gateway hast, dann reicht es wenn du auf den Gateways die ACLs anlegst.

04.05.2012, 15:22	Posting #1 (im Thread / einzeln)
JKuehl Grand Admiral Special Registriert seit: 22.06.2003 Ort: Mainz Beiträge: 5.213	DMZ für WG Hallo Netzwerkspezialisten! Für eine WG suche ich folgende Lösung: Router (NETZ 1) PC A0 (WLAN) PC B0 (WLAN) PC C0 (WLAN) PC A (Ubuntu 12.04 LTS) greift also über WLAN und Router aufs Internet zu. Nun gibt es noch PC A1 und PC A2 A0, A1, A2 sind untereinander durch einen Switch per 1GB-Ethernet verbunden (NETZ 3) A1 und A2 sollen über A0 transparent ins Internet gelangen können (also also ob A1 und A2 direkt am Router hängen würden). Es soll kein Traffic zwischen PC A1 und A2 <--> PC B0, PC C0 möglich sein. Spontan fällt mir da eine DMZ und NAT ein: NETZ1: PC A0, B0, C0 NETZ2: PC A0 NETZ3: PC A0, A1, A2 wer kann mir sagen wie ich das auf A0 - Ubuntu (da auch gerne mit einer VM unter QEMU / KVM oder Virtualbox) einbruchsicher realisiere?

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

05.05.2012, 14:06	Posting #2 (im Thread / einzeln)
SPINA Grand Admiral Special Registriert seit: 07.12.2003 Beiträge: 14.110	Ich würde das einfacher angehen und hinter den Router einen Managed Switch mit 802.1Q Unterstützung hängen. Dann kannst du für jedes der Teilnetze ein statisches VLAN auf dem entsprechenden Port aufspannen und fertig. Dann sparst du dir den ganzen Aufwand mit den fehleranfälligen Firewallregeln für eine DMZ.

05.05.2012, 14:56	Posting #3 (im Thread / einzeln)
JKuehl Grand Admiral Special Registriert seit: 22.06.2003 Ort: Mainz Beiträge: 5.213	Das geht nicht. Die Strecke Router <--WLAN---> PC A0 ist vorgegeben. Das muss doch mit einer einfachen VM die eine DMZ realisiert, oder einem VLAN einfach machbar sein....

05.05.2012, 15:03	Posting #4 (im Thread / einzeln)
SPINA Grand Admiral Special Registriert seit: 07.12.2003 Beiträge: 14.110	Dann setz an die Stelle von PC A0 einen WLAN Access Point, der einen Client Mode beherrscht und häng dahinter das Switch für die VLANs.

05.05.2012, 15:14	Posting #5 (im Thread / einzeln)
JKuehl Grand Admiral Special Registriert seit: 22.06.2003 Ort: Mainz Beiträge: 5.213	Und wer zahlt das? ;-) Wobei, ich hätte noch ne Easybox 80x, mal schauen ob die da was bietet... Das löst aber immer noch nicht das VLAN-Problem; den Switch müsste ich auch erst kaufen. Sowei ich verstehe braucht man für eine DMZ drei NICS: 1) eine externe (WLAN) 2) eine die zwischen extern und intern vermittelt (eine VM - ich könnte auch eine dritte Karte einbauen) und 3) eine interne (das ist die Gigabit-NIC)

05.05.2012, 19:12	Posting #6 (im Thread / einzeln)
ghostadmin Grand Admiral Special Registriert seit: 11.11.2001 Ort: Dahoam Studios Beiträge: 9.376	Nimm doch einfach "Passwörter" oder vermutest du potentielle Hacker unter den Mitbewohnern? Eine DMZ erfordert entweder mehrere NICs oder VLANs.

05.05.2012, 19:17	Posting #7 (im Thread / einzeln)
JKuehl Grand Admiral Special Registriert seit: 22.06.2003 Ort: Mainz Beiträge: 5.213	2 NICs sind vorhanden (WLAN und ETH), eine dritte kann man ja per VM bereitstellen oder ich baue dort noch eine PCIe ein. Die Netzwerkstruktur an sich ist noch etwas komplexer, daher soll es in dieser kleinen Einheit gelöst werden. Leider hat der Ubuntu Rechner keine Intel - dort gibts nämlich die Möglichkeit direkt in der Karte VLANs einzurichten (bei meinem Sabertooth geht das z.B.)

05.05.2012, 20:54	Posting #8 (im Thread / einzeln)
ghostadmin Grand Admiral Special Registriert seit: 11.11.2001 Ort: Dahoam Studios Beiträge: 9.376	Linux kann auch so VLAN

05.05.2012, 21:18	Posting #9 (im Thread / einzeln)
JKuehl Grand Admiral Special Registriert seit: 22.06.2003 Ort: Mainz Beiträge: 5.213	Okay.. aber dennoch die Frage: wie erreiche ich mein Ziel am besten ohne zusätzliche Hardware zu kaufen?

06.05.2012, 14:40	Posting #10 (im Thread / einzeln)
eR1K1 Vice Admiral Special Registriert seit: 12.01.2008 Ort: Berlin Beiträge: 769	Wie schon gesagt wurde, durch Firewallregeln auf den jeweiligen Clients, das ist die billigste Lösung. Aber dafür auch die aufwendigste. Wenn du je Netz ein Gateway hast, dann reicht es wenn du auf den Gateways die ACLs anlegst.