Wie trenne ich 2 Netze voneinander z.B. LAN und DMZ-Sufnetz?

**ba0645** · 24.01.2012 18:06

Hallo,

ich habe folgendes Problem: Ich habe folgende Schnittstellen:
eth0: internes Firmennetz
eth1: DSL/Router, Einwahl macht der Intranator
eth2: Surfnetz über den Intranator ins Internet mit DHCP.

In der Firewallregelliste für DMZ BasisLAN habe ich ein Deny für Packete von eth0 auf eth2
und ein Deny für eth2 auf eth0.
Trotzdem kann ich vom Surfnetz ins LAN pingen etc.
Ich möchte die Netze aber gerne komplett trennen. Beide sollen ins Internet, sich aber nicht gegenseitig sehen.

Was mache ich hier falsch? Habe ich etwas übersehen?

Würde mich über einen Tip sehr freuen.

DANKE

**Gerd von Egidy** · 25.01.2012 16:37

Hallo,

ich weiß nicht was Sie bei "DMZ BasisLAN" konfiguriert haben. Wenn Sie dort eine Weiterleitung an Basis LAN drin haben, ist ein Ping auf den Intranator auf allen seinen IPs (also auch auf der im anderen Netz) noch möglich. Wenn Sie eine Weiterleitung an "Basis LAN und lokale Netze" drin haben passiert was Sie hier nicht wollen: Sie haben Vollzugriff auf alle lokalen Netze.

Spannend ist auch wie Sie die Firewall-Regelliste aktiviert haben. Sie können sie ja auf der einen Seite der Schnittstelle eth2 zuordnen. Diese Zuordnung greift aber nur für Rechner, die nicht explizit angelegt wurden oder eine IP per DHCP erhalten haben. Explizit angelegte Rechner bekommen individuell unter Netzwerk > Intranet > Rechner eine Regelliste zugeordnet, per DHCP vergebene IPs beziehen ihre Anfangsrechte von der Einstellung unter Netzwerk > Intranet > Bereiche. Die dort eingestellten Firewall-Regellisten sind also für Ihre Konfiguration wichtig.

Herzliche Grüße,

v. Egidy

**ba0645** · 25.01.2012 19:29

Hallo Gerd von Egidy,

erst mal Danke für die Antwort.

eth0 hat als Regel "Basis LAN und lokale Netze"
eth2 hat als Regel "DMZ Basis LAN" (ist eine Kopie von Basislan mit zwei DENY-Regeln am Anfang:
Regel 1: eth2 - eth0 alles verbieten
Regel 2: eth0 - eth2 alles verbieten

Muß ich damit das klappt die Schnittstelle eth0 auf "Basis LAN" also ohne lokale Netze umstellen?

Die Rechner in diesem Surfnetz bekommen Ihre IP vom DHCP und da ist in dem entsprechenden Bereich auch "DMZ Basis LAN" eingestellt.

Gruß
ba0645

**Gerd von Egidy** · 26.01.2012 11:52

Hallo,

Zitat von ba0645

eth0 hat als Regel "Basis LAN und lokale Netze"

Diese Regelliste erlaubt den Vollzugriff auf alle lokalen Netze. Damit kann also aus dem Netz eth0 auf eth2 zugegriffen werden.

Zitat von ba0645

Muß ich damit das klappt die Schnittstelle eth0 auf "Basis LAN" also ohne lokale Netze umstellen?

Ja, bedenken Sie aber auch hier daß Einstellungen unter Netzwerk > Intranet > Rechner Vorrang vor der unter der Schnittstelle eingestellten Firewall Regelliste haben. Sie müssen also evtl. auch die dort vergebenen Regellisten anpassen.

Herzliche Grüße,

v. Egidy

**ba0645** · 28.01.2012 14:10

So, alles eingestellt, den Rechner unter Netze-Intranet-Rechner entfernt.
Jetzt muß sich zeigen ob alles klappt. Melde mich wieder wenn ich alles getestet habe ;-)

Vorab erst mal Danke

**ba0645** · 05.02.2012 17:01

Hallo,
sorry, dass ich mich erst jetzt melde. Es hat jetzt alles geklappt.
Fehler war zum Schluß noch das ich beim internen Netz auch "BasisLAN und lokale Netze" eingestellt hatte.
Nachdem ich wirklich alles auf "BasisLAN" umgestellt hatte funktioniert nun alles wie es sollte.

1000 DANK für die Hilfe

Gruß
ba0645

Thema: Wie trenne ich 2 Netze voneinander z.B. LAN und DMZ-Sufnetz?

Themen-Optionen

Thema bewerten

Anzeige

Wie trenne ich 2 Netze voneinander z.B. LAN und DMZ-Sufnetz?

Berechtigungen