mboost-dp1
To forbindelser på samme firewall
Jeg skulle nok have hørt mere efter i sin tid, da vi havde Cisco i skolen, men det er jo lidt sent nu.
Anyways, casen er:
Vi har en forbindelse med én offentlig IP. Der er forbundet en firewall til denne forbindelse - firewallen har 8 lan-porte og en wan-port.
På lan-siden skal vi have lavet to seperate netværk - enten fysisk eller via VLAN - der ikke kan nå hinanden, men som stadig begge kan komme på nettet via den samme firewall.
Hvad vil være den nemmeste/bedste måde at gøre det på?
Anyways, casen er:
Vi har en forbindelse med én offentlig IP. Der er forbundet en firewall til denne forbindelse - firewallen har 8 lan-porte og en wan-port.
På lan-siden skal vi have lavet to seperate netværk - enten fysisk eller via VLAN - der ikke kan nå hinanden, men som stadig begge kan komme på nettet via den samme firewall.
Hvad vil være den nemmeste/bedste måde at gøre det på?
Kender ikke så meget til Sonicwalls desværre men i princippet skal du have oprettet en zone for sig selv hvor du definerer access lister der dikterer at trafikken kun må gå ud på wan interfacet og ikke over til LAN siden.
Hvis der er en DMZ der ikke bliver brugt kan du evt. benytte denne. Det er dog kun en fordel hvis du ikke ved hvordan du opretter zoner eller hvordan du sætter interfaces/vlans på disse.
Hvis der er en DMZ der ikke bliver brugt kan du evt. benytte denne. Det er dog kun en fordel hvis du ikke ved hvordan du opretter zoner eller hvordan du sætter interfaces/vlans på disse.
XorpiZ (3) skrev:Jeg mener det er en Sonicwall TZ-170, men det er jeg lidt usikker på.
Men ja, det ser ud til at være en ganske elegant løsning det der.
Hva' satan findes de endnu...
Der er/var ikke accesslister som vi kender det fra cisco på sonicwall. Jeg er meget i tvivl om hvorvidt de overhovedet understøtter flere net. Så du er nok i virkeligheden nødt til at bruge lan og dmz som Atom er inde på.
Har du planer om at tillade nogen form for forbindelser udefra til et af lokalnettene?
I princippet er der ikke noget problem i det du efterspørger. Den præcise måde at sætte det op på afhænger dog af firewallen, og jeg har heller ikke noget kendskab til Sonicwall.
Hvis der tillades forbindelser fra Internettet til lokalnettet, så bør du sørge for at de forbindelser også tillades fra maskiner på lokalnettet. Det vil sige at din firewall kan blive nødt til at lave NAT mellem to maskiner på samme segment på lokalnettet eller mellem to maskiner på hvert sit segment.
Der er to måder at undgå det besvær som sidstnævnte giver. Enten lad være med at tillade forbindelser fra Internettet til lokalnettet, eller anskaf dig flere offentlige IP adresser.
I princippet er der ikke noget problem i det du efterspørger. Den præcise måde at sætte det op på afhænger dog af firewallen, og jeg har heller ikke noget kendskab til Sonicwall.
Hvis der tillades forbindelser fra Internettet til lokalnettet, så bør du sørge for at de forbindelser også tillades fra maskiner på lokalnettet. Det vil sige at din firewall kan blive nødt til at lave NAT mellem to maskiner på samme segment på lokalnettet eller mellem to maskiner på hvert sit segment.
Der er to måder at undgå det besvær som sidstnævnte giver. Enten lad være med at tillade forbindelser fra Internettet til lokalnettet, eller anskaf dig flere offentlige IP adresser.
kasperd (7) skrev:Har du planer om at tillade nogen form for forbindelser udefra til et af lokalnettene?
Det kan jeg ikke svare på. Problemet er, at vi (måske) får en lejer ind, der skal bruge vores forbindelse, men ikke have adgang til vores LAN.
Går det helt galt, må vi jo bede dem om at købe en ny firewall :)
XorpiZ (8) skrev:Det kan jeg ikke svare på. Problemet er, at vi (måske) får en lejer ind, der skal bruge vores forbindelse, men ikke have adgang til vores LAN.
Går det helt galt, må vi jo bede dem om at købe en ny firewall :)
jeg ville nok satse på en ny fw. TZ-170 er ved at være en gammel satan efterhånden. Den er sikkert eol og hvad har vi efterhånden.
Og med en soho fw som 170'eren er vil throughput formentlig lide under 2 foskellige virksomheders (?) brug.
Jeg ville se på Checkpoint, fortinet eller juniper hvis jeg stod i din situation. Det skal retfærdigvis siges at jeg arbejder i et konsulent hus hvor vi sælger checkpoint og fortinet så jeg er en smule biased i den retning.
Hvis du modsat mig er glad for sonicwall kan man vel stadig få en sådan satan. Og hvis budgettet er lille kan man se på watchguard. Det er om muligt endnu værre at arbejde med end sonicwall men det er billigt,
Hvis du lader dem købe firewallen, så er det jo også dem der bestemmer, hvordan den bliver konfigureret. Og det er du jo ikke interesseret i.XorpiZ (8) skrev:Problemet er, at vi (måske) får en lejer ind, der skal bruge vores forbindelse, men ikke have adgang til vores LAN.
Går det helt galt, må vi jo bede dem om at købe en ny firewall :)
Jeg foreslår at du overvejer følgende design:
- Anvend tre separate stykker hardware en NAT router og to firewalls.
- NAT routeren har den offentlige IP og kan om nødvendigt konfigureres til at forwarde til en IP på lokalnettet.
- Hver firewall er ansvarlig for et af de to lokalnet og skal forhindre uautoriserede forbindelser uderfra til det lokalnet. De to firewalls kan være stateless.
Selvom du ender med at vælge en løsning med færre hardware enheder, så skal du huske på det foreslåede design, for målet er i princippet at lave en opsætning som giver samme resultat, som de tre enheder ville have givet.
Nogle fejl er nemmere at undgå hvis man gennemtænker de tre konfigurationer hver for sig.
En ulempe ved at dele det op i tre enheder som skitseret er at UPnP ikke virker. Det kan man undgå ved at vælge en bridging firewall.
Jeg har nu også gode erfaringer med software løsninger som pfsense, på arbejde bruger vi en gammel computer (gratis) med nogle Intel PRO/1000 NIC'er i. Løsningen kører utroligt stabilt og den håndterer både OpenVPN og en 60/60 Mbit forbindelse. Vi har ikke det store antal sessioner kørende da virksomheden er lille, men det virker rigtigt fint.
I hjemmet bruger jeg en virtuel pfsense, den har kørt fint uafbrudt i cirka 400 dage uden at blive ustabil eller ligende. Den har så vidt jeg kan se de samme muligheder som de fleste professionelle løsninger.
Jeg ved ikke om administrationsmængden er større, men jeg vil anbefale at prøve det!
I hjemmet bruger jeg en virtuel pfsense, den har kørt fint uafbrudt i cirka 400 dage uden at blive ustabil eller ligende. Den har så vidt jeg kan se de samme muligheder som de fleste professionelle løsninger.
Jeg ved ikke om administrationsmængden er større, men jeg vil anbefale at prøve det!
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund