xDSL.at

[tommyboy]

Hallo,

Ich habe einen Internetzugang mit 5 nutzbaren statischen IP Adressen (Inode Business ADSL silber). Nun bin ich auf der Suche nach einer erschwinglichen Firewall die mit mehreren IP Adressen umgehen kann. Ich möchte vor allem Portforwardings auf interne Server einrichten, nämlich so:

öffentlicheIP1:3389 --> 192.168.100.1:3389
öffentlicheIP1:1723 --> 192.168.100.1:1723
öffentlicheIP2:3389 --> 192.168.100.2:3389
öffentlicheIP3:3389 --> 192.168.100.3:3389
öffentlicheIP3:995 --> 192.168.100.3:995
öffentlicheIP3:443 --> 192.168.100.3:443

Am ehesten hätte ich an die Zyxel Zywall2 gedacht, aber ein Mitarbeiter der Supporthotline sagt mir dass die Zywall2 nicht mit mehreren IP Adressen umgehen kann, sondern nur mit einer. Allerdings steht im Handbuch auf der Homepage von Zyxel wieder beschrieben wie man sowas mit der Zywall2 einrichtet.

Hat jemand von euch die Zywall2 in Verwendung? Ist es überhaupt möglich von einer öffentlichen IP nur einen bestimmten Port auf einen internen Server weiterzuleiten oder kann man nur komplett durchnatten?
Oder weiß jemand ein alternatives Produkt, wenn möglich bis max. € 250,-

Danke vorab!
Thomas

[al]

@tommyboy:
Das Feature heißt Multi-NAT und ja, natürlich kannst Du o.e. machen, sprich 4 IP-Adressen 1:1 natten und eine 1:N.

Ich halte das erwähnte Setup nur security-technisch nicht für gscheit. Besser wäre eine DMZ (oder die Server - entsprechend abgesichert - vor die Firewall zu setzen).

Auch würde ich mir überlegen, ev. statt der ZyWall 2 eine (oder zwei) P1 zu nehmen... oder gleich eine ZyWall 5...

Servus,
/al

[falls Du verkaufstechnische (oder sonstige, die nicht ins Forum gehören) Fragen hast, bitte Mail an zyxel -at- lab # at]

[tommyboy]

Warum hältst du das security-technisch für nicht gescheit?

Eine Frage hab ich noch zum Multi-NAT: Soweit ich das verstanden hab wird dabei eine öffentliche IP genau einem internen Rechner zugeordnet. Wie kann ich dabei erreichen dass dabei nur ein bestimmter Port oder mehrere bestimmte Ports durchgelassen werden?

[al]

Weil LANseitig die Server, die angreifbar sind, das zu schützende LAN erreichen können. Dazu wäre eben eine DMZ gut, diesen Zugriff zu unterbinden.

Wie kann ich dabei erreichen dass dabei nur ein bestimmter Port oder mehrere bestimmte Ports durchgelassen werden?

Indem Du die Firewall entsprechend konfigurierst...

BTW, unter http://www.zyxeltech.de/ kannst Du Dir die div. Webinterfaces anschauen, eben auch das von v4 (ZyWall 35/70, das gibt's abgespeckt bis hinunter zur P1) bzw. das von v3.62 von der ZyWall 2.

//edit:
Ich muß mich insofern korrigieren: das P1 hat derzeit nur v3.64 und kann damit nur Port-Forwarding, kein Full Feature NAT. Irgendwann wird's angeblich auch die v4 für's P1 geben, ob sich da NAT-technisch was ändert, weiß ich nicht.

HTH
/al

[tommyboy]

Danke

Meine Frage hat sich eigentlich auf das 1:1 NAT bezogen, speziell auf die Konfiguration. Dort lege ich ja an öffentlicheIP1 --> Server1
Steht damit der Server1 ungeschützt im Internet oder wird so erst mal nichts weitergeleitet bis ich in der Firewall konfiguriere z.B. öffentlicheIP1:3389 --> Server1:3389

[al]

1:1 NAT heißt nur, daß die source/destination IP address umgesetzt wird. Mehr nicht. Nur die Firewall regelt, welche Ports/Services durchgelassen werden und welche nicht.

Und Einstellungsmäßig heißt das eben nur: die IP wird zu jener (oder die Range zu jener, wobei ich jetzt nicht auswendig weiß, ob die ZyWall2 "Many One-to-One" kann).

/al

[superracer]

die meisten leute vergessen, daß sich NAT wirklich nur auf die netzwerk-, sprich ip-adressen bezieht, und die parameter der höheren protokolle (also z.b. die ports von tcp/udp) dabei völlig irrelevant und transparent sind. nur ist es so, daß die am weitesten verbreitete variante von NAT (N:1 NAT, oder overloaded NAT) nur richtig funktionieren kann, wenn auch PAT im spiel ist. und erst mit PAT wird port forwarding u.ä. nötig.