Router für mehrerer statische IP Adressen

Fragen rund um die Themen Netzwerk und Technik, die keinem Betriebssystem zuzuordnen sind. Beiträge rund um Hardware gehören auch hier rein (ausser bei Treiber-Fragen, diese dann im jeweiligen Subforum des passenden Betriebssystemes stellen).

Router für mehrerer statische IP Adressen

Beitragvon tommyboy » Fr 09 Dez, 2005 09:30

Hallo,

Ich habe einen Internetzugang mit 5 nutzbaren statischen IP Adressen (Inode Business ADSL silber). Nun bin ich auf der Suche nach einer erschwinglichen Firewall die mit mehreren IP Adressen umgehen kann. Ich möchte vor allem Portforwardings auf interne Server einrichten, nämlich so:

öffentlicheIP1:3389 --> 192.168.100.1:3389
öffentlicheIP1:1723 --> 192.168.100.1:1723
öffentlicheIP2:3389 --> 192.168.100.2:3389
öffentlicheIP3:3389 --> 192.168.100.3:3389
öffentlicheIP3:995 --> 192.168.100.3:995
öffentlicheIP3:443 --> 192.168.100.3:443

Am ehesten hätte ich an die Zyxel Zywall2 gedacht, aber ein Mitarbeiter der Supporthotline sagt mir dass die Zywall2 nicht mit mehreren IP Adressen umgehen kann, sondern nur mit einer. Allerdings steht im Handbuch auf der Homepage von Zyxel wieder beschrieben wie man sowas mit der Zywall2 einrichtet.

Hat jemand von euch die Zywall2 in Verwendung? Ist es überhaupt möglich von einer öffentlichen IP nur einen bestimmten Port auf einen internen Server weiterzuleiten oder kann man nur komplett durchnatten?
Oder weiß jemand ein alternatives Produkt, wenn möglich bis max. € 250,-

Danke vorab!
Thomas
tommyboy
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 36
Registriert: Di 04 Jan, 2005 10:26
Wohnort: Krems a.d. Donau

Beitragvon al » Fr 09 Dez, 2005 10:53

@tommyboy:
Das Feature heißt Multi-NAT und ja, natürlich kannst Du o.e. machen, sprich 4 IP-Adressen 1:1 natten und eine 1:N.

Ich halte das erwähnte Setup nur security-technisch nicht für gscheit. Besser wäre eine DMZ (oder die Server - entsprechend abgesichert - vor die Firewall zu setzen).

Auch würde ich mir überlegen, ev. statt der ZyWall 2 eine (oder zwei) P1 zu nehmen... oder gleich eine ZyWall 5...

Servus,
/al
Bild
[falls Du verkaufstechnische (oder sonstige, die nicht ins Forum gehören) Fragen hast, bitte Mail an zyxel -at- lab # at]
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon tommyboy » Fr 09 Dez, 2005 10:58

Warum hältst du das security-technisch für nicht gescheit?

Eine Frage hab ich noch zum Multi-NAT: Soweit ich das verstanden hab wird dabei eine öffentliche IP genau einem internen Rechner zugeordnet. Wie kann ich dabei erreichen dass dabei nur ein bestimmter Port oder mehrere bestimmte Ports durchgelassen werden?
tommyboy
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 36
Registriert: Di 04 Jan, 2005 10:26
Wohnort: Krems a.d. Donau

Beitragvon al » Fr 09 Dez, 2005 11:13

Weil LANseitig die Server, die angreifbar sind, das zu schützende LAN erreichen können. Dazu wäre eben eine DMZ gut, diesen Zugriff zu unterbinden.

Wie kann ich dabei erreichen dass dabei nur ein bestimmter Port oder mehrere bestimmte Ports durchgelassen werden?


Indem Du die Firewall entsprechend konfigurierst... ;)

BTW, unter http://www.zyxeltech.de/ kannst Du Dir die div. Webinterfaces anschauen, eben auch das von v4 (ZyWall 35/70, das gibt's abgespeckt bis hinunter zur P1) bzw. das von v3.62 von der ZyWall 2.

//edit:
Ich muß mich insofern korrigieren: das P1 hat derzeit nur v3.64 und kann damit nur Port-Forwarding, kein Full Feature NAT. Irgendwann wird's angeblich auch die v4 für's P1 geben, ob sich da NAT-technisch was ändert, weiß ich nicht.

HTH
/al
Zuletzt geändert von al am Fr 09 Dez, 2005 11:59, insgesamt 1-mal geändert.
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon tommyboy » Fr 09 Dez, 2005 11:57

Danke ;-)

Meine Frage hat sich eigentlich auf das 1:1 NAT bezogen, speziell auf die Konfiguration. Dort lege ich ja an öffentlicheIP1 --> Server1
Steht damit der Server1 ungeschützt im Internet oder wird so erst mal nichts weitergeleitet bis ich in der Firewall konfiguriere z.B. öffentlicheIP1:3389 --> Server1:3389
tommyboy
Junior Board-Mitglied
Junior Board-Mitglied
 
Beiträge: 36
Registriert: Di 04 Jan, 2005 10:26
Wohnort: Krems a.d. Donau

Beitragvon al » Fr 09 Dez, 2005 12:07

1:1 NAT heißt nur, daß die source/destination IP address umgesetzt wird. Mehr nicht. Nur die Firewall regelt, welche Ports/Services durchgelassen werden und welche nicht.

Und Einstellungsmäßig heißt das eben nur: die IP wird zu jener (oder die Range zu jener, wobei ich jetzt nicht auswendig weiß, ob die ZyWall2 "Many One-to-One" kann).

/al
Wer entbündelt wo? - http://entbuendelt.at
al
Board-User Level 3
Board-User Level 3
 
Beiträge: 1091
Registriert: Sa 13 Nov, 2004 11:59
Wohnort: Hawei

Beitragvon superracer » Fr 09 Dez, 2005 13:45

die meisten leute vergessen, daß sich NAT wirklich nur auf die netzwerk-, sprich ip-adressen bezieht, und die parameter der höheren protokolle (also z.b. die ports von tcp/udp) dabei völlig irrelevant und transparent sind. nur ist es so, daß die am weitesten verbreitete variante von NAT (N:1 NAT, oder overloaded NAT) nur richtig funktionieren kann, wenn auch PAT im spiel ist. und erst mit PAT wird port forwarding u.ä. nötig.
superracer
Board-User Level 3
Board-User Level 3
 
Beiträge: 1073
Registriert: So 04 Jul, 2004 11:18


Zurück zu TECHNIK, NETZWERK & HARDWARE

Wer ist online?

Mitglieder in diesem Forum: DotNetDotCom [Crawler] und 22 Gäste