Luca Bertoncello lucabert@lucabert.de (So 05 Sep 2010 07:55:15 CEST):
Und die Idee gefällt mir nicht... Ich hätte lieber EIN Firewall, anstatt zwei... Ansonsten, jedes Mal, daß ich eine Änderung durchführen muß, muß ich an zwei Stellen das gleiche (oder fast) machen. Und das kann zur Fehler führen.
Wieso, auf dem Server konfigurierst Du die Firewall doch nur soweit, wie es die Dienste des Servers erfordern. Also für den Selbstschutz. Ich denke, die Verwendung eines Gateways, nur um eine Firewall zu haben, ist in dieser Konstellation nicht notwendig.
Und an zwei Stellen mußt Du auch nicht das (fast) gleiche eintragen. Wenn der Server sich selbst schützt, mußt Du das auf einer anderen Firewall nicht mehr tun.
Du hast fast Recht... :)
Das Problem ist, daß die VLANs nicht miteinander sprechen müssen. Sie sind verschiedene Netze, für verschiedene Zwecke, mit verschiedenen Rechten. Also, der Gateway ist doch auch eine Firewall zwischen den VLANs. Und wenn es schon das macht, finde ich sinnvoller alles von ihm machen zu lassen.
Solange Dein Server kein Forwarding macht, solltest Du Dir auch keine Gedanken machen müssen, daß die VLANs über ihn miteinander sprechen. Als passive Sicherheit: der Server ist ja sicher nicht als GW in den Clients eingetragen, von daher sollten sie auch nicht auf die Idee kommen, den Server als GW zu nutzen. Es spricht also nichts dagegen, den Server in alle VLANs zu hängen. Aus meiner bescheidenen Sicht. Und VLAN-Karten kosten nicht so viel :)