am 11.03.2004, um 15:15:14 +0100 mailte Thomas Schmidt folgendes:
Hallo Lug!
Ich habe fünf Netzwerkstücke: 1-Internet (Router, Firewall, VPN-Server) 2-Server (File/Datenbank/Mail/Web) darf zu allen Kontakt aufnehmen 3-Gruppe A: darf nur an den Server (Daus mit besonders wichtigen Anwendungen) 4-Gruppe B: darf nur an den Server und ins Internet (auch Daus) 5-Gruppe C: darf nur an den Server und ins Internet (Trojanerimporteure)
Was ist Unterschied zwischen 4 und 5? Daus und Trojanerimporteure sind (für mich) dasselbe.
Die Gruppen können intern kommunizieren. Also brauche ich eine Kiste mit fünf Anschlüssen, die das alles verbindet und sich weigert, Pakete von 1<->3, 3<->4, 4<->5 und 3<->5 auszuliefern. Ein erweiterter Switch, oder? Gibt es so etwas oder gehe ich die Aufgabe falsch an? Zweck soll sein, daß dann nur noch der Server ein Sicherheitsproblem
Bietest Du Dienste im Internet an?
ja: Kiste mit 3 NICs, Internet, lokales netz, DMZ
nein, was ich eher vermute:
Kiste mit 2 NICs. Dadrauf iptables. Ins interne Netz die Server. Einen Rechner als Proxy (Squid). Mit dem kannst Du ACLs definieren, recht umfangreich. Keine Default-Route von den Clients nach draußen setzen.
Andreas