Luca Bertoncello lucabert@lucabert.de (Sa 04 Sep 2010 21:07:17 CEST):
Heiko Schlittermann hs@schlittermann.de schrieb:
Ja, aber warum hängst Du den Server nicht an einen getaggten Switchport und konfigurierst auf dem Server für alle VLANs eigene Interfaces?
Dann kannst Du auch Iptables für alle ethX.Y ordentlich konfigurieren oder ggf. einzelne Dienste nur auf den Interfaces/Adressen starten, auf denen sie gebraucht werden.
Hallo, Heiko!
Ja, klar! Da habe ich eigentlich schon gemacht, aber dann muß ich mit IPTables auch auf dem Server ein "mini-Firewall" einrichten.
Was ja nicht so die große Aktion ist.
Und die Idee gefällt mir nicht... Ich hätte lieber EIN Firewall, anstatt zwei... Ansonsten, jedes Mal, daß ich eine Änderung durchführen muß, muß ich an zwei Stellen das gleiche (oder fast) machen. Und das kann zur Fehler führen.
Wieso, auf dem Server konfigurierst Du die Firewall doch nur soweit, wie es die Dienste des Servers erfordern. Also für den Selbstschutz. Ich denke, die Verwendung eines Gateways, nur um eine Firewall zu haben, ist in dieser Konstellation nicht notwendig.
Und an zwei Stellen mußt Du auch nicht das (fast) gleiche eintragen. Wenn der Server sich selbst schützt, mußt Du das auf einer anderen Firewall nicht mehr tun.