öffentliche Netz bei ISP absichern
Verfasst: Di 13.05.2014, 08:59
Guten Tag,
folgendes Szenario:
wir haben ein Klasse C Netz x.x.x.x/28 mit insgesamt 13 uns zur verfügung stehende IPs. Hierbei ist x.x.x.14 das Gateway und x.x.x.15 Broacast.
In diesem Netz haben wir einige Server, die jeweils mit einem öffentlichen IP aus dem besagten Subnet ausgestattet sind, und unterschiedliche Web und DB Anwendungen für unsere Anwender breitstellen.
Wir möchten nun eine Firewall, welches wir nun zwischen dem Cisco Switch des Providers und unserem Switch, an den alle Server hängen anschließen können, um darüber einzelne Ports / Portbereiche für die einzelnen IPs im Subnet zu sperren / auf IP basis beschränken bzw. freizugeben.
Weiterhin brauchen wir eine VPN Funktionalität, worüber sich unsere Entwickler ins Netzwerk einwählen können.
Momentan realisieren wir das Ganze über einige ACLs an eine kleine Layer2 Switch, welches zwischen dem Provider Switch und unsere Server angeschlossen ist.VPN ist hierüber natürlich nicht möglich, auch ist die Konfiguration und die generelle Leistungsfähigkeit diese Lösung verbesserungswürdig, sodass wir die ACLs gerne auf einem Firewall legen wollten.
Wir hatten mit exakt diese Anforderung über unserem Händler nach eine passende SecurePoint Appliance angefragt. Herausgekommen ist ein RC150 Appliance, welches in diese Form auf ihre Homepage nicht Dokumentiert ist und wohl eine Sonderkonfiguration darstellt. Das Gerät ist mit eine OS 10.6.4 ausgeliefert. (Gegenstand eine zweite Forumseintrages)
Können sie mir bitte nun ein tipp geben, wie ich die externe und interne Schnittstellen in der uns vorliegende Konstellation zu konfigurieren habe?
Ich hatte zuerst versucht, sowohl eth0 (externe Schnittstelle), sowie eth1 (interne Schnittstelle) eine IP aus unserem Subnet zu geben. Diese Vorgehensweise wird aber wohl nicht unterstützt, da die OS das nicht erlaubt.
Wie Kann man den Appliance als Firewall und VPN Gateway, in eine Konstellation wie angegeben, wo die Maschinen in eine öffentlichen Subnet liegen und alle somit über öffentliche IP Adressen verfügen konfigurieren.
Wir danke ihnen vielmals für ihren wertvollen und geschätzten Support.
Gruß
n yasseri
folgendes Szenario:
wir haben ein Klasse C Netz x.x.x.x/28 mit insgesamt 13 uns zur verfügung stehende IPs. Hierbei ist x.x.x.14 das Gateway und x.x.x.15 Broacast.
In diesem Netz haben wir einige Server, die jeweils mit einem öffentlichen IP aus dem besagten Subnet ausgestattet sind, und unterschiedliche Web und DB Anwendungen für unsere Anwender breitstellen.
Wir möchten nun eine Firewall, welches wir nun zwischen dem Cisco Switch des Providers und unserem Switch, an den alle Server hängen anschließen können, um darüber einzelne Ports / Portbereiche für die einzelnen IPs im Subnet zu sperren / auf IP basis beschränken bzw. freizugeben.
Weiterhin brauchen wir eine VPN Funktionalität, worüber sich unsere Entwickler ins Netzwerk einwählen können.
Momentan realisieren wir das Ganze über einige ACLs an eine kleine Layer2 Switch, welches zwischen dem Provider Switch und unsere Server angeschlossen ist.VPN ist hierüber natürlich nicht möglich, auch ist die Konfiguration und die generelle Leistungsfähigkeit diese Lösung verbesserungswürdig, sodass wir die ACLs gerne auf einem Firewall legen wollten.
Wir hatten mit exakt diese Anforderung über unserem Händler nach eine passende SecurePoint Appliance angefragt. Herausgekommen ist ein RC150 Appliance, welches in diese Form auf ihre Homepage nicht Dokumentiert ist und wohl eine Sonderkonfiguration darstellt. Das Gerät ist mit eine OS 10.6.4 ausgeliefert. (Gegenstand eine zweite Forumseintrages)
Können sie mir bitte nun ein tipp geben, wie ich die externe und interne Schnittstellen in der uns vorliegende Konstellation zu konfigurieren habe?
Ich hatte zuerst versucht, sowohl eth0 (externe Schnittstelle), sowie eth1 (interne Schnittstelle) eine IP aus unserem Subnet zu geben. Diese Vorgehensweise wird aber wohl nicht unterstützt, da die OS das nicht erlaubt.
Wie Kann man den Appliance als Firewall und VPN Gateway, in eine Konstellation wie angegeben, wo die Maschinen in eine öffentlichen Subnet liegen und alle somit über öffentliche IP Adressen verfügen konfigurieren.
Wir danke ihnen vielmals für ihren wertvollen und geschätzten Support.
Gruß
n yasseri