Zugriff vom WAN auf Subnetz (Switch)

Najo, eigentlich ist eine DMZ genau dafür da - Zugriff von "intern" und "extern" - wobei sich das ganze noch im Einflussbereich von "intern" befindet. Deswegen ja auch "D"MZ - für alles andere heisst es ja auch "Schotten dicht!" 😁
wenn jeder Client aus dem "sauberen" LAN da seine Patschehände dran halten darf (und dann früher oder später auch IGITT wird).
Nur weil etwas von aussen erreichbar ist, heisst es nicht, dass es - früher oder später - auch "IGITT" wird und sich die Clients im LAN dann auch entsprechendes einhandeln. Zum einen wird auch nichts "einfach so" nach draussen gehängt (s. div. Firewall-Möglichkeiten, Reverse-Proxy, etc.), zum anderen laufen die Benutzer-Clients oftmals auch über entsprechende Proxies, welche dann auch noch div. Dinge filtern. Mitunter werden da auch "diverse" Stufen der Filterung durchlaufen.

Ein gutes Beispiel dafür wären z.B. Mailgateways. Hier gibt es i.d.R. nicht nur "ein" Gateway, mit 50 verschiedenen Filtern, sondern die Mails durchlaufen oftmals mehrere Gateway, welche alle ihren ganz eigenen Zweck haben, so kann man z.B. auch mehrere Gateways auf der Strecke mit div. AV-Produkten, Regelungen, usw. bereitstellen. Gehört ja heutzutage doch ein "bisschen" mehr zum Thema Mail als einfach "nur" Spam abzuwehren (zumindestens ab einer gewissen Größe). Zu diesem Zweck werden dann meist - wenn man es nicht selbst macht - einfach irgendwo externe Dienste angemietet (z.B. von der Firma Barracuda), wo die Mails dann erstmal hinwandern und - je nach Budget - gefiltert werden, bevor sie an den internen Mailserver zugestellt werden (dies ggf. auch wieder durch Gateways, man seine Sachen ja auch aufteilen, muss ja nicht "alles" angemietet werden).

Gibt halt schon einige Grundsätzliche Dinge an Schutzmaßnahmen und viele Privatanwender nutzen sie ja auch schon... Unterschiedliche Netze + sinnvolle Firewall-Regeln, Country-Blocking, RBLs, DNS-Filter (z.B. piHole/AdGuard), usw. Das kann man natürlich auch immer weiter ausbauen, ist aber für privat dann doch etwas "oversized" 😁 Viele Firewall-Anbieter grätschen auch in das Segment dazwischen (auch für Firmen bis zu einer gewissen Größe), weswegen so ziemlich alle Firewall-Appliances mit einem ganzen Sack von Funktionen daher kommen (kennt man ja schon von den NAS-Geräten), halte ich persönlich eher nicht soviel von, aber das ist dann auch eher Geschmackssache. Fakt ist jedenfalls, dass man viele dieser Dinge (Proxy, Mailgateway, usw.) auch direkt über "ein" Firewallsystem abwickeln kann. Auch wenn ich es persönlich nicht so toll finde, erstmal sind diese Funktionalitäten vorhanden und können entsprechend sinnvoll eingesetzt werden. Grade, wenn man nur 1 Gerät für sowas bereitstellen möchte, kann man da schon durchaus seine zusätzlichen Vorteile daraus ziehen.

Und natürlich sind auch Geräte in einer DMZ "potentiell" gefährdet, da ein Zugriff von aussen stattfindet (und es auch genau so gedacht ist), aber auch da kann man halt auch entsprechende Vorkehrungen treffen 🙃
 
Vielen Dank für deine Erläuterungen @blurrrr

Da ich nicht auf alle deine Aussagen eingehen möchte - ich hab ja verstanden, was du zum Ausdruck bringen wolltest - picke ich mir nur einen kleinen Teil raus.

Aber nur um das mal klarzustellen... Nur weil ich sage, dass "theoretisch" die Fritzbox nicht als "DMZ" zu missbrauchen ist (aufgrund der mangelnden Steuerungsmöglichkeiten), heisst das noch lange nicht, dass man das nicht machen "kann". Will man es "vernünftig" machen, taugt das Konzept so halt nicht, aber wenn die "Firewall" dann doch eher als "Upgrade" des vorherigen Konstrukts anzusehen ist (Fritzbox, das war's), kann ich schon verstehen, warum man Dinge gern erstmal in das Netz der Fritzbox packen möchte....

Genau das trifft bei mir zu. Bei mir wird die Fritzbox wohl stets das Bindeglied zwischen WAN und LAN bleiben, so jedenfalls der Stand heute. Die Firewall in Form einer pfSense verstehe ich nur als Upgrade. Wenn mein Sohn irgendwann mal auszieht (nur wegen seines Spieltriebs und seiner Experimentierfreude hat die Firewall bei uns Einzug erhalten), kann ich mir sehr gut vorstellen, wieder ein Downgrade zu machen, indem ich die Firewall wieder aus meinem LAN verbanne. Ich kann in diesen Dingen tatsächlich auch ziemlich Leidenschaftslos sein, ob man es glaubt, oder nicht.

Von daher werde ich mein Setup auch weiterhin guten Gewissens genauso betreiben, wie bisher. Das Einzige was ich evtl. vielleicht mal testen werde ist, die Firewall als Exposed Host in der Fritzbox zu deklarieren, um die doppelte Portweiterleitung zu umgehen, um hinter der Firewall dann eine DMZ einzurichten. Aber wie gesagt… eigentlich sehe ich in meinem Setup keinen Mehrwert dafür.

Tommes
 
Najo, das kann man ja auch durchaus machen - wie gesagt... "Schön" ist halt "anders", aber weisste... immer so, wie man a) mag und b) auch selbst handhaben kann, ganz einfach und ich sag mal so... würde ich mich an dem versuchen, was Du teilweise so machst... vielleicht würde ich es sogar schaffen (ohne dabei beide Hände zu verlieren), aber vermutlich wäre es nur für mich schön und falls nicht, eventuell noch funktional. Will damit sagen: Latten kann man sehr hoch hängen und wenn man vom Grundgedanken "mehr als nur ein Router" ausgeht, ist das ja auch durchaus so. Man kann (fast) immer alles "noch" besser/sicherer/hübscher/etc. machen, dagegen steht aber auch immer a) die Frage des Aufwandes, b) der "wirkliche" Mehrwert, c) die erhöhte Fehleranfälligkeit (wird auch oft vergessen), usw. Das gilt ja nicht nur in der IT bzw. beim Thema Firewall, das kann man schon recht allgemein dahinstellen ☺️

Genau das trifft bei mir zu.
Von daher werde ich mein Setup auch weiterhin guten Gewissens genauso betreiben, wie bisher.
Mach das und das ist auch gut so - nur weil "irgendwer" in den Raum wirft, wie es theoretisch "richtig" wäre, muss das noch lange nicht der eigene Weg sein. Ich hab es halt auch so "gelernt"... Wenn Du mir ein Stück Blech in die Hand drücken würdest und sagst "Mach mal dies und das damit..." (z.B. sowas wie Du für Deine Firewall gebaut hast (der 19"-Rahmen war doch für die Firewall, oder?)), klar würde ich da "irgendwas" hinkriegen, aber Du würdest vermutlich schreiend im Kreis rennen, wenn Du es sehen würdest. Macht aber nix, weil ich würde solange damit machen, bis es - für mich - "funktional" ist, fertig. So seh ich das halt auch... muss nicht schön sein, es muss funktional sein und "Dein" Konstrukt muss für "Dich" (und niemanden sonst) vernünftig wartbar sein - fertig 😊

kann ich mir sehr gut vorstellen, wieder ein Downgrade zu machen, indem ich die Firewall wieder aus meinem LAN verbanne
Naja, ich sag mal so... (mal ganz ab vom Thema "NGFW"), weswegen hab die meisten denn eine "Firewall"? Ein bisschen 0815-Firewall (Paketfilter/SPI), VPN und maximal noch VLAN (zur Netz-Segmentierung). Brauchst Du keine zusätzlichen Netze, fällt das Thema VLAN eigentlich schon raus. VPN kann die Fritzbox (in ihrem Maße halt) auch machen und Firewall... naja, wenn nix nach aussen freizugeben ist, nix darf rein, alles darf raus... damit ist das Thema dann eigentlich auch schon durch 😁

Weisste @Tommes, so hoch das Thema auch immer getragen wird ("privat")... Es gibt Millionen (oder gar Milliarden) von Menschen die privat auch sehr gut ohne all das auskommen, also von daher... egal ob Umbau, Ausbau oder Rückbau... dürfte alles legitim sein 😄
 
Man kann (fast) immer alles "noch" besser/sicherer/hübscher/etc. machen, dagegen steht aber auch immer a) die Frage des Aufwandes, b) der "wirkliche" Mehrwert, c) die erhöhte Fehleranfälligkeit (wird auch oft vergessen), usw. Das gilt ja nicht nur in der IT bzw. beim Thema Firewall, das kann man schon recht allgemein dahinstellen
In meiner Branche sagt man: Immer so genau wie möglich. Ungenau wird es von ganz alleine. Die Erfahrung zeigt aber immer wieder, das etwas noch besser/sicherer/hübscher zu machen, oftmals nur unnötig Zeit und Ressourcen kostet, daraus aber kein wirklicher Mehrwert resultiert. Genauso handhabe ich das auch in meiner privaten IT Welt. Nichts desto trotz werde ich wohl immer ein Perfektionist bleiben.

Wenn Du mir ein Stück Blech in die Hand drücken würdest und sagst "Mach mal dies und das damit..." (z.B. sowas wie Du für Deine Firewall gebaut hast (der 19"-Rahmen war doch für die Firewall, oder?))
Jep, das war für die Firewall. Bild bzw.Thread kann ich grade nicht verlinken, da verbotenes Forum;) Aber ich habe auch sowas mal gebaut bzw. bauen lassen *räusper*

klar würde ich da "irgendwas" hinkriegen, aber Du würdest vermutlich schreiend im Kreis rennen, wenn Du es sehen würdest
Deine Vermutung ist garnicht mal so abwegig :ROFLMAO:

Aber wie dem auch sei…
…nur weil "irgendwer" in den Raum wirft, wie es theoretisch "richtig" wäre, muss das noch lange nicht der eigene Weg sein.
In diesem Sinne möchte ich das Thema abschließen und mich bei allen bedanken, die mir geantwortet haben.

Tommes
 

Zurzeit aktive Besucher

Letzte Anleitungen

Statistik des Forums

Themen
4.378
Beiträge
45.210
Mitglieder
3.976
Neuestes Mitglied
calibra52
Zurück
Oben