IP Forwarding

Marcel Martin mmar at freenet.de
Thu Jan 2 20:36:02 CET 2003 

On Thursday 02 January 2003 16:45, Stefan Ulrich Hegner wrote:
> Hi Mucki, Marcel & Liste,
>
> ... und jetzt bin ich platt!
>
> Macht das aus Sicherheitsgründen nicht vielleicht sogar viel Sinn?

Ich halte Masquerading (genauer: NAT) hauptsächlich für eine Technik, mehr 
Rechner ans Internet zu bringen als öffentliche IPs verfügbar sind.
Die zusätzliche Sicherheit durch das Verstecken des inneren Netzes ist da eher 
ein Nebeneffekt.
Um ein Netz hinter einem Router zu verstecken, sollte man nicht auf diesen 
Seiteneffekt des Masquerading bauen, sondern bei Bedarf eine ganz normale 
Firewall-Regel einbauen, die jegliche Verbindungsaufnahme mit dem 
dahinterliegenden Netz unterbindet. Dadurch bleibt man flexibel, falls der 
eine oder andere Rechner doch vom äußeren Netz erreichbar sein soll.

Die Frage ist, was man tatsächlich erreichen möchte: Soll tatsächlich ein 
ganzes Netz so maskiert werden, dass alle nach außen gerichteten Verbindungen 
von nur einem Rechner zu kommen scheinen? Oder möchte man einfach nur gewisse 
Verbindungsarten von oder in das Subnetz unterbinden?

Ich mag in dieser Angelegenheit etwas voreingenommen sein. Einige Probleme 
beim Aufsetzen von Masquerading-Regeln auf diversen Server lassen mich nur 
hellhörig werden, wenn plötzlich jemand gleich zwei davon verkettet hat.

Leider konnte ich auch nach ausgiebiger Suche im Netz nichts finden, aber 
falls jemand mehr Ahnung hat, würde mich mal interessieren, wie hierbei die 
"best practise" aussieht: doppeltes Masquerading okay oder nicht? Und falls 
ich nur Quatsch erzählt habe, wäre mir an einem Hinweis in dieser Richtung 
auch sehr gelegen.

> Ich habe den besagten fli4l Router verbrochen und war der Meinung, daß es
> gut sei, wenn dieser _nur_ die eine IP vom dahinterliegenden Server kennt.
> So muß man die fli4l Kiste und den Server knacken um irgendetwas über das
> dahinter liegende Netz zu erfahren. War das nicht das Printip des
> doppelten Firewall?
>
> Gruß
>
> Stefan

Marcel

P.S: Wer's denn Mucki? :-)
-- 
 . .
/ V / Marcel Martin   Bielefeld   OpenPGP public key:
\   \ mmar at freenet.de Germany     http://w148.de/~mmartin/public-key.asc

More information about the Linux mailing list