43.5. Aufgabe 5: Webserver in der DMZ

Szenario:

  • Ein Webserver steht in einer DMZ (De-Militarized Zone) und hat eine offizielle IP (LAN ohne NAT). Es wird klassisches Routing verwendet (siehe Abschnitt 11.7.1, „Klassisches Routing“).

  • Der Router des Providers hat die IP 88.89.90.1, die externe IP des Intra2net Systems ist 88.89.90.2 (Netzmaske 255.255.255.252).

  • Die DMZ nutzt das Netz 88.89.90.4/255.255.255.252 (30 Bit Netz mit 4 IPs), das Intra2net System hat die IP 88.89.90.5, der Webserver 88.89.90.6

  • Vom Internet her ist der Zugriff auf die TCP-Ports 80 und 443 (vordefinierte Dienste http und https) des Webservers gestattet.

  • Die Rechner aus dem LAN haben vollen Zugriff auf den Webserver

  • Die Rechner aus dem LAN dürfen nur über den Proxy ins Internet, E-Mail ist nur über das Intra2net System möglich

  • Der Webserver hat ausschließlich Zugriff auf TCP-Port 3306 eines Datenbankservers (IP 192.168.1.40) im LAN.

  • Der Webserver darf die Dienste DNS und SMTP des Intra2net Systems nutzen.

43.5.1. Musterlösung

Den Rechnern im LAN wird ein Firewall Profil für Rechner zugewiesen, siehe vorige Aufgabe. Für den Vollzugriff auf den Webserver ist es nötig, die Checkbox bei "Zugriff auf Lokale Netze erlaubt" zu setzen.

Regel für die DMZ

Providerregel