Neue Server in DMZ einpflegen

Victo

Guten Tag Forum,

ich hab ein kleines Problem, wir benutzen pfSense mit 3 Interfaces - WAN, LAN und DMZ. Nun bin ich gerade dabei einen alten Server zu ersetzen und bau diesen mit neuer Software nach. Natürlich sollt dieser auch wieder im DMZ stecken… jedoch hab ich leider keine Ahnung wie ich das machen muss... Hier im Forum haben mir die DMZ sachen nicht so wirklich weiter geholfen :/

Hier mal eine grobe Ansicht wie es bei uns aussieht (Hoffe man kann verstehen was ich da andeuten will :D)

	 Internet
            :
            : 
            :
      .-----+-----.
      |  Router   |
      '-----+-----'
            |
        WAN | IP or Protocol
            |
      .-----+-----.  priv. DMZ     .------------.
      |  pfSense  +----------------+2 DMZ-Server|
      '-----+-----' 192.168.2.X/24 '----+-------'
            |				|
        LAN | 192.168.1.x/24		|DMZ-Server zugriff auf Fileserver
            |				|(Aber nicht auf die Clients/Clients Zugriff auf die DMZ-Server)
      .-----+------.			|
      | LAN-Switch |			|
      '-----+------'			|
            |				|
      .-----+---------.    .------------.
.-----+------.  .-----+----+-.
|  Clients   |  | FileServer |
'------------'  '------------'

Diese ganzen Zugriffsregeln sollen genau so erhalten bleiben - jedoch ist die Person die das damals gemacht hat nicht mehr da. Nun muss ich das irgend wie machen. Wenn ich jetzt dem neuen RootServer+VMs einfach eine 192.168.2.x ip geben passiert nix. Leider weis ich jetzt auch nicht welche Informationen ihr nöch benötigt das mir geholfen werden kann. Einfach bitte nach Fragen, geben mein bestes alles zu liefern ;)

Viele Grüße
VIcto

Victo

Also wenn ich mich unklar ausgedrückt habe, oder ihr noch irgend welche infos braucht - sagt einfach bescheid. Bin gerade ein wenig auf dem Holzweg :(

VG
Victo

stack

Hi,

um dir zu helfen bräuchte man ein wenig mehr Erklärung was denn passieren soll;)

So ganz klar ist euer Setup auch nicht unbedingt. Was ist das für ein Router?
Wofür haben die DMZ-Server eine direkte Verbindung an die Fileserver?

Wenn es um Zugriff aus dem Inernet auf die DMZ geht, müßte auf dem "Router" NAT auf Port+IP-Adresse eingerichtet sein.
Da wirst du mit irgendeiner Adresse aus dem 192.168.2er Netz nicht weiterkommen.

Victo

Hey Danke schon mal für das Lebenszeichen! :)

So ganz klar ist euer Setup auch nicht unbedingt. Was ist das für ein Router?

Ein Router von M-Net: "OneAccess One20" beschreibt er sich.

um dir zu helfen bräuchte man ein wenig mehr Erklärung was denn passieren soll;)
Wofür haben die DMZ-Server eine direkte Verbindung an die Fileserver?

Okay: Also wir haben eine Handvoll Entwickler die auf Datenbanken zugreifen, wie auf auf Server wo Anwendungen laufen. Darunter sind auch Produktiv Datenbanken und Anwendungen die nach Ausßen offen sind, also über das Internet erreichbar. In unserem DMZ befinden sich zwei Server momentan. Der einen wird mit einem alten Script konfiguriert, wie z.b Netzwerkbrücken ect. Bei dem älterne Server hab ich noch nicht herraus gefunden wie dort die Netzwerkeinstellungen vorgenommen wernde - Meiner Meinung nach wurde da einfach IP ect per Hand eingetragen. So nun da die Server via Internet erreichbar sind, sollen die von den EntwicklerPCs getrennt werden. In der Entwicklungsumgebung befindet sich noch ein Fileserver - Alte Projecte Backups und unter anderem auch Datein welche von den Servern im DMZ benötigt werden. Deswegen müssen die DMZ-Server Zugriff auf den fServer haben. Soweit dazu.

Alle Server haben eine Static ip zugewiesen bekommen, jedoch sehe ich nicht mal Ansatz weise für alle eine Rule im pfSense - sondern eher für LAN DMZ und WAN allgemeine regeln.

Wenn es um Zugriff aus dem Inernet auf die DMZ geht, müßte auf dem "Router" NAT auf Port+IP-Adresse eingerichtet sein.
Da wirst du mit irgendeiner Adresse aus dem 192.168.2er Netz nicht weiterkommen.

Es gibt keine Infos darüber das im Router irgend etwas Konfiguriert worden ist. Das läuft alles über pfSense…

Mein Problem ist einfach gerade, das ich einen neuen RootServer habe mit VMs drauf. Sobald ich dem eine 2.x IP geben ist er bei pfSense nicht mehr sichtbar. Wie auch jegliche Verbindung ins Internet ect.

VG
Victo

edit: Also evtl einfach kurz für das basis Verständniss. Was macht pfSense und was machen die einzelnen Server bei einem DMZ. Was muss man bei pfSense einstellen(Und wo?), was muss bei den Servern einstellen? Lege ich im pfSense nur Regeln fest, oder muss da noch mehr gemacht werden? Recht es bei den Servern aus eine Ip+NetMask+Gateway festzulegen? Mir würde dazu auch schon ein kleiner link reichen... zumindestens das ich ein wenig weiter komme :(

Victo

Okay tut mir Leid, als ich das alles Zuhause durch gespielt habe - und es einwandrei Funktioniert hat, dacht ihr mir, dass der Fehler woander liegen muss.

So war es auch - hier wurde die Trennung nicht Virtuell durchgeführt sonder durch zweite HW realisiert -.-
Tut mir leid - Damit ist mein Problem gelöst.

VG
Victo

stack

Hi,

eine DMZ ist vor allem erstmal ein Konzept das du bei der pfsence duch Firewallregeln und ein eigenes Segment umsetzt.

Siehe http://de.wikipedia.org/wiki/Demilitarized_Zone

Beispiel WEB-Server und E-Mailserver sollen von Extern und Intern erreichbar sein.
Du schottest sie aber gegen dein Internes Netz ab um bei einem Einbruch dein Internes zu schützen.
Die direkte Anbindung an eure Fileserver untergräbt das allerdings.