Absicherung DMZ Server hinter Fritzbox



  • Hallo zusammen,

    ich habe hier folgende Situation…:
    Installiert ist pfSense auf einem ESXi. Der ESXi befindet sich hinter einer Fritzbox.
    Daher sind WAN und LAN am gleichen vSwitch angeklemmt und haben beide eine interne IP Adresse. Außerdem gibt es noch das DMZ Interface mit separatem Adressbereich.
    Ziel soll es sein, dass die DMZ (CentOS Server) nur via Port 80 zu erreichen ist. Die Fritzbox mapped also Port 80 auf das WAN Interface des pfSense und dieser auf den DMZ Server.
    Ist das so korrekt? Macht es Sinn, dass die DMZ auch genattet wird? Wäre es auch möglich dies über normales Routing zu konfigurieren?
    Was ist da Best-Practice?

    Vielen Dank im Voraus!
    ![Voila_Capture 2015-09-13_12-49-28_am.jpg](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-49-28_am.jpg)
    ![Voila_Capture 2015-09-13_12-49-28_am.jpg_thumb](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-49-28_am.jpg_thumb)
    ![Voila_Capture 2015-09-13_12-52-55_am.jpg](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-52-55_am.jpg)
    ![Voila_Capture 2015-09-13_12-52-55_am.jpg_thumb](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-52-55_am.jpg_thumb)
    ![Voila_Capture 2015-09-13_12-53-53_am.jpg](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-53-53_am.jpg)
    ![Voila_Capture 2015-09-13_12-53-53_am.jpg_thumb](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-53-53_am.jpg_thumb)
    ![Voila_Capture 2015-09-13_12-54-08_am.jpg](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-54-08_am.jpg)
    ![Voila_Capture 2015-09-13_12-54-08_am.jpg_thumb](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-54-08_am.jpg_thumb)
    ![Voila_Capture 2015-09-13_12-55-58_am.jpg](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-55-58_am.jpg)
    ![Voila_Capture 2015-09-13_12-55-58_am.jpg_thumb](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-55-58_am.jpg_thumb)
    ![Voila_Capture 2015-09-13_12-56-36_am.jpg](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-56-36_am.jpg)
    ![Voila_Capture 2015-09-13_12-56-36_am.jpg_thumb](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-56-36_am.jpg_thumb)
    ![Voila_Capture 2015-09-13_12-56-48_am.jpg](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-56-48_am.jpg)
    ![Voila_Capture 2015-09-13_12-56-48_am.jpg_thumb](/public/imported_attachments/1/Voila_Capture 2015-09-13_12-56-48_am.jpg_thumb)



  • Das ist irgendwie seltsam. Eine DMZ dient ja dafür, dein eigentliches Netzwerk vom "WAN-Port" zu isolieren. Wenn jetzt jemand über deine Fritz-Box "einbricht" dann befindet er sich in deinem eigentlichen Netzwerk. Deine DMZ ist daher irgendwie funktionslos. Sie schütz nur den Server der über Port 80 ohnehin zugänglich sein soll für die Welt.

    Auch gefällt mir persönlich (das ist aber Geschmacksache) nicht, dass pfSense auf einem ESXi läuft auf dem sich andere virtuelle Maschinen befinden die über das Internet zugänglich sein sollen.



  • Deine Punkte sind definitiv richtig…
    Was ich allerdings erreichen wollte ist, dass der CentOS Server vom LAN isoliert ist.
    Sprich, falls jemand eine Rootshell auf dem CentOS erhält, z.B. durch Apache Vulnerabilites, so soll er nicht auf's LAN zugreifen können...
    Dazu habe ich nun eine Firewall zwischen CentOS und dem eigentlichen LAN geschaltet. CentOS kann nur aufs Internet zugreifen, aber das LAN ist explizit verboten.