Bastionshost
 |
 |
|
|||
| Workstation 192.168.0.10 |
Bastionshost 192.168.0.3 195.100.10.2 |
Providernetz 195.100.12/24 |
|||
|
 |
 |
Transitnetz 195.100.11/30 |
 |
 |
| Webserver 195.100.10.3 |
Router 195.100.10.1 195.100.11.1 |
 |
 |
 |
Router 195.100.12.1 195.100.11.2 |
Der Bastionshost ist Teil einer Firewall. Da er mit zwei Netzwerkkarten den Spagat zwischen zwei getrennten Netzwerken beherrscht, ist er auch aus beiden Netzen wie ein ganz normaler "Single" ansprechbar.
Seine eigentliche Aufgabe ist es aber, ähnlich einem Router, beide Netze sauber zu trennen und den Datenverkehr dazwischen ganz zu unterdrücken oder einige ganz bestimmte Ausnahmen zuzulassen. Ein IP-Tunneling sollte gleich beim Kompilieren des Betriebssystemkerns ausgeschlossen werden.
Seine Routing-Tabelle ist erstaunlich simpel, denn er muß "nach außen" ja nur zwei Netze wie ein ganz normaler Server "bedienen". Also wird seine Routing-Tabelle etwa folgendes Aussehen haben:
Kernel IP routing table ------------------------------------------------------------- Destination Gateway Genmask Flags MSS Iface 127.0.0.0 0.0.0.0 255.0.0.0 U 3584 lo 192.168.0.0 0.0.0.0 255.255.255.0 U 1500 eth0 195.100.10.0 0.0.0.0 255.255.255.0 U 1500 eth1 0.0.0.0 195.100.10.1 255.255.255.0 UG 1500 eth1
Nach eingehendem Studium der vorhergehenden Abschnitte über das Routing dürfte sich ein Kommentar zu dieser Routing-Tabelle erübrigen.
In kleineren Netzen kann der Bastionshost auch als Server für Dienste mitbenutzt werden, die keine "sensiblen" Daten bereitstellen, etwa HTTP, Mailserver oder FTP.
Desweiteren kann man ihn natürlich auch durch einen Router ersetzen. Durch die "Serienschaltung" zweier Router (vom Internet aus gesehen) würde man eine solche Firewall auch als "zweistufig" bezeichnen, was eine noch bessere Sicherheit für das LAN zur Folge hat.