MenüNetzwerklösungen, Webprogrammierung, Intranetlösungen, Datenbanken, Anwendungsprogrammierung und Systemsicherheit aus einer Hand in Bad Tölz
Diese Seite beschreibt das Routing eines Bastionshosts zwischen einem LAN und einer DMZ

 Bastionshost

Workstation lan Bastionshost  
Workstation
192.168.0.10
  Bastionshost
192.168.0.3
195.100.10.2
    Providernetz
195.100.12/24
Webserver DMZ Netz Transitnetz
195.100.11/30
Netz Netz
Webserver
195.100.10.3
Router
195.100.10.1
195.100.11.1
Router ISDN Router Router
195.100.12.1
195.100.11.2

Der Bastionshost ist Teil einer Firewall. Da er mit zwei Netzwerkkarten den Spagat zwischen zwei getrennten Netzwerken beherrscht, ist er auch aus beiden Netzen wie ein ganz normaler "Single" ansprechbar.

Seine eigentliche Aufgabe ist es aber, ähnlich einem Router, beide Netze sauber zu trennen und den Datenverkehr dazwischen ganz zu unterdrücken oder einige ganz bestimmte Ausnahmen zuzulassen. Ein IP-Tunneling sollte gleich beim Kompilieren des Betriebssystemkerns ausgeschlossen werden.

Seine Routing-Tabelle ist erstaunlich simpel, denn er muß "nach außen" ja nur zwei Netze wie ein ganz normaler Server "bedienen". Also wird seine Routing-Tabelle etwa folgendes Aussehen haben:

Kernel IP routing table
-------------------------------------------------------------
Destination   Gateway      Genmask         Flags  MSS   Iface
127.0.0.0     0.0.0.0      255.0.0.0       U      3584  lo
192.168.0.0   0.0.0.0      255.255.255.0   U      1500  eth0
195.100.10.0  0.0.0.0      255.255.255.0   U      1500  eth1
0.0.0.0       195.100.10.1 255.255.255.0   UG     1500  eth1

Nach eingehendem Studium der vorhergehenden Abschnitte über das Routing dürfte sich ein Kommentar zu dieser Routing-Tabelle erübrigen.

In kleineren Netzen kann der Bastionshost auch als Server für Dienste mitbenutzt werden, die keine "sensiblen" Daten bereitstellen, etwa HTTP, Mailserver oder FTP.

Desweiteren kann man ihn natürlich auch durch einen Router ersetzen. Durch die "Serienschaltung" zweier Router (vom Internet aus gesehen) würde man eine solche Firewall auch als "zweistufig" bezeichnen, was eine noch bessere Sicherheit für das LAN zur Folge hat.


 

 
 © 2003-2020 Hohmann-EDV | Stand: 2014-06-12 | CCBot 2.0 / unknown | Programmierung: Hohmann-EDV
Diese Website verwendet Cookies für eine bestmögliche Funktionalität und setzt bei Bedarf auch solche von Drittanbietern. Durch die Nutzung dieser Website erklären Sie sich mit der Nutzung von Cookies einverstanden.

OKCookies ablehnenMehr Infos...

Cookies sind kleine Textschnipsel, die zwischen Browser und Webserver ausgetauscht werden. Sie dienen dazu, die Funktionalität dieser Website zu verbessern. Beispielsweise wir dadurch dieser Hinweis nicht immer wieder eingeblendet, wenn Sie auf dieser Website unterwegs sind und Sie der Verwendung von Cookies bereits zugestimmt haben. Die Verwendung von Cookies kann in Ihrem Browser abgeschaltet werden. Dies geht jedoch auf Kosten des Komforts bei der Benutzung dieser Website. Hinweise zum Abschalten der Verwendung von Cookies finden Sie in der Hilfedatei Ihres Browsers.