MenüNetzwerklösungen, Webprogrammierung, Intranetlösungen, Datenbanken, Anwendungsprogrammierung und Systemsicherheit aus einer Hand in Bad Tölz
Diese Seite beschreibt das Routing eines Bastionshosts zwischen einem LAN und einer DMZ
Werbebanner Google Responsive Design

 Bastionshost

Workstation lan Bastionshost  
Workstation
192.168.0.10
  Bastionshost
192.168.0.3
195.100.10.2
    Providernetz
195.100.12/24
Webserver DMZ Netz Transitnetz
195.100.11/30
Netz Netz
Webserver
195.100.10.3
Router
195.100.10.1
195.100.11.1
Router ISDN Router Router
195.100.12.1
195.100.11.2

Der Bastionshost ist Teil einer Firewall. Da er mit zwei Netzwerkkarten den Spagat zwischen zwei getrennten Netzwerken beherrscht, ist er auch aus beiden Netzen wie ein ganz normaler "Single" ansprechbar.

Seine eigentliche Aufgabe ist es aber, ähnlich einem Router, beide Netze sauber zu trennen und den Datenverkehr dazwischen ganz zu unterdrücken oder einige ganz bestimmte Ausnahmen zuzulassen. Ein IP-Tunneling sollte gleich beim Kompilieren des Betriebssystemkerns ausgeschlossen werden.

Seine Routing-Tabelle ist erstaunlich simpel, denn er muß "nach außen" ja nur zwei Netze wie ein ganz normaler Server "bedienen". Also wird seine Routing-Tabelle etwa folgendes Aussehen haben:

Kernel IP routing table
-------------------------------------------------------------
Destination   Gateway      Genmask         Flags  MSS   Iface
127.0.0.0     0.0.0.0      255.0.0.0       U      3584  lo
192.168.0.0   0.0.0.0      255.255.255.0   U      1500  eth0
195.100.10.0  0.0.0.0      255.255.255.0   U      1500  eth1
0.0.0.0       195.100.10.1 255.255.255.0   UG     1500  eth1

Nach eingehendem Studium der vorhergehenden Abschnitte über das Routing dürfte sich ein Kommentar zu dieser Routing-Tabelle erübrigen.

In kleineren Netzen kann der Bastionshost auch als Server für Dienste mitbenutzt werden, die keine "sensiblen" Daten bereitstellen, etwa HTTP, Mailserver oder FTP.

Desweiteren kann man ihn natürlich auch durch einen Router ersetzen. Durch die "Serienschaltung" zweier Router (vom Internet aus gesehen) würde man eine solche Firewall auch als "zweistufig" bezeichnen, was eine noch bessere Sicherheit für das LAN zur Folge hat.


 

 
 WideSkyScraper© 2003-2024 Hohmann-EDV | Stand: 2014-06-12 | Default Browser 0.0 / unknown | Programmierung: Hohmann-EDV