Optimized for Security |
Alles was sich innerhalb der roten Umrandung befindet, läuft im VMwarehost. |
Die Firewall auf CD regelt den Zugang zu 3 separaten Netzen.
externes Netz --- zum Internet
DMZ --- zum Muli und evtl. vorhandenen Web- oder FTP-Servern
internes Netz --- zu allen Rechnern im internen Netz
Idealbesetzung: m0n0wall - diese Firewall auf CD braucht nur 5MB für das ISO, 1.44 MB für ein Floppy, sie ist leicht über Webinterface zu verwalten und das beste: sie ist umsonst. Im laufenden Betrieb braucht sie ca. 64-128MB Speicher.
Die Firewall bietet NAT-Service für DMZ und internes Netz. Für den Muli-Server leitet Sie den tcp und udp Port 4662 weiter. Für den Webserver Port 80 und für den FTPserver Port 21.
Die m0n0wall ist sogar in der Lage als VPN/IPsec-server zu arbeiten.
Durch das Webinterface lässt Sie sich bequem von einer der Surfstationen im internen Netz verwalten.
|
|
Der Host kann - aber muss nicht - mit dem Internen Netz verbunden werden. In dem oben beschriebenen Fall läuft er völlig separat. Er hat 2 Netzwerkkarten - eine zum externen Netz und die andere zum internen Netz. Bei beiden Netzen ist jeweils nur das VMware-Bridge-Protokoll aktiv. Das gleiche gilt für VMnet1.
Die Host-einstellungen sehen dann für jede Karte etwa so aus:
Wird doch direkter Kontakt zur Muli-Maschine gewünscht, so klinkt sich der Host temporär in VMnet1 ein. Das lässt sich im laufenden Betrieb durch Aktivierung von TCP/IP erreichen. |
In dieses Netz gehören alle Rechner, die nach aussen hin einen oder mehrere offene Ports benötigen.
|
In dieses Netz gehören alle Rechner, die nur als Client mit dem Internet verbunden werden. |
Dieser Rechner - im Idealfall ein Windows 2000 - Server - hat 2 Festplatten:
eine kleine für das Betriebssystem - Mode: nonpersistent
eine grosse für das Muli-Programm - Mode: persistent
Wenn das Betriebssystem einmal eingerichtet ist - keine Firewall - kein Virenscanner - wird die kleine Platte auf nonpersistent gestellt. Da man von T-online einmal am Tag eine neue IP zugewiesen bekommt, wird die Muli-Maschine auch einmal am Tag neugestartet - dadurch werden auch alle eingeschleppten Viren und Trojaner entsorgt.
Das Muli-programm selber wird auf der grossen Platte entpackt - nicht installiert! Dadurch bleiben alle *met und sonstigen temporären Dateien auch über den täglichen Neustart erhalten.
Die Muli-Maschine unterliegt einem strengen Surfverbot - es sollte ausreichen, die interne Suchfunktion zu benutzen.
Gefüttert wird das Muli mit CDs. Die Ernte erfolgt durch Brennen von CDs. |
Die Netzwerkkarte des Hosts, die mit dem Router verbunden ist, wird auf VMnet0 gebridged. Nur die Firewall hat in diesem Netz eine IP. Der Host hat für diese Karte nur das VMware-Bridge-Protokoll aktiviert.
IP-Vergabe Beispiel:
Hardware-Router: 192.168.1.1
Firewall: 192.168.1.123
Lokales Gateway: 192.168.1.1
|
Dieses Netz dient als DMZ. Verbindung haben hier nur die Server (Muli, Webserver, FTPserver) die einen offenen, von aussen erreichbaren Port benötigen. Der Host kann sich hier temporär einklinken - etwa um das Muli abzuernten oder um die Seiten des Webservers zu aktualisieren.
IP-Vergabe Beispiel:
Firewall: 10.0.0.1
Muli: 10.0.0.10
Webserver: 10.0.0.20
FTPserver: 10.0.0.30
Host bei Bedarf: 10.0.0.40
Lokales Gateway: 10.0.0.1
|
Dieses Netz dient als internes Netz. Hier wird wie in diesem Beispiel ein physikalisch getrenntes LAN eingebunden. Für dieses Netz bietet die Firewall NAT und auf Wunsch DHCP-Dienste an.
IP-Vergabe Beispiel:
Firewall: 192.168.234.1
Surfstation1: 192.168.234.117
Surfstation2: 192.168.234.118
Surfstation3: 192.168.234.119
Lokales Gateway: 192.168.234.1
|
|