Luca Bertoncello <lucab...@lucabert.de> (So 05 Sep 2010 07:55:15 CEST): > > > Und die Idee gefällt mir nicht... Ich hätte lieber EIN Firewall, anstatt > > > zwei... > > > Ansonsten, jedes Mal, daß ich eine Änderung durchführen muß, muß ich an > > > zwei Stellen das gleiche (oder fast) machen. Und das kann zur Fehler > > > führen. > > > > Wieso, auf dem Server konfigurierst Du die Firewall doch nur soweit, wie > > es die Dienste des Servers erfordern. Also für den Selbstschutz. Ich > > denke, die Verwendung eines Gateways, nur um eine Firewall zu haben, ist > > in dieser Konstellation nicht notwendig. > > > > Und an zwei Stellen mußt Du auch nicht das (fast) gleiche eintragen. > > Wenn der Server sich selbst schützt, mußt Du das auf einer anderen > > Firewall nicht mehr tun. > > Du hast fast Recht... :) > > Das Problem ist, daß die VLANs nicht miteinander sprechen müssen. > Sie sind verschiedene Netze, für verschiedene Zwecke, mit verschiedenen > Rechten. > Also, der Gateway ist doch auch eine Firewall zwischen den VLANs. > Und wenn es schon das macht, finde ich sinnvoller alles von ihm machen zu > lassen.
Solange Dein Server kein Forwarding macht, solltest Du Dir auch keine Gedanken machen müssen, daß die VLANs über ihn miteinander sprechen. Als passive Sicherheit: der Server ist ja sicher nicht als GW in den Clients eingetragen, von daher sollten sie auch nicht auf die Idee kommen, den Server als GW zu nutzen. Es spricht also nichts dagegen, den Server in alle VLANs zu hängen. Aus meiner bescheidenen Sicht. Und VLAN-Karten kosten nicht so viel :) -- Heiko
signature.asc
Description: Digital signature
_______________________________________________ Lug-dd maillist - Lug-dd@mailman.schlittermann.de https://ssl.schlittermann.de/mailman/listinfo/lug-dd
