[linux-l] FritzBox in die DMZ?
Bodo Eichstädt
retsam at gmx.de
Do Mär 9 13:31:54 CET 2006
Lothar Gregor schrieb:
> ....
> Was hat das für Nachteile? Gibt es überhaupt etwas, was potentielle
> Angreifer auf der FritzBox
> angreifen können?
Die SIP-Login-Daten. Aber an die kommt man leichter, wenn man Deine
Leitung belaucht (Klartext-Passwörter!).
Aber davon abgesehen musst Du dann auch den Router selbst mit
Traffic-Prioritisierung konfigurieren! Sonst hättest Du Dir den Spass
mit der Fritz!Box sparen können. Der Vorteil liegt ja gerade darin, dass
sie für eine abgestimmt Config zwischen SIP-Firewall-Routing sorgt. Ergo
würde ich die Box _vor_ den Router/Gateway hängen.
Bei mir sieht die Verkabelung so aus:
Netzwerk: Splitter -> Fritz!Box 5012 -> Linksys WLAN-Router inkl DHCP ->
LAN/WLAN-Clients
ISDN: Splitter/NTBA -> Fritz!Box -> TK-Analage -> ISDN-Nebenstellen
und Splitter/NTBA -> TK-Anlage -> Analoge Nebenstellen (Fax, DECT)
Meine TK-Anlage (DETEWE varix Business) hat 2 ext. S0-Ports, einen int.
S0-Port und eine handvoll int. Analogports.
Dieser Workaround war nötig, weil sonst die Zahl der MSN nicht zu
managen gewesen wäre. (Die Fritz!Box bekommt aus dem ISDN-Netz 10
Nummern, aus dem SIP-Netz 5 Nummern, kann aber intern nur 10
weitergeben. Ausserdem fehlen die analogen Ports.)
Dieser Netzwerk-Aufbau ist so gewachsen. Zuerst war der Linksys + ext.
DSL-Modem. Dann kam die Fritz!Box, die einfach das Modem ersetzt hat.
Dem Linksys habe ich gesagt: "nutz auf dem WAN-Interface nicht PPPOE
sondern als normale Netzwerk-Schnittstelle mit IP/DHCP".
Vorteile:
- Ich habe eine echte DMZ (zwischen Fritz und Linksys)
- Der Aufwand war sehr, sehr gering!
Nachteile:
- Jeder Traffic der Workstations muss durch zwei Router.
- Skaliert nicht besonders gut (weder Telefon noch Netzwerk)
- damit m.W. kein Anschluss an QSC o.ä. mit mehr als einer ext.
öffentlichen IP möglich.
In welchem Umfeld (privat, kleines Home-Office, großes Office) willst Du
es denn betreiben? Wie sieht Deine Aussenanbindung aus?
Bodo
Mehr Informationen über die Mailingliste linux-l