wieviel rechner max in einem netz

k33n

k33n

knochenbrecher
hi, hab hier ein folgendes netz 192.168.0.0 /24

und mir gehen die ips aus.
was ist besser? die subnetzmaske erweitern z.b. /23 oder ein zweites netz und das ganze ueber nen router zu verbinden?
könnt ihr mal ein paar vor- / nachteile der beiden varianten aufzählen.
ich favorisiere die variante mit dem router, da hier die collisions domäne eingegrenzt wird.

der router hätte dan ne gigabit karte drin.


k33n
 
zwei netze sind wohl ratsamer - wobei ich bei mehr als 200 clients eher über eine aufteilung in gruppen (pro ein netz) - einkauf, technik etc. je nach firma - nachdenken würde.

mfg dagnu
 
Original geschrieben von dagnu
zwei netze sind wohl ratsamer - wobei ich bei mehr als 200 clients eher über eine aufteilung in gruppen (pro ein netz) - einkauf, technik etc. je nach firma - nachdenken würde.

mfg dagnu
Zum Vergrößern anklicken....

genauso haben wir es auch damals in meiner alten firma gemacht, stichwort subnetting;
jede abteilung hatte ihr eigenes netz, ist sicherheitstechnisch besser (da man durch paketfilter alles regeln kann) und man verkleinert die kollisionsdomänen;
ist allerdings auch ein extrem hoher aufwand
 
am einfachsten wäre es natürlich einfach via supernetting den ip-client bereich zu erhöhen so das alle rechner immernoch im gleichen netz sind...
 
hallo, danke erstmal fuer die schnellen antworten und eure meinung.

ich werd das wohl mit dem mit dem zweiten netzmachen. der aufwand ist eigentlich ned so gross ( extra interface in die fw und ein paar kabel umstöpseln / vlans aendern.


cu k33n
 
vlan? wenn du einen switch hast, der sowas unterstützt, z.b.
3com lwl's, dann stehen dir doch alle möglichkeiten offen,
das netz auseinander zu drösseln.
sorry bin da immer etwas "kleinlich" - je überschaubarer der
einzelne bereich, desto glücklicher bin ich. ausserdem ist es
doch immer recht interessant zu sehen, wer aus welchem
bereich dann viel traffic mit anderen bereichen hat, das hat
teilweise schon zu büro-umzügen geführt, da erkannt wurde
das aufgabenbereiche falsch zugeordnet bzw. eingeschätzt
wurden.
 
das wuerd ich dann auch so machen ist nur die frage ob es auch so gewünscht wird.... mal ein bischen ueberzeugungs arbeit leisten.....;)

k33n
 
Kollisionsdomaenen haben damit garnichts zu tun. Ihr meint vermutlich die Broadcastdomain. "Sicherheit" bietet ein zusaetzlicher Router auch nicht. Das ganze ist IMO also nur eine Geschmacksfrage. Du solltest Dir ueberlegen, wieviele Rechner du in Zukunft noch in das Netz bekommst, und ob sich unter allen Rechnern sinnvolle Gruppen bilden lassen, die man dann in einzelnen Subnetze steckt. Und man braucht natuerlich noch einen Router zusaetzlich ...
 
nen zusätlichen router brauch ich eigentlich nicht.

das 192.168.0.0 / 24 hängt an ner firewall, an der ich einfach ein weiteres interfaces einstecken kann oder mehrere ips auf dem einen interface konfigurieren kann. sicherheit hab ich in soweit mehr, das ich den traffic von netz a nach netz b filtern kann.

muss mir dass mal genau austüffteln. werd die verwendete variante dann hier posten.

k33n
 
Du misbrauchst deinen Router als Pseudo-"Firewall". Entweder ganz oder garnicht. Eine Firewall ist ein KONZEPT, und dieses Konzept sieht normalerweise Hardware/Software vor, die sich nur mit dem Durchsetzen von Sicherheitsbestimmungen beschaeftigt. Wenn du also deinen Paketfilter zum Router umfunktionierst machst du etwas falsch.
 
und wenn eine "firewall" nun da steht, an dem einen interface ist ein "dmz netz", an dem anderen das externe und am dritten das interne netz, was spricht dagegen ein viertes interface fuer in weiteres internes netz zu nutzen oder einfach eine 2. ip auf dem dritten interface einzutragen??

edit: auf der "pseudo firewall" ;) laufen noch ein smtp gateway ein http-proxy und mehrere vpn´s.

k33n
 
Zuletzt bearbeitet:
@MrFixit

Was sollte dagegen sprechen einen Router ebenfalls Paketfilter sein zu lassen. Das ist doch ganz normal (Sreening Router).
Und sicher ist eine Firewall ein Konzept mit meist mehreren Systemen etc., aber wenn es nur einen Router / Pakefilter-Rechner gibt, dann ist das die dortige Firewall, auch wenn das sicher nicht optimal ist :-)

@k33n

Du kannst auch mit einem Router eine DMZ bauen. Jedoch musst du da sehr aufpassen mit deinen Regeln und hast zudem noch einen single point of failure, wenn du versteht was ich meine :-)

Gruß, incmc
 
Man _kann_ viel machen, aber einen Router mit Paketfilter als Firewall zu bezeichnen geht einfach am Begriff vorbei.

Zudem kommt der Single Point of Failure hinzu, wie du ja schon gesagt hast. Ausserdem sieht ein "Einbrecher" auf der Firewall auch schon sofort saemtlichen internen Traffic, usw.

Wenn das Teil dann auch noch als Mailserver missbraucht wird.......
 
Das geht nicht am Begriff vorbei, da bleibe ich bei. Auch wenn nur ein Paketfilter sicherlich die "etwas" schmale Version ist. Aber genug Definitionsreiterei, das ist sicherlich hier nicht das Problem :-)

Das mit dem mailserver sollte echt anders gemacht werden. Wenn da schon so viele Rechner dran sind, dann sicherlich auch ne Menge interessante Daten. Also mehr Kompnenten rein... (und ne richtige DMZ machen, nicht nur mir einem Router.)

Gruß, incmc
 
mailserver =! mailgateway ;)

da sind mehr komponenten und da ist ne richtige dmz. und diese dmz ist auch "nicht nur mit nem router gemacht".

aber mir gings auch nicht um den aufbau / layout des netzwerks, sondern eigentlich nur die erweiterung eines ip-netzes.
ich denke mal, dass das layout aus sicherheits technischer sicht ok sein sollte.

trotzdem waren ein paar interessante aspekte in der diskussion.

thx k33n
 
Zuletzt bearbeitet:
ein problem an einem separaten subnet is:
wenn ihr windowssysteme habt sehen diese sich nicht mehr per broadcasting.
 
Wenn ihr wüsstet, was sich heutzutage alles als Firewall bezeichnet.

Damit wir hier aber jetzt nicht anfangen zu flamen lasst uns einen Moment zur Ruhe kommen und eine sokratische Methode (Elenktik) anwenden. Das geht dann so:


1. Wir sammeln, was sich alles als Firewall schimpft
2. Dann bemerken wird, dass es alles dumm-scheiss ist
3. Jetzt bilden wir die minimale Untermenge die dem Begriff Firewall gerecht wird, sortieren also den Müll aus und lassen alles, was in userer Sphäre so als Firewall drin


Also ich mach aml dreist den Anfang und behaupte folgendes ($moep ist immer ein anderer noch zu definierender Begriff):

<har3>
Das Gebilde dessen Name Firewall sein müsste ist ein mannigfaltiges Ding gemacht aus immer verschiedenen Komponenten der Ideen-Welt, dass sich aus jeder Perspektive als ein anderes darzustellen scheint. Es hat Ecken und Kanten...
</har3>


Für mich ist eine Firewall ein Konzept. Es besteht aus zwei großen Komponenten:


1. Der technischen (Paketfilter, IDS, NIDS etc.)
2. Der menschlichen (Social Engineering etc.)



Die menschliche Komponente klammere ich hier mal aus, da wir ja nicht über $DEINE_Mutter reden, die das root-Pass weitertratscht, sondern über Punkt 1, also das technische.



Zum Konzept einer Firewall im technischen Sinne gehören *IMHO* folgende Top-Level (Ich möchte es alles hirachisiert haben) Komponenten:


1. Paketfilter (Alles, was Pakete mangelt, also verändernt)
2. Intrusion Detection Systeme
3. Proxys


Die Paketfilter teile ich in verschiedene Unterkategorien auf:
-NAT (Masquerading)
-Blacklists/Whitelists
-Queuing (Bandwidth Kontrolle ala CBQ, HTB und ALTQ)
-Pinching (Firewall durchbrechen)


Die IDS auch wieder:
-Hostbasierte IDS
-Netzwerk IDS

Proxys auch:
Basisdient-Proxys (HTTP, TLS, FTP)
FileSharing-Proxys (Gnutella, ePulé etc.)



Wenn ich also einen Paketfilter auf meinem Router installiere dann ist das nur ein Teil meiner Firewall. Ich bin mir was die Aussagen zum Paketfilter angeht nicht ganz sicher, bitte berichtigt mich, wenns falsch ist.


-Falk
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben