[fli4l] Sicher in DMZ und Syslog sicher remote loggen?

[Peter Schiefer]

Hallo Kay,

Am Fri, 15 Jul 2016 19:49:57 +0200 schrieb Kay Martinen:

> Mal angenommen ich hätte einen FLI mit nur 2 NICs von denen die eine das
> DSL-Modem versorgt (WAN) und die andere in eine quasi-DMZ führt, von der
> es über einen Gateway-Rechner (Interne Firewall/paketfilter) erst in das
> eigentliche Interne LAN ginge.

OK

>
> Wenn ich vom inneren LAN aus mit dem imonc (Ja, ich benutze den immer
> noch) dem FLI einen Befehl sende, dann gibt es ja kein Problem. Aber was
> ist mit den antworten vom imond an den imonc? Ich glaube das geht noch
> über die gleiche Verbindung, bin aber nicht sicher.

wenn dein Gateway-Rechner (ein Router) dies im Paketfilter erlaubt und der
fli4l die Info (Routen) hat, welche Netze er über den Router erreicht
 
> Und wie bekomme ich das syslog vom FLI aus dieser DMZ heraus? Wenn ich
> es an einen imonc im Internen LAN schicken wollte, dann müsste ich wohl
> auf dem Gateway den syslog-port forwarden an die IP des internen Hosts
> (mit imonc). Oder ich müsste auf dem gateway das syslog empfangen und
> speichern.

wen dein Gateway ewin reiner Router ist, muss auf diesem eine
Firewall-Regel definiert sein, das der fli4l sein syslog an den
syslog-Server schicken darf.

wen das Gateway jedovj NAT macht, dann muss auf dem Gateway ein Portfw
eingerichtet sein.

In beiden Fällen jedoch könnte man auf dem Gateway ein syslog-Relay
betreiben - das was an syslog lokal und von remote-Hosts kommt, an einen
oder mehrer Remote-syslog-server ausgeben.
 
> Aber damit muss ich den syslog-port auch zur DMZ hin offen halten.

genau - aber das kann man ja geziehlt nur für definierte Quellen machen.
 
> Gleiches Problem dürfte ein telmond auf dem FLI haben...

telmond - also Anrufmonitor (ISDN) - auch dafür, kann man entsprechende
Regeln auf dem Gateway im Paketfilter definieren.
 
> Geht das auch anders, besser, sicherer - und dennoch einfach?

ich denke ich habe Dir dazu einige Infos geliefert.


Gruß Peter