Es ist gar nicht so schwer mit der USG-50 eine DMZ zu erstellen, vorher aber erstmal einige Informationen was eine DMZ ist. Eine DMZ bzw. Demilitarized Zone ermöglicht einen sicheren Betrieb von Servern, welche sowohl extern als auch intern erreichbar sind. Der Vorteil einer DMZ falls es doch mal passieren sollte, dass auf dem Server eingebrochen wird, ist es bei richtiger Konfiguration, nicht möglich weiter ins interne Netz vor zu dringen. Bei der ZyWALL ist es standardmäßig nicht möglich, aus der DMZ ins interne Netz zu gelangen, das ist die Default-Einstellung. Aber auch in der DMZ muss man mit NAT entsprechende Weiterleitung einrichten, damit der Server in der DMZ extern erreichbar ist.
Unter dem Punkt Einstellung –> Network –> Interface bestimmt man erstmal welche Ports als DMZ genutzt werden sollen, es können auch mehrere sein, wenn man dies benötigt.
Als nächsten Schritt muss man jetzt die IP-Adresse zuweisen, dies erledigt man unter Einstellung –> Network –> Interface und klickt auf dem Reiter den Punkt Ethernet an. Dort kann man der DMZ eine IP-Adresse zuteilen – als Beispiel nehmen wir 192.168.10.1 – alle daran angeschlossenen Rechner haben dann die 192.168.10.2…254, also kann man auch ein ganzes Segment versorgen, wenn man hier einen Switch an den DMZ-Port anschliesst.
Wenn man jetzt z.B. einen Mailserver in die DMZ stellt, muss man noch per NAT den Port 25 weiterleiten, man darf nicht vergessen, dass die ZyWALL USG-50 objektorientiert arbeitet, wir müssen also einige Objekte erstellen, damit wir unser NAT weiter einrichten können. Als erstes müssen wir erstmal ein Objekt für unseren Mailserver erstellen. Es gibt mehre Möglichkeiten ein Objekt zu erstellen, unter Einstellung –> Object kann man verschiedene Objekte erstellen. An dieser Stelle ist für uns Address interessant, dort erstellen wir ein Object:
Als Namen nehmen wir was aussagekräftiges z.B. Mailserver, der Address Type wäre HOST und die IP-Adresse, die Adresse, welche der Mailserver in der DMZ bekommen hat. In unserem Beispiel 192.168.10.5. Nun bestätigen wir noch mit OK und das erste Objekt ist nun erstellt. Als nächstes müssen wir noch ein Objekt für die externe IP-Adresse erstellen, das machen wir auch unter dem Punkt Address. Als Namen nehmen wir wieder was aussagekräftiges z.B. WAN1IP als Address Type nehmen wir diesmal INTERFACE IP und als Interface entsprechend wan1 bzw. wan2 so haben wir jetzt ein Objekt, welches immer die aktuelle externe IP-Adresse repräsentiert. Nach dieser Vorbereitung können wir nun weiter machen, um unseren Mailserver in der DMZ aus dem Internet zugänglich zu machen.
Als erstes geben wir der Regel einen Namen z.B. DMZ_SMTP als Port Mapping Type wählen wir Virtual Server, nun kommen wir zu den Mapping Rule :
Incomming Interface : wan1
Original IP : WAN1IP <—– Das ist unser Objekt welches wir uns erstellt haben und immer unsere aktuelle externe IP Adresse beinhaltet
Mapped IP : Mailserver
Port Mapping Type : Service
Original Service : SMTP
Mapped Service : SMTP
Enable NAT Loopback nicht ankreuzen.
So das wäre erstmal das NAT, nun müssen wir noch eine Firewallregel erstellen, damit die Anfrage überhaupt durch kommt. Das machen wir jetzt.
Auf zu Einstellung –> Firewall
Nun erstellen wir eine Regel :
From : WAN
To : DMZ
Schedule : none
User : any
Source : any
Destination : Mailserver
Service : SMTP
Access : allow
Log : log <– je nach Bedarf kann man hier auch einen alert auslösen.
So das war es jetzt, wenn jetzt ein Zugriff auf Port 25 von außen kommt, geht es direkt über die DMZ zum Mailserver.