Ein Mac, 2 Netze, wie trennen?

[knofi]

Hallo zusammen,

vielleicht könnt ihr mir weiterhelfen.

Folgendes Szenario besteht:

Netz 1: Internet, Router 192.168.1.1, Subnetzmaske 255.255.255.0
Netz 2: Intranet, 4 Windows Server mit SMB Freigabne 192.9.200.X, Subnetzmaske 255.255.255.0, 12 Mac Workstations, 2 PCs, alle ohne Internetzugriff!

Neu soll sein: Ein Mac mit 2 Netzwerkkarten, in die beide Netze gesteckt werden:
Netz 1: IP 192.168.1.20
Netz 2: IP 192.9.200.203,

darauf sollen Browser (HTTP, HTTPS), Mail und FTP Clients laufen. Keine weiteren Dienste, keine Server, oder Freigaben.
Der Mac soll zusätzlich via SMB ins Netz2 rein zwecks Datenaustausch.
Er soll also als Zentrale für den Datenaustausch mit außen fungieren.

Meine Frage:

Ich möchte verhindern, daß man von außen irgendwie Geräte, Server, etc aus dem Netz 2 sehen kann. Das ist absolut wichtig, ich will die Firma (Netz 2) weiterhin "dicht" haben.
Ist das aufgrund der verschiedenen IP Bereiche schon der Fall oder brauche ich noch weitere Hardware (Firewall, Router) bzw. kann ich auf dem Mac die Firewall passend konfigurieren (MacOS 10.8.4)

Ich hoffe, es ist alles verständlich geschrieben und bedanke mich schon mal für eure Mühe!

Gruß,
Knofi

 

[Kugelfisch]

Grundsätzlich ist das bereits der Fall. Du musst nur dafür sorgen, dass der neu anzuschaffende Mac keine Pakete zwischen den beiden Schnittstellen weiterleitet. Stelle sicher, dass das IP-Forwarding (sysctl net.inet.ip.forwarding) deaktiviert ist (Wert 0). Allerdings besteht natürlich die Gefahr, dass das System kompromittiert wird und sich ein Angreifer darüber Zugang zum internen Netzwerk verschafft. Um dieses Risiko zu minimieren, achte darauf, Sicherheitsupdates zeitnah einzuspielen, die Software-Codebasis auf ein Minimum zu reduzieren (insbesondere solltest du im Browser unbedingt sämtliche Plugins deaktivieren, speziell die von Apple automatisch installierten iTunes- und QuickTime-Plugins) und keine Binaries aus nicht vertrauenswürdigen Quellen einzusetzen.

Übrigens ist das IP-Subnetz 192.9.0.0/16, anders als 192.168.0.0/16, nicht zum Aufbau privater Netzwerke bestimmt, siehe https://tools.ietf.org/html/rfc1918#section-3. Das wird in deinem Fall konkret zu Problemen führen, wenn du von deinem Mac mit Internetzugang aus einen Host mit IP-Adresse aus 192.9.200.0/24 im Internet erreichen möchtest. Als Alternative könntest du ein anderes /24 aus 192.168.0.0/16, oder eines aus 10.0.0.0/8 oder 172.16.0.0/12 nutzen.

 

[KippaKong]

... Keine weiteren Dienste, keine Server, oder Freigaben.
Der Mac soll zusätzlich via SMB ins Netz2 rein zwecks Datenaustausch.
Er soll also als Zentrale für den Datenaustausch mit außen fungieren.

Das widerspricht sich irgendwie.

Ich verstehe es so, dass der Mac mit Absicht ins Internet gestellt wird. Dieser Mac soll anscheinend als Fileserver für externe Clients dienen. Gleichzeitig hängt dieser als Fileserver im Intranet, um von dort auf die Files zuzugreifen.

Den Samba-Daemon ins Internet freizugeben wäre für mich zu heikel. Es gab immer wieder Schwachstellen. Auch mit MacOS 10.8.4 wurden wieder diverse Patches für Sicherheitslücken für SMB ausgerollt. SMB als Filefreigabe ins Internet wäre für mich ein NOGO.

... darauf sollen Browser (HTTP, HTTPS), Mail und FTP Clients laufen. ...

Auch das ist für mich komisch zu lesen. Auf einem Server sollten keine User arbeiten, die im Internet browsen oder Mails verarbeiten.
Wenn das nicht zu vermeiden ist, dann sollte es mindestens so aufgesetzt werden, wie kugelfisch oben schreibt.
Dazu auf alle Fälle ein Virenscanner. Auch wenn der Mac vielleicht selbst nicht betroffen ist, könnten andere Clients im Netzwerk anfällig sein.

 

[knofi]

hey, danke euch für die schnellen und konstruktiven Antworten!

Dann versuche ich mal Klarheit reinzubringen:

1. Die IP Range 192.9.200.x hat historische Gründe. Vor zig Jahren hingen mal Crosfield "Magnalink" und EBV Stationen im Netz. Und diese waren fest auf diese Range programmiert, also mußten sich alle anderen Teilnehmer anpassen. Das ist so lange kein Problem, wie die Rechner nicht ins Internet müssen. Mir ist auch klar, Kugelfisch, daß der Adressraum geändert werden sollte. Wahrscheinlich hole ich das in den nächsten Tagen nach. Wäre z.B. 192.168.2.X geeignet?

2. Der neue Mac bekäme einen eMail Client, ein FTP Client und einen Browser. Mehr nicht. Keine Serverdienste oder Freigaben irgendeiner Art. Mir würde auch der Zugrifff zu einer bestimmten IP im Firmennetz genügen. Hauptsache, man kann die zu mailenden / empfangenen Daten auf / vom Hauptserver holen / schreiben (SMB Protokoll).

3.

Ich verstehe es so, dass der Mac mit Absicht ins Internet gestellt wird

Ja!

4.

Dieser Mac soll anscheinend als Fileserver für externe Clients dienen. Gleichzeitig hängt dieser als Fileserver im Intranet, um von dort auf die Files zuzugreifen

2x Nein.

Ist es so etwas klarer für euch?

Edit: hier noch ein Bild, wie ich mir das vorstelle (hellblauer Rechner)

 

[KippaKong]

Ok, jetzt wird das schon klarer.
Und "Datenaustausch mit außen" heisst, dass dieser Mac nur Daten von einem Server im Internet abholen soll?
Dann sehe ich kein Problem. Der Rechner ist nach aussen erstmal nicht sichtbar.
Du müsstest an dem Mac das Routing ändern.
Default-Gateway wird ja wohl euer Router im Netz 1 sein.
Hier würde sich anbieten an dem Mac als Default-Gateway die Fritzbox einzutragen.
Für die Kommunikation ins Intranet dann eine eigene Route.

Ich hab grad mal im WHOIS geschaut, wem eigentlich 192.9.200.0 gehört. Anscheinend ist dieses Netz überhaupt nicht vergeben. Das wundert mich etwas.

 

[knofi]

Und "Datenaustausch mit außen" heisst, dass dieser Mac nur Daten von einem Server im Internet abholen soll?

Nein, nicht nur abholen.
-Mailen inklusive Empfang und Versand von Anhängen
-FTP Zugriff auf die Server unserer Lieferanten und Kunden, aber fast nur Downloads, wenig Uploads (zu geringe Bandbreite)
-Browsen (Yousendit, Wetransfer - Links unserer Kunden verarbeiten, bisschen Google Recherche)

Default-Gateway wird ja wohl euer Router im Netz 1 sein.

Ja.

Für die Kommunikation ins Intranet dann eine eigene Route.

Kann ich das Routen-Feld einfach leer lassen? Ist bei allen unseren Plätzen im Intranet so. Die Leute verbinden sich direkt über IP-Adresseingabe am Server.
Oder localhost eingeben?

Ich hab grad mal im WHOIS geschaut, wem eigentlich 192.9.200.0 gehört. Anscheinend ist dieses Netz überhaupt nicht vergeben. Das wundert mich etwas.

Die Firma Crosfield gibt es schon lange nicht mehr. Diese IP Range wurde auch nur für ihre internen Netze benutzt, das hatte nie was mit dem Internet zu tun.

Wie gesagt, mir ist halt wichtig, daß unser Firmennetz von außen unsichtbar ist - und bleibt

 

[KippaKong]

Die Fritzbox benutzt die einzige IP, welche im Internet sichtbar ist.
Der Traffic, welcher nach draussen geht wird über NAT umadressiert.
Das Firmennetz ist unsichtbar, das passt schon.

Kann ich das Routen-Feld einfach leer lassen? Ist bei allen unseren Plätzen im Intranet so.

Bisher habt ihr ja auch nur ein IP-Segment und alles spielt sich innerhalb des Segments ab. Daher ist erstmal kein Gateway nötig.

Vielleicht mache ich mir auch einfach nur zu viel Gedanken um das 192.9.200er Netz.
Wenn du die Fritzbox als Gateway einträgst (und das wirst du müssen), dann steht schon mal die Route für das Netzwerkziel 0.0.0.0 fest.
Jetzt kommt es drauf an, ob die IP-Konfig der anderen Karte (192.9.200.203) ebenfalls eine Route eingeträgt. Alles was ins Netz 192.2.200.0 gehen soll, geht dann über diese Karte.
Insofern brauchst du wahrscheinlich doch keine Route manuell setzen.

 

[knofi]

Ah ja. Das liest sich schon mal gut

ich hab das mal testweise eingerichtet und im Netzwerkdienstprogramm die Routing Tabelle anzeigen lassen:

Routing tables

Internet:
Destination        Gateway            Flags        Refs      Use   Netif Expire
default            link#4             UCS             1        0     en0
default            192.168.1.1        UGScI           0        0     en1
17.72.148.52       link#4             UHLWIi          0        0     en0
127                localhost          UCS             0        0     lo0
localhost          localhost          UH              4 117013195     lo0
169.254            link#4             UCS             0        0     en0
192.9.200          link#4             UCS             5        0     en0
192.9.200.9        0:e:c:2c:dc:7d     UHLWIi          2  3487316     en0    822
192.9.200.203      localhost          UHS             0        4     lo0
192.9.200.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        3     en0
192.168.1          link#5             UCS             4        0     en1
192.168.1.1        c0:25:6:23:cb:36   UHLWIir         1        0     en1   1190
192.168.1.20       localhost          UHS             0        0     lo0
192.168.1.255      ff:ff:ff:ff:ff:ff  UHLWbI          0        3     en1

So in Ordnung?

 

[KippaKong]

Ok, schaut eigentlich gut aus.
Mich wundert nur die Zeile mit Destination 17.72.148.52. Das kann eigentlich nicht funktionieren, weil dies auf Interface en0 zeigt. Dieses Interface ist aber Richtung Intranet.
Die Destination IP gehört zu Apple. Anscheinend hat sich mal ein Programm eine Route gesichert, die jetzt eigentlich fehl am Platz ist.

 

[knofi]

Die Destination IP gehört zu Apple. Anscheinend hat sich mal ein Programm eine Route gesichert, die jetzt eigentlich fehl am Platz ist.

Vielleicht eine Systemaktualisierung?

Ich werde bei dem Mac noch LittleSnitch aufsetzen, das gibt mir mehr Kontrolle über ausgehende Verbindungen.

Vielen Dank nochmals, ihr habt mir sehr geholfen!