Moin!

ich bin gerade dabei, mein heimnetz in mehrere subnetze aufzuteilen, damit evt. schädlinge meiner netzpartner nicht gleich überall hin können.

Ich glaube kaum, dass sich dieses Ziel verwirklichen läßt, denn den Kontakt zu deinen Netzpartnern willst du ja sicherlich nicht gleich komplett abbrechen, oder? Sobald aber Datenaustausch zwischen zwei Rechnern möglich ist, ist es grundsätzlich auch möglich, dass schädliche Software auf diesem Weg wirkt bzw. es zumindest versucht (dass man was dagegen tun kann, ist ja klar).

ich habe mir gedacht, dass ich folgende adressbereiche nehme:
10.0.NNNNNNNN.HHHHHHHH

* bekomme ich probleme beim routen, weil mein zielnetz (in welches geNATet wird) auch eine 255.255.255.0 subnetzmaske hat, nämlich:
192.168.1.0 / 255.255.255.0

Das Routing orientiert sich nicht an unterschiedlichen oder gleichen Subnetzmasken. Diese dienen in Kombination mit einer IP ja lediglich dazu, den Netzbereich zu kennzeichnen. Deutlicher wird das noch, wenn man die alternative Notation verwendet: 192.168.1.0/24 bzw. 10.0.1.0/24.

* ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz. anscheinend ist das ja wohl aber nicht so, richtig? bei meinem o.g. beispiel habe ich also überall die gleiche netzmaske, trotzdem aber verschiedene netze?

Die Subnetzmaske gibt an, welche Bits einer IP-Adresse die Netzwerkadresse sind, und wieviele Bits der IP-Adresse der Hostanteil sind.

In der Routingtabelle (und selbst jeder simple normale Clientrechner hat eine) wird dann daraus ermittelt, ob die Ziel-IP, mit der kommuniziert werden soll, innerhalb des eigenen Netzwerks liegt, man sie also direkt über das angeschlossene Kabel erreichen kann, oder ob man einen Router (und wenn, dann welchen) damit beauftragen muß, die Daten weiter zu leiten.

Dein Netzaufbau ist mir aber noch nicht wirklich deutlich. Einfach nur vier Netze zu definieren ist etwas zu wenig. Damit dein erwünschter Sicherheitsgewinn auf aufgeht, mußt du zwingend auch vier Netzwerkkarten in deinem Router haben, und (sofern je Teilnetz mehr als ein Rechner angeschlossen werden soll) jeweils individuelle Hubs oder Switches (sofern du noch koax-verkabelt bist, dann eben vier voneinander getrennte Kabelsegmente). Andernfalls kann trotz deiner Netzwerkaufteilung ja doch jeder angeschlossene Rechner jederzeit Datenpakete an jeden anderen Rechner senden, ohne dass du etwas dagegen tun könntest. Denn bedenke, dass es auch noch andere Protokolle außer TCP/IP gibt, die ebenfalls für Angriffe genutzt werden könnten.

Außerdem: Wie paßt dein NAT-externes Netz 192.168.1.0 da noch mit rein, wo soll das angeschlossen werden? Und wie kommst du ins Internet?

• Sven Rautenberg