halo ihr zwei und soweit erstmal vielen dank für euere interesse.

Ich glaube kaum, dass sich dieses Ziel verwirklichen läßt, denn den Kontakt zu deinen Netzpartnern willst du ja sicherlich nicht gleich komplett abbrechen, oder? Sobald aber Datenaustausch zwischen zwei Rechnern möglich ist, ist es grundsätzlich auch möglich, dass schädliche Software auf diesem Weg wirkt bzw. es zumindest versucht (dass man was dagegen tun kann, ist ja klar).

ich kann und will auf die anderen netze komplett verzichten.

Das Routing orientiert sich nicht an unterschiedlichen oder gleichen Subnetzmasken. Diese dienen in Kombination mit einer IP ja lediglich dazu, den Netzbereich zu kennzeichnen. Deutlicher wird das noch, wenn man die alternative Notation verwendet: 192.168.1.0/24 bzw. 10.0.1.0/24.

ok, ich gehe also nun davon aus, dass das keine probleme macht.

• ich dachte immer, wenn ich unterschiedliche subnetze habe, habe ich auch verschiedene netzmasken pro subnetz. anscheinend ist das ja wohl aber nicht so, richtig? bei meinem o.g. beispiel habe ich also überall die gleiche netzmaske, trotzdem aber verschiedene netze?

Die Subnetzmaske gibt an, welche Bits einer IP-Adresse die Netzwerkadresse sind, und wieviele Bits der IP-Adresse der Hostanteil sind.

heisst also, dass mein aufbau mit den genannten adressen als verschiedene subnetze erkannt wird, obwohl geiche maske?!

Dein Netzaufbau ist mir aber noch nicht wirklich deutlich. Einfach nur vier Netze zu definieren ist etwas zu wenig. Damit dein erwünschter Sicherheitsgewinn auf aufgeht, mußt du zwingend auch vier Netzwerkkarten in deinem Router haben, ...

Außerdem: Wie paßt dein NAT-externes Netz 192.168.1.0 da noch mit rein, wo soll das angeschlossen werden? Und wie kommst du ins Internet?

ok, jetzt wirds schwierig ;) zuerst meine verfügbaren komponenten:

• (R) router
• (RW) wlan router
• (S) 'server' mit windows, da ein windows-only programm gebraucht wird. zwei netzwerkarten.
• (SV) virtual-'server', welcher ein fli4l router in einer vmware ist. setzt auf die zwei netzwerkkarten auf, kann aber theoretisch auch 4 besitzen, schickt dann eben über virtuelle karten die daten verteilt raus (ich denke das geht). zweck ist primar QoS.

die definitiv einfachste lösung wäre natürlich: Internet - (R) - (RW) - mein netz                       - (S)                - anderer client 1                - anderer client 2                - anderer client 3

damit nutze ich die firewall des (RW) und hab mich abgesichert. problem dabei: ich hab keine kontrolle über die bandbreite, die anderen sind nicht geschützt.

meine jetzige konstruktion sol so aussehen: Internet - (R:192.168.1.0) - (SV) - (RW:10.0.1.0) - (S)                                                   - mein rechner 1                                                   - mein rechner 2                                   - anderer client 1                                   - anderer client 2                                   - anderer client 3

SV (192.168.1.100 <> 10.0.X.X) ist wie gesagt der fli und somit das kernstück. die anordnung, das SV vor S kommt sieht zwar komisch aus, funktioniert aber so. R ist momentan nur dafür da, die verbindung zu halten und eine erste firewall zu bieten, wird später wahrscheinlich wegrationaltisiert.

die frage ist jetzt (worauf ich eben die ganze zeit raus will), kann ich die trennung jetzt einfach mit subnetzen machen; anscheinend - wie sven gesagt hat - eben nur, wenn ich vier karten habe.

ansonsten muss ich mir aufwändige (und unflexible) routing, bzw. nicht routing sachen einfallen lassen. das ist zwar auch nicht ultrasicher, aber möglicherweise schon ausreichend. kommt dazu, dass ich je ohnehin noch einen router (RW) zwischen mir und 'den anderen' habe.

ok, das war jetzt ganz schön viel text, ich hoffe:

• ihr krümmt ecuh nicht vor lachen
• ihr seid noch nicht eingeschlafen ;)

beste grüsse, andreas