Anmerkung: Obwohl Intranet und DMZ vielleicht bereits schon auf Ethernet-Ebene
durch dedizierte Interfaces voneinander getrennt sind, so muss in jedem
Fall noch eine Firewall-Regel zur Trennung auf IP-Ebene eingerichtet
werden!
Dabei soll der Server-Dienst vom Internet und aus dem Intranet heraus erreichbar sein, aber jeglicher IP-Traffic aus der DMZ Richtung Intranet soll unterbunden werden. Für das obige Beispiel ergäbe sich folgendes:
- Bei einer “Allow-All”-Strategie (default): Zugriff von “123.45.67.2” auf “Alle Stationen im lokalen Netz” verbieten
- Bei einer “Deny-All”-Strategie: Zugriff von “Alle Stationen im lokalen Netz” auf “123.45.67.2” erlauben
