אם זה עוזר לדיון, נשארתי במצב המדובר עד עכשיו

ביטלתי לנסיון את ה FW של SP2 , שמלבדו אין לי תוכנות הגנה נוספות

והשארתי את השיתוף פעיל על תיקיות לא חשובות (עדיין עובד ב"רשת הפנימית", השיתוף)

ביקשתי במסנג'ר מכמה וכמה אנשים לנסות להכנס לשיתוף שלי מבחוץ , לפי כתובת ה IP האינטרנטית של החמשבים המשתפים

אף אחד לא הצליח

אתם מוזמנים לנסות (בינתיים החזרתי את ה FW של SP2) , כתובת המחשב הראשי שלי היא (xxxxx.no-ip.org צונזר, היה רלוונטי רק לזמן הדיון)

אם מישהו מצליח להכנס לשיתוף, יש לו הרשאות READ ONLY, והוא מוזמן לספר לנו איזה קבצים אני משתף שם.

כנס ל-control panel

admin tools

computer managment

local users and groups

users

ה-Guest שם על disabled או לא?

אתה מצליח לגשת לקבצים המשותפים דרך הרשת הפנימית?

עריכה - משהו חוסם אצלך את פורטים 445, 139 ו-135 ככה שאתה מוגן

בטוח שאין לך איזה תוכנת הגנה פועלת על המחשב?

guest עובד, לא ביטלתי אותו

(ערכתי את ההודעה למעלה, כרגע ה FW של SP2 שוב פעיל)

אני מצליח לגשת לקבצים המשותפים דרך הרשת הפנימית, כן.

תבטל אותו שניה אני אגיד לך מה המצב אצלך

אתה היחידי שפה מטעה ואני בטוח שגם בעבר הטעת פה אנשים אם הבורות שלך!! אני נדהם מהתגובות שלך פשוט.

כל מה שאמרת בכלל לא רלוונטי כי המידע בכלל מוכנס לאחר מכן לפקטים של פרוטוקול tcp/ip ומשם הוא צריך להיות מנותב לכן,שום פורטים ושום דבר אחר לא קשורים,תפסיק לדבר שטויות!!!!!

עוד הפעם--מתג לא יוצר הפרדה ולכן המידע שאתה משדר חשוף לאינטרנט,נקודה ואתה יכול להגיד מה שאתה רוצה!!!

מנהל הפורום--איפה התגובה שלך בשרשור הזה?

לא יכול להיות שאתה נותן לבן-אדם לדבר שטויות ולהטעות אנשים וככה לסכן את המידע.

איש "יקר",

תרגע. אני לא יודע מאיפה אתה שואב את המידע שלך, אבל הוא מוטעה מיסודו.

אני לא יודע מה הרקע שלך, אבל הרקע שלי בא ממספר לא קטן של קורסים ברשתות תקשורת כחלק מתואר ראשון במדעי המחשב.

כבעל הרקע הזה אני יכול לומר לך שאתה טועה.

העובדה שהמידע עובר בפרוטוקול TCP/IP לא קשור בכלל. כל תעבורה ברמה של TCP/IP מיועדת לפורט מסויים, והפורט הזה מוגדר ב Header של פרוטוקול ה TCP ברמה 4. מעבר לכך זה לא קשור בכלל.

פרוטוקול TCP עובד ברמה 4, IP ברמה 3 ובכלל סויטץ' עובד ברמה 2.

הסויטץ' מעביר את הפריים של המידע ברמה 2, לפי כתובות ה MAC של הנמען, והוא בכלל לא מודע לא לפרוטוקול ה TCP ולא לפרוטוקול ה IP, וזה לא מעניין אותו בכלל. כל מה שמעניין אותו הוא לאן הפריים מיועד, ואם המתג יודע לאיזה באיזה רגל הוא צריך לשלוח את הפריים.

הסויטץ' שולח Broadcast רק אם מבקשים ממנו באופן מיוחד או שהוא לא יודע באיזה רגל נמצא ה MAC המבוקש.

בומרנג:

DMZ הוא היעד אליו מנותב כל דבר שהנתב לא יכול לנתב. לדוגמה, נכנסת תקשורת כלשהי בפורט 40 לנתב, ולנתב לא מוגדר לאן הוא צריך לנתב את פורט 40. התקשורת הזאת תועבר ל DMZ.

בנוגע לפיירוול, פיירוול טוב יכול להבדיל בין כתובת אינטרנטית לבין כתובת פנימית ב LAN.

בנוגע לזיוף, אני לא יודע, לא התעסקתי בזה מעולם.

עריכה עבור the_cool:

אם אתה מעוניין ללמוד מעט איך עובדת תעבורת המידע ברשתות אתה מוזמן להתייעץ עם ההקדמה של סיסקו לאינטרנט כאן:

http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/introint.htm

ועם קצת מידע ספציפי בנוגע למתגים:

http://www.cisco.com/warp/public/473/lan-switch-cisco.shtml

סוף סוף עוד מישהו שמבין

והסימני קריאה שלך לא הופכים את מה שאתה כותב לנכון יותר

כמו שכתבתי קודם, אני מציע לך לקרוא עוד בנושא לפני שאתה כל כך בטוח.

איפה בדיוק בעבר הטעתי פה אנשים [glow=red,2,300]א[/glow]ם הבורות שלי?

אולי באמת שווה לקרוא לאחראי שיעזור לך לא להטעות אנשים.

אתה כותב שטויות, שום דבר ממה שאתה כותב לא מבוסס ופשוט חבל.

מה ההשכלה שלך בדיוק בנושא? 2 מאמרים שמצאת דרך גוגל?

נו, תהיתי מתי תגיעו ל- DMZ, רק ממה שאני יודע, זה לא ש- DMZ הוא לא מוגן-

הוא נגיש גם מהאינטרנט וגם מהרשת הפנימית, אבל לא יכול לגשת (או מוגבל מאוד בגישה) לרשת הפנימית, ותעבורה ממנו לרשת הפנימית עוברת inspection רציני.

בדר"כ ב- DMZ נמצאים שרתי האינטרנט של חברה שצריכים להיות מקושרים למאגרי המידע שלה.

כאשר אתה מקבל כתובת IP אינטרנטית (כלומר לא פנימית) לכל מחשב, ה- Firewall הפנימי מאוד לא אפקטיבי, כי הוא לא יכול להבדיל בין תעבורת LAN לאינטרנט. זה אומר שמישהו מהאינטרנט יכול לשלוח לך פקטות מזויפות מהאינטרנט ככה שתחשוב שהן מגיעות מה- LAN, ולגרום לך את כל הנזק בעולם שהוא רוצה.

לא הוא לא

כי כל ספק נורמלי או מודם נורמלי היום חוסם IP Spoofing מטעמי אבטחה

Nemesis - תוספת קטנה - כנראה שמדובר כאן על DMZ HOST - פונקציה של נתבים ביתיים וקטנים יותר (SOHO) - ניתן להגדיר DMZ ("איזור מפורז") למחשב ברשת הפנימית שלך. כאשר זה קורה מוסרת המחיצה בינו לבין האינטרנט כביכול, וכל הפורטים שלו פתוחים מלבד אלה ש"קודמו" אחרת -

(WIKI)

A home router DMZ host is a host on the internal network that has all ports exposed, except those ports forwarded otherwise.

זה בדיוק מה שהוא כתב

?

הוא כתב -

בומרנג:

DMZ הוא היעד אליו מנותב כל דבר שהנתב לא יכול לנתב. לדוגמה, נכנסת תקשורת כלשהי בפורט 40 לנתב, ולנתב לא מוגדר לאן הוא צריך לנתב את פורט 40. התקשורת הזאת תועבר ל DMZ.

זה קורה למיטב הבנתי בDMZ "אמיתי" כפתרון ארגוני.

אהה.... עכשיו הבנתי מה כתוב פה...

אז אם ככה כאשר הDMZ פעיל עבור מחשב (\או מכונה אחרת) כל התקשורת הלא מנותבת\ מקודמת תועבר אליו.

לא חייב להיות מחשב.

יכול להיות כל התקן שיש לו כתובת IP ומחובר לפורט ה LAN של הנתב.

ברור.

והנה הקישור למושג DMZ בWIKI

האם יש דרך לפעול על פי הדרך שהוצגה פה ללא פיירוול תוכנתי ועדיין לשמור על אבטחה ברמה נורמלית?

קודם ביטלתי את ה FW של SP2 , והולי ניסה להכנס לשיתוף אצלי , ולא עלה בידו

כנראה שאני איכשהו מוגן בכל זאת בדרך הזו.

אבל בוודאות לא ע"י תוכנת הגנה, שום FW או AV מותקנים במחשבים שלי.

אולי ההגנה דרך פיירוול של המודם?

איזה מודם יש לך?

סביר להניח שזה לא בגלל המודם אלא בגלל מערכת ההפעלה.

התקנת פיירוול תוכנה תמיד עדיפה. הגנה יכולה להגיע גם מפיירוול חומרה ייעודי, או התקנת נתב בבית - דבר שמוסיף לאבטחת המחשב\הרשת שלך בבית.