אולי אפילו ספק האינטרנט חוסם את הפורטים המדוברים?

אני חושב שאפשר לסכם פה

אפשר לחבר רשת בצורה שפותח התראד הציע ויהיה שיתוף קבצים בתוך הרשת הפנימית ללא שום בעיה ב-100Mbps

במצב הזה חובה להתקין Firewall על כל מחשב כי בעצם כל מחשב חשוף לאינטרנט. רצוי אפילו להתקין אחד קצת יותר טוב מה-Firewall שמגיע עם SP2.

המצב הזה לא הכי מומלץ בעולם בגלל שכל המחשבים חשופים להתקפת מהאינטרנט.

ב-ICS כל הלקוחות מוגנים ע"י ה-NAT אבל מחשב השרת חשוף בדיוק באותה מידה כמו שכל אחד מהמחשבים חשופים בפיתרון שהוצע פה.

לסיכום

ICS

חסרונות

1. הסתבכות עם הפניית פורטים והגבלה של הפניית פורט ספציפי למחשב אחד בלבד.

2. מחשב השרת חשוף לאינטרנט.

3. אם השרת כבוי הלקוחות לא יקבלו אינטרנט.

יתרונות

1. מחשבים הלקוחות מוגנים בצורה יחסית טובה (אבל עדיין ה-ICS בלבד לא מגן על תקשורת יוצאת)

השיטה שהוצעה פה

חסרונות

1. כל המחשבים חשופים בדיוק באותה מידה כמו מחשב השרת ב-ICS.

2. מוגבל ל-3 מחשבים.

יתרונות

1. אין סיבוך עם הפניית פורטים, כל המחשבים מחוברים ישירות לאינטרנט.

2. אין תלות במחשב מרכזי.

נתב

חסרונות

1. סיבוך עם הפניית פורטים

2. בגלל הסיבוך בפורטים יש נטיה להגדיר את אחד המחשבים כ-DMZ, במקרה הזה אותו מחשב חשוף בדיוק כמו מחשב השרת ב-ICS וכמו כל המחשבים בשיטה שהוצעה פה.

יתרונות

1. כל המחשבים מוגנים בצורה יחסית טובהכל עוד אין DMZ (שוב אין הגנה לתקרושת יוצאת)

חיבור ישיר לאינטרנט

חסרונות

1. המחשב חשוף לאינטרנט בדיוק כמו במקרים האחרים

2. מוגבל למחשב אחד

יתרונות

1. אף אחד לא לוקח לך את רוחב הפס

בכל שלושת הדרכים יש שיתוף קבצים ב-LAN במהירות 100MBps אבל

1. ב-ICS מחשב השרת חשוף לניצול הקבצים המשותפים

2. בשיטה שהוצעה פה כל המחשבים חשופים לניצול הקבצים המשותפים

3. הנתב מוגן כל עוד לא פתחו ישירות את הפורטים עליהם עובד השיתוף וכל עוד לא הוגדר אחד המחשב כ-DMZ.

אני אישית הייתי מוותר על האבטחה ש-NAT מציע ובוחר בשיטה שהוצעה פה בגלל הנוחות. כמובן שהייתי מתקין Firewall טוב על כל אחד מהמחשבים.

מומלץ לקחת מחשב ישן, להתקין עליו צ'קפוינט לתקוע אותו בין המודם לסויטץ'

מבחינת צריכת משאבים- אחד המחשבים ברשת שלי חלש יחסית (אפילו מאד) ולא הייתי רוצה להכביד עליו עם פיירוול, והמחשב החזק הוא מחשב משחקים מזדקן, וגם בו לא הייתי רוצה להקדיש משאבים לפיירוול

לעומת זאת כבר נשבר לי מהNAT הזה, וגם אני רוצה לעבר לכבלים שם אין נתב משולב מודם, ולא הייתי רוצה להתעסק עם ICS, או שרת

האם יש פיתרון למצבי או שאין מנוס מהתקנת פירוול?

מחשב שמחובר ישירות לאינטרנט ללא Firewall בסיסי (אפילו זה של SP2) לא ישרוד באינטרנט.

תוך כמה ימים הוא יתמלא בכל טוב ויתחרפן.

אין מה לעשות - מחשב שמחובר ישירות לאינטרנט חייב Firewall ורצוי אחד יותר טוב מזה של SP2.

בשיטה שתוארה המחשב נחשב כמחובר ישירות לאינטרנט?

אולי אפילו ספק האינטרנט חוסם את הפורטים המדוברים?

אני מאמין שלא.

בשיטה שתוארה המחשב נחשב כמחובר ישירות לאינטרנט?

כן.

פותח הת'ראד - אולי כדאי לשנות כותרת למשהו שישקף את מה שהתחולל כאן

מורן - אולי כדאי שזה יהיה בסטיקי אפילו... או לינק לת'ראד. אני אשאל את אור אם אין לך התנגדות.

כן

כל מחשב מקבל כתובת IP חיצוני שונה של האינטרנט

אין שום קשר ושום תלות בין המחשבים בכל מה שקשור לאינטרנט חוץ מרוחב הפס שמתחלק בדיוק כמו ב-ICS ונתב

אולי צחקתי בקשר לצ'קפוינט, אבל לא צחקתי כשאמרתי לקחת מחשב ישן ולתקוע אותו בין הסויטץ' לבין המודם.

אם אתה יכול להרשות לעצמך דבר כזה זה מצויין.

עדיין לכל מחשב יש כתובת חיצונית, מוגנים שלושתם על ידי חומת אש אחת ואפשר לחסום לאפשר איזה תנועה שאתה רוצה.

שמעתי דברים טובים על פיירוול שנקרא monowall.

לא מכיר אישית.

אני מאמין שלא.כן.

פותח הת'ראד - אולי כדאי לשנות כותרת למשהו שישקף את מה שהתחולל כאן

מורן - אולי כדאי שזה יהיה בסטיקי אפילו... או לינק לת'ראד. אני אשאל את אור אם אין לך התנגדות.

אני עדיין מחכה ש-"המגניב" יבוא ויגיד שהוא טעה

לא ממש אכפת לי שזה יהיה סטיקי אבל לא נראה לי שזה צריך להיות סטיקי

סה"כ מדובר בתצורה שהיתה די ידועה למיטב ידעתי

זה לא הדיון הראשון על תצורת החיבור הזאת, פשוט זה היה הראשון שנמרח על כל כך הרבה עמודים בגלל שמישהו היה בטוח שהוא גאון וכל העולם טועה.

אבל אתה מוזמן לעשות עם הדיון מה שאתה רוצה.

אז עדיף לפחות שתשונה הכותרת ל"שיטות חיבור" או משהו דומה.

צודק, סטיקי זה יותר מדי.

"המגניב" אה?

ממש ממש לא,מה אתה מסכם ומדבר שטויות.

לוותר על nat..אתה מאוד מציק הגנה מאוד יעילה.

לא נורא...תמשיך לא להבין ולהטעות אנשים והלמליץ להם על שיטות לא בטוחות לאבטחת מידע.

אם הייתי מבין את השיתוף והעברת המידע נעשים לא היית מדבר ככה.

זה פשוט בושה שנותנים לאדם כמוך לדבר שטויות כאלה.

ולאחרים:

איפה כל אלה שיש להם מושג ברשתות שיסבירו להולי שהוא טועה ואתה עושה אבל לפורום הזה.

אתה כל הזמן מדבר על netbios שזה לא קשור בכלל לתצורת הרשת שפותח התראד יצר.

ics-המידע ממש לא חשוף,תבין שיש nat שעושה לך את הפרדה בין המידע שמיועד לרשת פנימית וחיצונית.

נתב-גם עושה לך את אותה הפרדה+חומת-אש חומרתית שנונת לך הגנה וסינון על המידע שנכנס.

על איזו הסתבכות של פורטים אתה מדבר--מה בעיה להפנות פורטים בדיוק?

לגבי dmz--זה אומר שכל הפורטים יפנו לאותו מחשב...לשיתוף המידע לא יקרה כלום כי המחשב עדין נשאר ברשת הפנימית.

אם יש לך נתב אשר נותן למחשב כתובת Ip חיצונית בdmz זה סיפור אחר(dmz לא קשור לעניין).

בחיבור ללא חייגן--פשוט אסור לשתף קבצים.

לדעתי הדברים שלך לא מדויקים.

תיקון לכמה מהם-

DMZ בנתב כלל וכלל לא מקצה כתובת חיצונית למחשב בDMZ. *תוקן*

ברגע שיש DMZ כל הפניות לפורטים ובכללם פורט 445, 139 , 138, 137 המשמשים לשיתוף חשופים, ובמידה ואין משהו שחוסם אותם ניתן לגשת לשיתופים של המחשב ברשת מרחוק.

the_cool מה ההשכלה שלך? כי יש לך לא אחד, אלא שני אנשים עם תואר ראשון בהנדסת מחשבים שאומרים לך שאתה טועה, ועוד מביאים הוכחות ומאמרים שתומכים בהם, לקורא לא מבין מהצד (אני) יצאת טועה...

ולבעייתי- אם אני מגדיר שרת שכזה (ויש לי את כל הציוד הדרוש, בערך) מה החסרונות המרכזיים? ויותר למה שחשוב לי- כמה מסובכת ההגדרה? האם כל מחשב עדיין יקבל IP נפרד? זה חשוב בעיקר למשחקי רשת, בהם בתצורת הNAT הנוכחית יש מצבים שלא מאפשרים לי לארח או להתארח, גם כשהפורטים פתוחים

אני דיברתי על netbios? תראה לי הודעה אחת שכתבתי את המילה netbios

ב-ICS למחשב השרת אין כתובת חיצונית? מה מגן עליו? למה נראה לך שאי אפשר להכנס לקבצים שאצלו שבשיתוף?

הבעיה להפנות פורטים היא

1. יש תוכנות שמקצות פורטים רנדומליים לתקשורת - מה אתה עושה במקרה כזה? (כמו צד הלקוח ב-Passive FTP או צד השרת ב-Active FTP)

2. יש תוכנות שבהם יש פורטים קבועים ולא ניתן לשנות אותם - איך תגרום לתוכנה כזאת לפעול על מספר מחשבים?

3. יש תוכנות (ובעיקר משחקים) שלא מפרסמים באיזה פורטים הם משתמשים - לך תשבור את הראש לגלות איזה פורטים אתה צריך לפתוח.

כל השיתוף קבצים ב-XP עובד מעל SMB שהתקשורת בו מתבצעת מעל פורטים 445, 135 ו-139 של TCP.

כשאתה משתף קבצים אתה לא יכול להגיד שאותם קבצים יהיו משותפים רק לרשת הפנימית, הקבצים משותפים לכל מי שמצליח להתחבר למחשב שלך.

ברגע שאתה מחובר ישירות לאינטרנט (כמו מחשב שרת ב-ICS) או שהגדרת DMZ (עם כתובת IP פנימית) אפשר בתנאי שאין Firewall ליצור TCP Connection מול אותם פורטים ולנהל מולך פרוטוקול SMB. מהרגע שהתקשורת הזאת נוצרה אין שום אבחנה אם היא נוצרה מרשת פנימית או מהאינטרנט והקבצים ששיתפת יהיו חשופים לכל.

אולי תספר לכולנו איזה השכלה יש לך בנושא?