לשים כנעוץ?!

פשוט בושה--פשוט למחוק את השרשור הזה מיידית מהשטויות שרצים פה.

qtec--אתה טועה.

יש נתבים אשר נותנים לך כתובת ip חוקית במצב dmz.

מה הקשר פה לפורטים בכלל..כל זה בכלל מתבצע ברשת הפנימית שאתה רוצה לתקשר בין מחשבים שאתה בתוך רשת מוגנת.

תבינו,כאשר אין הפרדה מוחלטת בין רשת פנימית לחיצונית המידע שמשודר חשוף לאינטרנט ולא חומת-אש ולא מתג או שיטות עקומות פתרות את הבעיה-ז"א שאתה משדר פקטים דרך כרטיס רשת בכל 2 כתובות מקומית וחיצונית ללא רשת פנימית ונגיד יש לך מתג פשוט הוא מעביר הכל וגם כן דרך המודם והחוצה--שום דבר לא מגן עליך.

שתבין מה עושה ics ונתב אז תדבר.

זה שיש פה מהנדסים או הולי עם הרבה תגובות זה אומר משהו?!

פשוט אתה טועים ומטעים והולכים על שיטות עקומות,נקודה!

איך אתה חושבת שמתבצעת התקשורת בתוך הרשת הפנימית?

על איזה פרוטוקול? יש פרוטוקול אחד לאינטרנט ופרוטוקול שונה לרשת הפנימית? (יש מצב לקבל מהמבין הגדול תשובה לשאלה הזאת?)

גם אם יש לך מתג שמעביר הכל (כלומר Hub) המודם בחיים לא ישלח את החבילה החוצה כי היא מיועדת לכתובת IP שלא קיימת באינטרנט.

וגם אם המודם שלך מפגר ברמות ויעביר אותה החוצה זה יגיע לנתב המרכזי של הספק שלך שמיוצר ע"י CISCO והוא ב-10000% לא יעביר אותה לשום מקום.

the_cool , אישית לא הבנתי עדיין, אם המצב שלי לא מאובטח מבחינת שיתוף קבצים

אז איך קורה שללא FW או כל תוכנת הגנה אחרת בכלל, ושיתןף שפעיל ועובד ברשת הפנימית שלי, עדיין אי אפשר לגשת אליו מבחוץ ?

לשים כנעוץ?!

פשוט בושה--פשוט למחוק את השרשור הזה מיידית מהשטויות שרצים פה.

qtec--אתה טועה.

יש נתבים אשר נותנים לך כתובת ip חוקית במצב dmz.

מה הקשר פה לפורטים בכלל..כל זה בכלל מתבצע ברשת הפנימית שאתה רוצה לתקשר בין מחשבים שאתה בתוך רשת מוגנת.

תבינו,כאשר אין הפרדה מוחלטת בין רשת פנימית לחיצונית המידע שמשודר חשוף לאינטרנט ולא חומת-אש ולא מתג או שיטות עקומות פתרות את הבעיה-ז"א שאתה משדר פקטים דרך כרטיס רשת בכל 2 כתובות מקומית וחיצונית ללא רשת פנימית ונגיד יש לך מתג פשוט הוא מעביר הכל וגם כן דרך המודם והחוצה--שום דבר לא מגן עליך.

שתבין מה עושה ics ונתב אז תדבר.

זה שיש פה מהנדסים או הולי עם הרבה תגובות זה אומר משהו?!

פשוט אתה טועים ומטעים והולכים על שיטות עקומות,נקודה!

בהנחה שמוקצית לך אך ורק כתובת IP אחת לא תקבל כתובת IP ציבורית נוספת. במצב של DMZ HOST על כל פנים, זה הוא המצב.

גם ברשת המקומית יש שימוש בפורטים. זה חלק משיטת תקשורת בין מחשבים (ראה מודל OSI אם שכחת).

אל תכניס לי מילים לפה דבר ראשון.

הולי תבין:

דבר ראשון מדובר פה על מימוש מתג/האב עם חיבור לכבלים שזה מאוד שונה מאשר מימוש מתג/האב תחת adsl.

שנית,בתצורה הזאת אתה מבצע שיתוף לא בתוך ברשת פנימית מוגנת במופרדת מהרשת חיצונית,אתה משתף המידע ברשת WINDOWS עובר ב-NETBIOS שעובר אינקפסולציה לתוך פקטים של TCPIP ומשודר דרך כרטיס למתג ולמודם ביחד.

שאתה בתוך רשת מוגנת זה סיפור אחר.

לפותח התארד:

אל תתפלא אם המידע שלך יהיה באינטרנט או יפרצו לך לבעזרת סיסמה בלי בעיות למשאבים שאתה משתף...תחפש את הולי שיעזור לך.

די,מספיק...אם מנהל הפורום באמת מבין איך הסיפור הולך, השרשור הזה חייב להמחק.

אולי לא הייתי חשוף, בגלל שמי שניסה להכנס, לא היה מוגדר תחת אותו workgroup כמו שני המחשבים ברשת שלי ?

בהנחה שמישהו מקבל גישה , ואפילו חודר את הססמא, ורואה את התיקיות שאני משתף

האם מוגבל להרשאות שאני שם על התיקיות למשל (גישת read only)

והאם יש לו גישה גם לדברים שאני לא משתף ?

אל תכניס לי מילים לפה דבר ראשון.

הולי תבין:

דבר ראשון מדובר פה על מימוש מתג/האב עם חיבור לכבלים שזה מאוד שונה מאשר מימוש מתג/האב תחת adsl.

שנית,בתצורה הזאת אתה מבצע שיתוף לא בתוך ברשת פנימית מוגנת במופרדת מהרשת חיצונית,אתה משתף המידע ברשת WINDOWS עובר ב-NETBIOS שעובר אינקפסולציה לתוך פקטים של TCPIP ומשודר דרך כרטיס למתג ולמודם ביחד.

שאתה בתוך רשת מוגנת זה סיפור אחר.

לפותח התארד:

אל תתפלא אם המידע שלך יהיה באינטרנט או יפרצו לך לבעזרת סיסמה בלי בעיות למשאבים שאתה משתף...תחפש את הולי שיעזור לך.

די,מספיק...אם מנהל הפורום באמת מבין איך הסיפור הולך, השרשור הזה חייב להמחק.

במצב האידאלי שאתה מתאר עם ICS איך בדיוק מתבצע השיתוף? מעל איזה פרוטוקול? במקרה שלך החבילת NetBios לא עוברת אינקפסולציה לתוך פקטים של TCPIP?

אתה מדבר בכלל על שיתוף ברמת ווינדוס שאין לך שום קשר לשיתוף משאבים שאתה עושה כרגע שכולו חשוף ופרוץ לאינטרנט.

מה זה שיתוף ברמת וינדוס?!

יש לך מחשב אחד עם קבצים משותפים

יש לך מחשב אחר (באותה רשת) שרוצה לגשת למחשב הראשון

כל מה שנמצא בין 2 המחשבים זה כבל רשת (עם סוויץ באמצע)

איך הם מדברים אחד עם השני?

מעל איזה פרוטוקולים?

מעל TCP או לא?

תסביר לכולנו את התאוריה הגאונית שלך

איך בכלל אתה משווה לי בין שיתוף קבצים מאחורי nat לבין שיתוף בלי nat ?! שני דברים שונים.

שאתה משתף קבצים בתוך רשת מוגנת(להזכריך הפרדה בין רשת מקומית לחיצונית) אתה משתף קבצים באמצעות פרוטקולי השיתוף של microsoft והמידע שעובר בין המחשבים ברשת הפנימית מוגן(ברשת ics או רשת עם הנתב זה הסיפור).

שאתה נמצא בכבלים הסיפור שונה לחלוטין...בתצורה של חיבור ללא חייגן עם מתג/האב אין לך דבר ראשון רשת פנימית(בגלל שאין nat) ואז אין הפרדה בין רשת מקומית לחיצונית בכלל לא קיימת(אותו דבר תקף לגבי השיטה העקומה שהמלצת פה).

שאתה משתף קבצים ושולח נגיד פאקט דרך tcp/ip ואין לך שום הפרדה בדרך, והמידע שאתה משדר דרך כרטיס הרשת למתב שעובר גם למודם שלך(אתה יודע בכלל את המשמעות בכבלים?!) וגם למחשב המיועד ובלי קשר לפורטים בכלל!!.

בוא אני אגלה לך סוד

השיתוף קבצים עובד רק בצורה אחת ואין שום הבדל בין רשת פנימית לאינטרנט

בכל מקרה אתה משתף את הקבצים בעצמאות הפרוטוקולים של מיקרושיט שעובדים מעל SMB בלי קשר לסוג הרשת.

כשאתה עובד עם סוויץ אין שום סכנה שהמידע שאתה שולח ממחשב אחד יגיע למודם.

כשאתה עובד עם האב המידע יגיע למודם אבל הוא בחיים לא ישלח אותו כי ה-Source IP שלו הוא 192.168.0 והוא לא יהיה מוכן לשלוח מ-Source IP שהוא לא הקצה.

המודם ישלח חבילות רק אם הן מכתובת ה-IP שהוא הקצה למחשב באמצעות פרוטוקול DHCP. המנגנון הזה קיים בכל מודם.

בנוסף כשאתה ניגש ממחשב אחד ברשת למחשב השני ברשת אתה ניגש לכתובת ה-IP שלו. מאחורי הקלעים מתבצע פרוטוקול ARP שדרכו מחשב 2 מודיע למחשב 1 מה כתובת ה-MAC שלו (כתובת פיזית ברמת ה-Ethernet).

עכשיו כשמחשב 1 מתחבר למחשב 2 ה-IP Header יכיל את כתובת ה-IP של מחשב 2 וה-Ehternet Header יכיל את כתובת ה-MAC של מחשב מספר 2. (1. עם זה אתה מסכים?)

החבילה הזאת תמצא ממחשב מספר 1 ותגיע להאב. ההאב הטיפש ישלח את החבילה גם למחשב מספר 2 וגם למודם.

כרטיס הרשת של מחשב מספר 2 דבר ראשון יבדוק את כתובת ה-MAC של החבילה, אם הכותבת היא הכתובת שלו הוא יעביר את החבילה הלאה אחרת הוא יזרוק אותה. (2. עם זה אתה מסכים?)

את אותה פעולה בדיוק יבצע המודם - המודם יקבל את החבילה ודבר ראשון יבדוק את כתובת ה-MAC שלה, במקרה שלנו כתובת ה-MAC של החבילה היא כתובת ה-MAC של מחשב מספר 2 ולא כתובת ה-MAC של המודם לכן המודם יזרוק אותה. (3. עם זה אתה מסכים?)

המגנון הזה קיים ב-100% מהמכשירים שעובדים מעל TCP ובלעדיה האינטרנט לא היה מתקיים.

אני מבקש שתענה לי על 3 השאלות שלי

the_cool:

תגיד לי, הפעלת פיירוול על עצמך?

אני מבקש ממך, אל תטעה אנשים באינפורמציה חסרת ביסוס.

אתה טוען משהו מעכשיו תן בבקשה לינק למאמר שמוכיח את דבריך.

ועכשיו אני אחזור על ההסבר הנכון לצורך העבודה של הדברים - אולי אולי יכנס משהו.

כאשר יש לך פרוטוקול כמו Netbios למשל, הוא פרוטוקול ברמת האפליקציה. הוא רוכב על פרוטוקול שנמצא מתחתיו כגון ה TCP, ואחר כך יורד לשכבת ה IP. בהגדרה ל Header של TCP יש פורט מוצא ופורט יעד. כל תקשורת ברמת ה TCP יוצאת מפורט מסויים ומיועדת לפורט מסויים. רשת פנימית או רשת חיצונית זה חסר משמעות, התקשורת מתבצעת בדיוק באותה צורה.

כלומר במצב שיש לך ל Host מסויים שמופנים אליו הפורטים של Netbios, או כל אפליקציה אחרת על ידי ראוטר כלשהו, או בגלל שיש לו כתובת IP תקנית הוא יהיה חשוף. יהיה זה מחשב מאחורי ראוטר שמופנים אליו הפורטים, או מחשב מאחורי ראוטר שמוגדר כ DMZ או סתם מחשב שיש לו כתובת IP אמיתית.

ברגע שיש חומת אש שחוסמת את הפורטים האלה כל אפליקציית ה Netbios (וה Netbios הוא אכן אפליקציה לפי טופולוגיה של רשתות) פשוט לא תעבוד. פיירוול חכם יאפשר לך להגדיר גישה לפורטים האלה ממחשבים מכתובות IP ממחשבים שאתה רוצה שיוכלו לגשת למשאבים X,Y,Z. פיירוול טיפש יאפשר רק פתיחה וחסימה של הפורטים.

אחרי שהבהרנו את הנקודה הזאת נחזור לנושא המתג.

יש 2 סוגי מתגים. מתג ברמה 2 של מודל ה OSI ומתג ברמה 3. רוב המתגים (וכל אלה שאפשר לקנות בכמה גרושים לבית) הם ברמה 2.

אם המתג הוא ברמה 3 הוא עובד ברמת ה IP, ולצרכים שלנו מתנהג כראוטר, כך שאין בעיה של זליגת מידע.

מתג ברמה 2 לא מעביר פקטים של IP. הוא לא יודע מה זה. הוא אפילו לא יודע מה זה IP. לא קיים המושג הזה במתגים.

ברמה הבסיסית העבודה של מתג היא מאוד פשוטה. הוא לוקח פריים של Ethernet שמגיע מרגל אחת, ומעביר אותה לרגל אחרת. ברוב המקרים הוא מעביר אותה לרגל אחת בלבד, ולא לכל הרגליים שלו.

הוא עושה את זה בעזרת כתובת ה MAC. לכל פריים שמגיע ב Header שלו כתובה כתובת המוצא וכתובת היעד. MAC כמובן. המתג בודק בטבלאות שלו באיזה רגל נמצאת הכתובת המבוקשת ומעביר את הפריים לשם בלבד, ולא לשום מקום אחר.

לכלל הזה יש 2 יוצאים מהכלל:

1. כאשר שולחים Broadcast או Multicast על גבי הרשת.

2. כאשר המתג לא יודע באיזה רגל נמצאת כתובת ה MAC המבוקשת. במצב הזה ברגע שכתובת המחשב בעל כתובת ה MAC מתקשר ברשת, מיד המתג ידע איפה הוא, ובפעם הבאה הוא לא יצטרך לבצע יותר Broadcast.

עכשיו, נניח לצורך הדיון שמסיבה 2 המתג ביצע Broadcast לפריים או שניים לפני שהוא הצליח לאתר את מיקומה של כתובת היעד. במקרה כזה המידע ימשיך בדיוק עד שמכשיר ברמה 3 ומעלה של מודל ה OSI יעצור את המידע. (הולי - המודם הוא סה"כ מודם. במידה והוא לא גם ראוטר וחייגן בד"כ אין לו סיבה לבצע ואני לא חושב שהוא מסוגל לבצע פעולות ברמה 3 של מודל ה OSI, אלא רק ברמה 1). במקרה שלנו זה ה Gateway המוגדר בחיבור האינטרנט, וזאת התחנה הראשונה של הספק - רחוק מאוד מהגעה לרשת האינטרנט. ה Gateway לא יעביר אותו הלאה כיוון שהוא יודע שכתובת IP של היעד לא נמצאת בצד השני שלו.

עכשיו, בנוגע להבדל בין ADSL וכבלים זה חסר משמעות. לטכנולוגית ADSL או כבלים אין שום משמעות מבחינת הטופולוגיה של הרשת. ADSL וכבלים הם סה"כ 2 מדיות המשמשות להעברת מידע. לצורת הקידוד של המידע על הקו אין משמעות. זה צינור שמחבר אותך לאינטרנט.

הוא יכול לשמש כ Tunnel לרשת אחרת, או לשמש כנתב בעצמו כאשר הוא נמצא באותה רשת.

Kidney_Stone:

לא יודע למה לא ניתן להגיע לפורט המדובר, משהו בכל זאת חוסם.

לפי התגובה של הולי קודם הוא ביצע סריקה של הפורטים והם סגורים. כלומר הוא לא מגיע למצב של תקשורת בפרוטוקול SMB.

ברגע שמישהו כבר כן מקבל גישה, האבטחה שלך זה כבר עניין של האפליקציה (מערכת ההפעלה/המימוש של פרוטוקול השיתוף).

כלומר, גם אם מישהו מצליח לגשת לפורטים של הפרוטוקול ואפילו ניחש את הסיסמה שלך הוא אמור להיות מוגבל לרמת ההרשאות שהגדרת. כלומר הוא לא יוכל למחוק קבצי Read Only למשל, ולא יוכל לראות דברים שהם לא משותפים.

כמובן שהכל בתאוריה, ותלוי בבאגים ופגמים למיניהם בתכנות של מיקרוסופט.

אני לא איש אבטחת מידע - אז אני לא עוקב במודע אחרי הדברים האלה, אבל לא שמעתי דברים מחרידים על האבטחה של פרוטוקול SMB וה NTFS, לפיכך אני מניח שזה בטוח למדי.

זהו,אני רואה שאתה החלטתם להגיד שטויות עד הסוף ושום דבר שהבאתם או אמרתם לא מוכיח אחרת,דבר ראשון!!

שנית,adsl וכבלים זה 2 דברים שונים לחלוטין והעברת המידע בהם שונה במיוחד שאתה בחיבור ללא חייגן,מתג/האב ומודם כבלים--תבינו הדבר שונה!

רואים שאין לכם מושג איך הדבר הולך.

אתם יכולים להגיד עד מחר שזה בטוח או משהוא...פשוט לחפש שיטות עקומות להעברת מידע,זה פשוט להטעות אנשים.

נקודה,כאשר אין הפרדה בין רשת מקומית לציבורית המידע שאתה משתף פשוט לא בטוח.

תתחילו ללמוד על שיתוף קבצים דרך tcp/ip ללא nat ושיתוף קבצים דרך nat.

שבת שלום.

טוב, נמאס לי.

אני לא משה, ואני לא יכול להוציא מים מאבן.

the_cool:

סליחה שהתווכחתי איתך.

באמת. אתה צודק ואני טועה.

בכלל אני אידיוט. אני לא מבין למה שרפתי 3 שנים מהחיים שלי והרבה כסף בשביל לקבל תואר במדעי המחשב כאשר רואים בבירור שהייתי יכול פשוט לבוא לכאן ולשאול אותך. הייתי גם מבין יותר טוב כנראה ומקבל עבודה יותר טובה.

אגב עבודה, אולי אתה מבין משהו ב Linux Bios?

אני פשוט בדיוק צריך לבנות מערכת עם Flash מוצפן שמריץ Embedded Linux, וחשבתי לעשות את זה בעזרת Linux Bios עם קצת שינויים.

חשבתי שאתה כנראה מבין גם בזה, ותחסוך לי את הזמן של קריאת כל מני מסמכים טכניים שכנראה גם מוטעים.

אני באמת מאוד אודה לך אם תוכל לעזור.

ולסיכום

פחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחחח

חשבת לשלוח קורות חיים ל-CISCO? שמעתי שהם מחפשים אנשים