ברשותי ראוטר של EDIMAX . עדין לא חיברתי אותו כי ברשותי רשת שיוצאת ממחשב מרכזי א' . בפורומים אני קורא הרבה על בעיות הפתיחת פורטים .

שאלתי : אם אני אבטל לגמרי את הפיירוול של הראוטר כי לכל מחשב ברשת יש כבר פיירוול האם זה יאפשר כניסה חלקה לתוכנות לתוכניות ולמשחקים ללא פתיחת פורטים?

תודה

אין קשר בין העברת פורטים לפיירוול. העברת פורטים זה פונקציה של חלוקת המידע, חלק מעיבוד המידע שהנתב עושה. הפיירוול זה רק חסימת המידע. בכל מקרה אתה תצטרך לעשות העברת פורטים. אבל זה לא בעייתי, וברגע שאתה עושה את זה זה אמור לעבוד.

אם אתה משתמש ב NAT אז לא.

כשאתה פותח פורטים ראוטר/פיירוול שמשמש כ NAT אתה לא רק עורך את ה ACL אתה גם צריך לקבוע לאן לשלוח את הפאקט

אני יתן דוגמה:

נניח שאתה רוצה להקים שרת FTP ברשת שלך ואתה משתמש בטווח IP של 192.168.1.0/24 לרשת הפנימית שלך והמחשב שעליו

אתה רוצה להקים שרת FTP נמצא ב 192.168.1.1 אז אתה עושה את כל ההגדרות פותח פורט 21 וכו. עכשיו אתה רוצה לגשת עליו מהאינרנט

אתה לא יכול להשתמש בכתובת 192.168.1.1 כי זאת כתובת פנימית ( ראה RFC 1918 ), לכן ה ISP שלך הביא לך IP שהוא תקין באינרנט

נניח שזה 88.153.238.27 כאן בעצם הקטע של ה NAT נכנס לתמונה אתה צריך להגיד לראוטר/פיירוול שלך להקשיב לפורט 21 אבל זה לא מספיק

כי ברגע שהוא יקבל פאקט לפורט 21 אין לו מושג לאן לשלוח את זה יש לו 253 אפשרויות במקרה הזה לכן אתה צריך להגיד לו לאיזה IP לשלוח את זה

במקרה הזה 192.168.1.1 . דרך אגב נתקלתי בכמה מערכות NAT שעושות broadcast לפאקט אם הם לא יודעות לאן לשוח את זה אבל זה נדיר

ויותר גרוע זה יכול לשמש כפרצת אבטחה

אני מקווה שזה עזר לך

אם אתה מחפש פתרון פשוט בלי שתצטרך לפתוח ידנית את כל הפורטים ולכוון אותם למחשב שלך תחפש אם יש לראוטר שלך אפשרות להגדיר DMZ , אם כן שים את המחשב שלך בDMZ.

במקרה כזה כל הפורטים יהיו פתוחים ומכוונים אוטומטית למחשב הזה.

אם אתה מחפש פתרון פשוט בלי שתצטרך לפתוח ידנית את כל הפורטים ולכוון אותם למחשב שלך תחפש אם יש לראוטר שלך אפשרות להגדיר DMZ , אם כן שים את המחשב שלך בDMZ.

במקרה כזה כל הפורטים יהיו פתוחים ומכוונים אוטומטית למחשב הזה.

תקן אותי אם אני טועה אבל אף פעם לא נתקלתי בראוטר שמספק DMZ ועד כמה שאני יודע אין קשר בין port forwarding ו DMZ

הaztec 600E מאפשר את זה(המודם/ראוטר שבזק מספקת ללקוחות שלה).

דווקא הרבה ראוטרים מספקים את האופציה להגדיר DMZ (לי יש DLINK והוא מאפשר את זה).

כעקרון אתה צודק לגבי זה שאין קשר בין הport forwarding ל DMZ כי אחד מהם קשור לNAT והשני לאופציות הגנה של ה firewall אבל במקרה של ראוטר ביתי הDMZ בדרך כלל מוגבל למחשב אחד שבו כל הפורטים ייפתחו ולכן גם יופנו אוטומטית אליו (אחרת אין משמעות לשים אותו בDMZ). ככה זה בראוטר שלי וגם ברוב האחרים שאני מכיר.

הaztec 600E מאפשר את זה(המודם/ראוטר שבזק מספקת ללקוחות שלה).

http://www.aztech.com/prod_adsl_dsl600e.html

אם זה המודם/ראוטר שלך אז מישהו צריך להסביר להם מה זה DMZ ולמה אי אפשר לעשות DMZ בעזרת שני interfaces

לצערי הם עושים שימוש מטעה במונח DMZ . דרך אגב, ציטוט: "Protection against Denial of Service attacks" - זה רק מוכיח את החוסר

מקצועיות שלהם.

דווקא הרבה ראוטרים מספקים את האופציה להגדיר DMZ (לי יש DLINK והוא מאפשר את זה).

כעקרון אתה צודק לגבי זה שאין קשר בין הport forwarding ל DMZ כי אחד מהם קשור לNAT והשני לאופציות הגנה של ה firewall אבל במקרה של ראוטר ביתי הDMZ בדרך כלל מוגבל למחשב אחד שבו כל הפורטים ייפתחו ולכן גם יופנו אוטומטית אליו (אחרת אין משמעות לשים אותו בDMZ). ככה זה בראוטר שלי וגם ברוב האחרים שאני מכיר.

מה שתארת פה זה לא DMZ אלא port forwarding מסיבי וביטול הפיירוול ( אני חושב שגם ב 600E זה ככה ), שאם חושבים על זה זה בדיוק מה ש msy רצה... ואם חושבים על זה יותר

זה בדיוק ההפך ממה ש DMZ אמור לעשות, זה לא מספק שום הגנה למחשב ( או מחשבים ) שנמצא ב "DMZ" זה בדיוק כמו לשים את ה HOST מחוץ לפיירוול

ולא להשתמש ב NAT. הדבר השני היותר מטריד זה העובדה שבמקום שה HOST שנמצא ב DMZ יהיה ה "dead end" של הרשת שלך מבחוץ

ועל ידי זה להגן על הרשת הפנימית שלך ה "DMZ" הזה הוא בעצם הופך ל"כניסה חופשית" לרשת הפנימית במילים אחרות: פרצת אבטחה חמורה.

אני באמת לא יודע מה היתה הסיבה לקרוא לזה DMZ אבל זה ממש לא DMZ !

אוקי, חזרה לדיון בקשר לשאלה שלך msy, אני חושב ש gopher צדק לגמרי לגבי זה שאתה צריך לחפש את את האפשרות של ה "DMZ" אם

אתה רוצה "לבטל" (הוא עדין ירוץ פשוט לא תרגיש את זה ) את ה NAT בשביל לא לפתוח פורטים ידנית, אבל קח בחשבון שאתה חייב להתקין פיירוול על המחשב שאותו אתה שם ב "DMZ"

דרך אגב "DMZ != "DMZ

הפירוש של DMZ זה DEMILITIRZED ZONE (כן, גם בהקשר של רשתות) והכוונה היא מה שהוא עושה. שום הגנה ושום בקרה על המחשב שנמצא בIP שמוגדר שם. כל הפאקטים עוברים לשם בלי שום עיבוד. זה טוב אם אתה מריץ פיירוול תוכנתי על אותו מחשב ורוצה לדלג על הפיירוול של הראוטר אם אתה משתמש בו, אבל אני בכלל בכלל לא בטוח שזה יעזור לך במקרה של הפורטים. זה תלוי בנתב עצמו, ובאיזה שלב הוא מבצע את ניתוב הפורטים.

הפירוש של DMZ זה DEMILITIRZED ZONE (כן, גם בהקשר של רשתות) והכוונה היא מה שהוא עושה. שום הגנה ושום בקרה על המחשב שנמצא בIP שמוגדר שם. כל הפאקטים עוברים לשם בלי שום עיבוד. זה טוב אם אתה מריץ פיירוול תוכנתי על אותו מחשב ורוצה לדלג על הפיירוול של הראוטר אם אתה משתמש בו, אבל אני בכלל בכלל לא בטוח שזה יעזור לך במקרה של הפורטים. זה תלוי בנתב עצמו, ובאיזה שלב הוא מבצע את ניתוב הפורטים.

לגבי החוסר הגנה זה פשוט לא נכון, גם אם זה DMZ "מלוכלך" ( בין 2 ראוטרים ) אתה עדין מקבל הגנה מסויימת של הרואטר החיצוני

אתה כמובן יכול לכבות את ה packet filter בראוטר אז לא יהיה לך שום הגנה. מה שאני מנסה להגיד זה ש DMZ מספק הגנה

אם הגדרת נכון את ה ACL במקומות הנכונים.

וכמו שאמרתי בתגובה האחרונה שלי וזה יצא מאוד לא ברור בזכות היכולות כתיבה ה"מדהימות" שלי, הסיבה העיקרית לשימוש ב

DMZ זה למנוע או לפחות לצמצם גישה ולספק אבטחה לרשת הפנימית על ידי זה שאנחנו מבודדים את את הכניסה וה"סיכון" של הרשת.

לאזור שהוא "ניטרלי" - לא פנימי ולא חיצוני בדיוק כמו Demilitarized zone - המונח הצבאי.

Demilitarized zone זה לא "please hack our systems zone"

DMZ לא יכול להיות על אותו interface עם הרשת הפנימית נקודה.

"כל הפאקטים עוברים לשם בלי שום עיבוד"

תחשוב טוב ותגיד לי מה לא בסדר במשפט הזה...

ולא הבנתי את החלק האחרון של התגובה שלך בכלל:

"זה תלוי בנתב עצמו, ובאיזה שלב הוא מבצע את ניתוב הפורטים"

אני ישמח אם תסביר

התכוונתי שכל הפאקטים עוברים לשם בלי שום בקרה מהפיירוול, או בלי התייחסות לפורט ברוב המקרים. פאקט שמיועד להגיע לכתובת פנימית מסויימת, מנותב לשם באופן אוטומטי.

לגבי הקטע של ניתוב הפרוטים, אני לוקח את זה בחזרה עד שאני אדע בדיוק איך לנסח את זה ועל מה אני מדבר

אני מסכים בקשר למה שאמרת על DMZ וברשתות גדולות זה באמת מונח שמשמש להגדרת מחשבים שחשופים יותר לרשת ומופרדים מכאלה שחשופים פחות. היצרנים של הראוטרים הביתיים משתמשים במונח בצורה שונה. ה"DMZ" בראוטר ביתי נועד לאפשר למשתמש שלא רוצה להתעסק בהגדרת פורטים לפתוח את כל הפורטים ולכוון אותם למחשב שלו. ה"DMZ" של ראוטר ביתי לא עושה הפרדה של ממש בין המחשב שב"DMZ" לשאר הרשת ככה שצריך להיזהר עם זה.

בשביל DMZ אמיתי צריך פיירוול אמיתי ולא כזה שבא עם ראוטר לשימוש ביתי.