עבור לתוכן
View in the app

A better way to browse. Learn more.
HWzone - פורומים

A full-screen app on your home screen with push notifications, badges and more.

To install this app on iOS and iPadOS
  1. Tap the Share icon in Safari
  2. Scroll the menu and tap Add to Home Screen.
  3. Tap Add in the top-right corner.
To install this app on Android
  1. Tap the 3-dot menu (⋮) in the top-right corner of the browser.
  2. Tap Add to Home screen or Install app.
  3. Confirm by tapping Install.

פתרון בעיה לפתיחת פורטים - שאלה

על-ידי msy
ב רשתות ואינטרנט

Featured Replies

פורסם

ברשותי ראוטר של EDIMAX . עדין לא חיברתי אותו כי ברשותי רשת שיוצאת ממחשב מרכזי א' . בפורומים אני קורא הרבה על בעיות הפתיחת פורטים .

שאלתי : אם אני אבטל לגמרי את הפיירוול של הראוטר כי לכל מחשב ברשת יש כבר פיירוול האם זה יאפשר כניסה חלקה לתוכנות לתוכניות ולמשחקים ללא פתיחת פורטים?

תודה

  • ציטוט
    • פורסם

    אין קשר בין העברת פורטים לפיירוול. העברת פורטים זה פונקציה של חלוקת המידע, חלק מעיבוד המידע שהנתב עושה. הפיירוול זה רק חסימת המידע. בכל מקרה אתה תצטרך לעשות העברת פורטים. אבל זה לא בעייתי, וברגע שאתה עושה את זה זה אמור לעבוד.

  • ציטוט
    • פורסם

    אם אתה משתמש ב NAT אז לא.

    כשאתה פותח פורטים ראוטר/פיירוול שמשמש כ NAT אתה לא רק עורך את ה ACL אתה גם צריך לקבוע לאן לשלוח את הפאקט

    אני יתן דוגמה:

    נניח שאתה רוצה להקים שרת FTP ברשת שלך ואתה משתמש בטווח IP של 192.168.1.0/24 לרשת הפנימית שלך והמחשב שעליו

    אתה רוצה להקים שרת FTP נמצא ב 192.168.1.1 אז אתה עושה את כל ההגדרות פותח פורט 21 וכו. עכשיו אתה רוצה לגשת עליו מהאינרנט

    אתה לא יכול להשתמש בכתובת 192.168.1.1 כי זאת כתובת פנימית ( ראה RFC 1918 ), לכן ה ISP שלך הביא לך IP שהוא תקין באינרנט

    נניח שזה 88.153.238.27 כאן בעצם הקטע של ה NAT נכנס לתמונה אתה צריך להגיד לראוטר/פיירוול שלך להקשיב לפורט 21 אבל זה לא מספיק

    כי ברגע שהוא יקבל פאקט לפורט 21 אין לו מושג לאן לשלוח את זה יש לו 253 אפשרויות במקרה הזה לכן אתה צריך להגיד לו לאיזה IP לשלוח את זה

    במקרה הזה 192.168.1.1 . דרך אגב נתקלתי בכמה מערכות NAT שעושות broadcast לפאקט אם הם לא יודעות לאן לשוח את זה אבל זה נדיר

    ויותר גרוע זה יכול לשמש כפרצת אבטחה

    אני מקווה שזה עזר לך

  • ציטוט
    • פורסם

    אם אתה מחפש פתרון פשוט בלי שתצטרך לפתוח ידנית את כל הפורטים ולכוון אותם למחשב שלך תחפש אם יש לראוטר שלך אפשרות להגדיר DMZ , אם כן שים את המחשב שלך בDMZ.

    במקרה כזה כל הפורטים יהיו פתוחים ומכוונים אוטומטית למחשב הזה.

  • ציטוט
    • פורסם

    אם אתה מחפש פתרון פשוט בלי שתצטרך לפתוח ידנית את כל הפורטים ולכוון אותם למחשב שלך תחפש אם יש לראוטר שלך אפשרות להגדיר DMZ , אם כן שים את המחשב שלך בDMZ.

    במקרה כזה כל הפורטים יהיו פתוחים ומכוונים אוטומטית למחשב הזה.

    תקן אותי אם אני טועה אבל אף פעם לא נתקלתי בראוטר שמספק DMZ ועד כמה שאני יודע אין קשר בין port forwarding ו DMZ

  • ציטוט
    • פורסם

    הaztec 600E מאפשר את זה(המודם/ראוטר שבזק מספקת ללקוחות שלה).

  • ציטוט
    • פורסם

    דווקא הרבה ראוטרים מספקים את האופציה להגדיר DMZ (לי יש DLINK והוא מאפשר את זה).

    כעקרון אתה צודק לגבי זה שאין קשר בין הport forwarding ל DMZ כי אחד מהם קשור לNAT והשני לאופציות הגנה של ה firewall אבל במקרה של ראוטר ביתי הDMZ בדרך כלל מוגבל למחשב אחד שבו כל הפורטים ייפתחו ולכן גם יופנו אוטומטית אליו (אחרת אין משמעות לשים אותו בDMZ). ככה זה בראוטר שלי וגם ברוב האחרים שאני מכיר.

  • ציטוט
    • פורסם

    הaztec 600E מאפשר את זה(המודם/ראוטר שבזק מספקת ללקוחות שלה).

    http://www.aztech.com/prod_adsl_dsl600e.html

    אם זה המודם/ראוטר שלך אז מישהו צריך להסביר להם מה זה DMZ ולמה אי אפשר לעשות DMZ בעזרת שני interfaces

    לצערי הם עושים שימוש מטעה במונח DMZ . דרך אגב, ציטוט: "Protection against Denial of Service attacks" - זה רק מוכיח את החוסר

    מקצועיות שלהם.

    דווקא הרבה ראוטרים מספקים את האופציה להגדיר DMZ (לי יש DLINK והוא מאפשר את זה).

    כעקרון אתה צודק לגבי זה שאין קשר בין הport forwarding ל DMZ כי אחד מהם קשור לNAT והשני לאופציות הגנה של ה firewall אבל במקרה של ראוטר ביתי הDMZ בדרך כלל מוגבל למחשב אחד שבו כל הפורטים ייפתחו ולכן גם יופנו אוטומטית אליו (אחרת אין משמעות לשים אותו בDMZ). ככה זה בראוטר שלי וגם ברוב האחרים שאני מכיר.

    מה שתארת פה זה לא DMZ אלא port forwarding מסיבי וביטול הפיירוול ( אני חושב שגם ב 600E זה ככה ), שאם חושבים על זה זה בדיוק מה ש msy רצה... ואם חושבים על זה יותר

    זה בדיוק ההפך ממה ש DMZ אמור לעשות, זה לא מספק שום הגנה למחשב ( או מחשבים ) שנמצא ב "DMZ" זה בדיוק כמו לשים את ה HOST מחוץ לפיירוול

    ולא להשתמש ב NAT. הדבר השני היותר מטריד זה העובדה שבמקום שה HOST שנמצא ב DMZ יהיה ה "dead end" של הרשת שלך מבחוץ

    ועל ידי זה להגן על הרשת הפנימית שלך ה "DMZ" הזה הוא בעצם הופך ל"כניסה חופשית" לרשת הפנימית במילים אחרות: פרצת אבטחה חמורה.

    אני באמת לא יודע מה היתה הסיבה לקרוא לזה DMZ אבל זה ממש לא DMZ !

    אוקי, חזרה לדיון בקשר לשאלה שלך msy, אני חושב ש gopher צדק לגמרי לגבי זה שאתה צריך לחפש את את האפשרות של ה "DMZ" אם

    אתה רוצה "לבטל" (הוא עדין ירוץ פשוט לא תרגיש את זה ) את ה NAT בשביל לא לפתוח פורטים ידנית, אבל קח בחשבון שאתה חייב להתקין פיירוול על המחשב שאותו אתה שם ב "DMZ"

    דרך אגב "DMZ != "DMZ

  • ציטוט
    • פורסם

    הפירוש של DMZ זה DEMILITIRZED ZONE (כן, גם בהקשר של רשתות) והכוונה היא מה שהוא עושה. שום הגנה ושום בקרה על המחשב שנמצא בIP שמוגדר שם. כל הפאקטים עוברים לשם בלי שום עיבוד. זה טוב אם אתה מריץ פיירוול תוכנתי על אותו מחשב ורוצה לדלג על הפיירוול של הראוטר אם אתה משתמש בו, אבל אני בכלל בכלל לא בטוח שזה יעזור לך במקרה של הפורטים. זה תלוי בנתב עצמו, ובאיזה שלב הוא מבצע את ניתוב הפורטים.

  • ציטוט
    • פורסם

    הפירוש של DMZ זה DEMILITIRZED ZONE (כן, גם בהקשר של רשתות) והכוונה היא מה שהוא עושה. שום הגנה ושום בקרה על המחשב שנמצא בIP שמוגדר שם. כל הפאקטים עוברים לשם בלי שום עיבוד. זה טוב אם אתה מריץ פיירוול תוכנתי על אותו מחשב ורוצה לדלג על הפיירוול של הראוטר אם אתה משתמש בו, אבל אני בכלל בכלל לא בטוח שזה יעזור לך במקרה של הפורטים. זה תלוי בנתב עצמו, ובאיזה שלב הוא מבצע את ניתוב הפורטים.

    לגבי החוסר הגנה זה פשוט לא נכון, גם אם זה DMZ "מלוכלך" ( בין 2 ראוטרים ) אתה עדין מקבל הגנה מסויימת של הרואטר החיצוני

    אתה כמובן יכול לכבות את ה packet filter בראוטר אז לא יהיה לך שום הגנה. מה שאני מנסה להגיד זה ש DMZ מספק הגנה

    אם הגדרת נכון את ה ACL במקומות הנכונים.

    וכמו שאמרתי בתגובה האחרונה שלי וזה יצא מאוד לא ברור בזכות היכולות כתיבה ה"מדהימות" שלי, הסיבה העיקרית לשימוש ב

    DMZ זה למנוע או לפחות לצמצם גישה ולספק אבטחה לרשת הפנימית על ידי זה שאנחנו מבודדים את את הכניסה וה"סיכון" של הרשת.

    לאזור שהוא "ניטרלי" - לא פנימי ולא חיצוני בדיוק כמו Demilitarized zone - המונח הצבאי.

    Demilitarized zone זה לא "please hack our systems zone"

    DMZ לא יכול להיות על אותו interface עם הרשת הפנימית נקודה.

    "כל הפאקטים עוברים לשם בלי שום עיבוד"

    תחשוב טוב ותגיד לי מה לא בסדר במשפט הזה...

    ולא הבנתי את החלק האחרון של התגובה שלך בכלל:

    "זה תלוי בנתב עצמו, ובאיזה שלב הוא מבצע את ניתוב הפורטים"

    אני ישמח אם תסביר

  • ציטוט
    • פורסם

    התכוונתי שכל הפאקטים עוברים לשם בלי שום בקרה מהפיירוול, או בלי התייחסות לפורט ברוב המקרים. פאקט שמיועד להגיע לכתובת פנימית מסויימת, מנותב לשם באופן אוטומטי.

    לגבי הקטע של ניתוב הפרוטים, אני לוקח את זה בחזרה עד שאני אדע בדיוק איך לנסח את זה ועל מה אני מדבר :)

  • ציטוט
    • פורסם

    אני מסכים בקשר למה שאמרת על DMZ וברשתות גדולות זה באמת מונח שמשמש להגדרת מחשבים שחשופים יותר לרשת ומופרדים מכאלה שחשופים פחות. היצרנים של הראוטרים הביתיים משתמשים במונח בצורה שונה. ה"DMZ" בראוטר ביתי נועד לאפשר למשתמש שלא רוצה להתעסק בהגדרת פורטים לפתוח את כל הפורטים ולכוון אותם למחשב שלו. ה"DMZ" של ראוטר ביתי לא עושה הפרדה של ממש בין המחשב שב"DMZ" לשאר הרשת ככה שצריך להיזהר עם זה.

    בשביל DMZ אמיתי צריך פיירוול אמיתי ולא כזה שבא עם ראוטר לשימוש ביתי.

  • ציטוט

    • ארכיון

    דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

    עבור לרשימת הדיונים

    דיונים חדשים

    Configure browser push notifications
    Chrome (Android)
    1. Tap the lock icon next to the address bar.
    2. Tap Permissions → Notifications.
    3. Adjust your preference.
    Chrome (Desktop)
    1. Click the padlock icon in the address bar.
    2. Select Site settings.
    3. Find Notifications and adjust your preference.