מה מונע להגיע אלי ל-shares דרך חיבור האינטרנט שלי? - רשתות ואינטרנט - HWzone פורומים
עבור לתוכן
  • צור חשבון

מה מונע להגיע אלי ל-shares דרך חיבור האינטרנט שלי?

rangerman

נוצר על ידי rangerman
ב רשתות ואינטרנט

Recommended Posts

rangerman Zone Master

rangerman

פורסם
  • מחבר
פורסם

bah :o חיברתי שני מחשבים עם חייגן והם רואים אחד את השני כאילו כלום. כל מה שצריך זה להכניס שם משתמש וסיסמה ואתם בפנים. מי חשב שמשתמשים במודם כל כך חשופים. הגיע הזמן לפיירוול וסיסמאות משתמש של 20 תווים :-\

קישור לתוכן
שתף באתרים אחרים
ThePorscher Zone Master

ThePorscher

פורסם
פורסם

כמו שראית, שום דבר לא מונע ממנו לסייר לך בקבצים ולעשות כמעט כל מה שהוא רוצה.

הוא רק צריך למצוא IP והוא בפנים.

לכן, תמיד כששמים שיתוף על תיקיות, דאגו להוסיף סיסמא על המשתמש Guest במחשב שלכם, או להגביל את השיתוף שלא יהיה ל-Everyone!

קישור לתוכן
שתף באתרים אחרים
rangerman Zone Master

rangerman

פורסם
  • מחבר
פורסם

אם אני שם פיירוול על החיבור לאינטרנט, זה לא חוסם את שיתוף הקבצים (פרוטוקול SMB)? ומה אם אני מאחורי ראוטר? יש לי בעצם IP פנימי בלתי נגיש לפולשים מבחוץ, או שאולי פיספסתי משהו בהבנה...

קישור לתוכן
שתף באתרים אחרים
udicol Zone Addict

udicol

פורסם
פורסם

אם אני שם פיירוול על החיבור לאינטרנט, זה לא חוסם את שיתוף הקבצים (פרוטוקול SMB)? ומה אם אני מאחורי ראוטר? יש לי בעצם IP פנימי בלתי נגיש לפולשים מבחוץ, או שאולי פיספסתי משהו בהבנה...

שאלה מצויינת ודורשת תשומת לב.

פרוטוקול SMB שאתה מדבר עליו (יותר נכון Samba server זה שם השירות עבור שיתוף קבצים לרשתות של windows) הוא פרוטוקול מס' 135-139 , ואי לכך כל מחשב שמחובר לאינטרנט ישירות ללא חסוף כמובן כל עוד כאשר הפרוטוקול חשוף גם ברשת של ספקית האינטרנט.

כאשר מחשב נמצא מאחורי , ז"א שירות ה- NAT עובד ומספק שירותי תרגום של כתובת חיצונית לכתובות פנימיות.

שוב, כאשר השירות פועל אזי לא כל פורט מנותב אוטומטטית למחשב ברשת. ז"א שזה בעצם פעולה של Fire wall "טבעי" אבל לא!

כמובן שאסור לסמוך על זה.

קישור לתוכן
שתף באתרים אחרים
Ewingum Zone Junkie

Ewingum

פורסם
פורסם

רגע... שאני אבין... במשך שנה, לפני כמה שנים (היום אני עם NAT, פיירוול, בלאגנים ;) )המחשב שרת שלי שהיו לו תיקיות SHARED בלי סיסמה מיוחדת היו נגישות לכל דיכפין? :P:kopfpatsch:

הווינדוס (ואני לא מדבר על 9X אלא על 2000/XP) לא במקרים האלה של EVERYONE נותן לכולם להכנס אבל רק למי שבא מהרשת הפנימית? (IP 192.168.X.X מה שהגדרתי)

קישור לתוכן
שתף באתרים אחרים
rangerman Zone Master

rangerman

פורסם
  • מחבר
פורסם

פרוטוקול SMB שאתה מדבר עליו (יותר נכון Samba server זה שם השירות עבור שיתוף קבצים לרשתות של windows) הוא פרוטוקול מס' 135-139 , ואי לכך כל מחשב שמחובר לאינטרנט ישירות ללא נתב חסוף כמובן כל עוד כאשר הפרוטוקול חשוף גם ברשת של ספקית האינטרנט.

אתה מתכוון לפורטים מס' 135-139? אם כן, אז לא מספיק בעצם להפעיל את הפיירוול של על החיבור לרשת בשביל לחסום את הפורטים האלה? וכתוצאה מכך לא יחסם שיתוף הקבצים שעובר דרכם?

כאשר מחשב נמצא מאחורי , ז"א שירות ה- NAT עובד ומספק שירותי תרגום של כתובת חיצונית לכתובות פנימיות.

שוב, כאשר השירות פועל אזי לא כל פורט מנותב אוטומטטית למחשב ברשת. ז"א שזה בעצם פעולה של Fire wall "טבעי" אבל לא! כמובן שאסור לסמוך על זה.

למה לא? יש דרך להגיע מבחוץ אל ה-IP הפנימי שלי?

קישור לתוכן
שתף באתרים אחרים
udicol Zone Addict

udicol

פורסם
פורסם

אתה מתכוון לפורטים מס' 135-139? אם כן, אז לא מספיק בעצם להפעיל את הפיירוול של על החיבור לרשת בשביל לחסום את הפורטים האלה? וכתוצאה מכך לא יחסם שיתוף הקבצים שעובר דרכם?למה לא? יש דרך להגיע מבחוץ אל ה-IP הפנימי שלי?

אז ככה ננסה לעשות כמה שיותר סדר בדברים. תחילה נדבר על NAT - Network Address Translation - שזה חלק משירות שעושה הנתב והוא בא בעצם לקשר בין רחבת האינטרנט - השדרה העיקרית שכוללת את כל טווחי הכתובות Class A,B,C לבין Lan קטנות (ביתיות) עד גדולות (מפעלים עם Subnet מיוחדים).

]nat-router.jpg

ה- Nat משתמש בכתובת IP אחת ע"מ לייצג קבוצה פרטית גדולה של משתמשים מאחורי .

לדוגמא , נניח כי מחשב ברשת בעל מספר כתובת IP פנימי פרטי מבקש לנווט באתר www.cnn.com, כמובן שהבקשה מעובדת ע"י הטבלה NAT, ואילו הנתב זוכר כי אותו IP פרטי ביקש את הבקשה הספציפית לביצוע. לאחר אישור מאתר www.cnn.com, הבקשה מוחזרת לאותו IP ציבורי כללי שמחזיק הנתב. שירות ה- NAT כמובן זוכר מי ביקש לנווט בתוך הרשת הפנימית ולכן מנתב את כל המידע ללקוח הפרטי בתוך הרשת.

שימו לב שאני מדבר / כותב על בקשת ניווט אני מתכוון בשימוש בפורט 8080 ופרוטוקול HTTP.

אם לדוגמא אני רוצה להשתמש בתוכנת מסרים מידיים, ICQ MSN ותוכנות שונות אחרות, עליי להגדיר חד משמעית מי מהמחשבים ברשת המקומית הפרטית יוכל להשתמש בשירות מיוחד זה. מדוע מיוחד ? כיוון שמדובר בתקשורת נקודה לנקודה - Peer To Peer - P2P,

רק מחשב אחד בתוך הרשת הפנימית הפרטית יוכל להשתמש בשירות זה (במיוחד שמדובר בנתבים זולים וביתיים).

במקרה כזה אני חייב להגדיר בנתב, כי כל כניסה של מידע מסוג של "מסרים אישיים " כגון - ICQ MSN וכ... יעובד אוטומטית ליעד כתובת מבוקש בתוך הרשת הפנימית. ולכן אני "אומר" "מבקש" מהנתב בקשה -"כל מס' פורט 1122 (לדוגמא) שמגיע מבחוץ - אנה הפנה אותו לכתובת המיועדת (אני מגדיר כמובן ) בתוך הרשת הפנימית". מחשבים אחרים לא מקבלים שום קריאה ושום הפרעה בנוגע לאותה תשדורת ספציפית חיצונית.

אספקת שירותים שונים כמו שרת WEB יעשה בעזרת מחשב ייעודי שנמצא בתוך הרשת הפרטית עם IP מוגדר , ואז עם הגדרה מאוד ספציפית ב- NAT שאומרת כי "כל כניסה לבקשה של פורט 8080 עם פרוטוקול HTTP יעבור אוטומטית למחשב בעל IP ספציפי ברשת הפנימית (כמובן שאני מגדיר אותו )". בדיוק אותו דבר עם שירות שיתוף קבצים. כל עוד לא הגדרתי את פורט 135-139 פתוח לכניסה ולעיבוד מידע אין כל מטרה לפורט כזה ברשת עם .

בד"כ איזור כזה נקרה DMZ - איזור מפורז , איזור שבו כל הפורטים פתוחים למחשב ייעודי (ואז אתה חשוף ללא Firewall) ובד"כ אני משתמש בזה כיוון שלשירות NetMeeting אין פרוטוקול ספציפי ייעודי כמו תוכנות מסרים אחרות.

במשך הזמן והתפתחות האינטרנט שיכללו את התקנים המסדירים שירותים כאילו ואי לכך הדיון רחוק מלמצא את עצמו בצורה מקצועית (לצערי).

אי לכך אני מפרסם כאן מספר אתרים שיעזרו להבין יותר את הגישה והעיקרון מאחורי שיתוף זה.

http://www.cisco.com/warp/public/556/nat-cisco.shtml

http://www.kerio.com/manual/wrl/en/131.htm

קישור לתוכן
שתף באתרים אחרים

ארכיון

דיון זה הועבר לארכיון ולא ניתן להוסיף בו תגובות חדשות.

עבור לרשימת הדיונים
×
  • צור חדש...