איך אני בודק איזה פורטים סגורים במחשב שאני עובד עליו ?

[moskitos]

אני מחפש פקודה\תוכנה שאני מריץ ומראה לי איזה פורטים סגורים אצלי

ועוד שאלה:

אם אני למשל פותח תוכנה מסויימת במחשב שאני עובד ממנו והוא מחובר בראוטר, איך התוכנה עובדת והכל בסדר אם הראוטר אמור לסגור פורטים (אני מדבר על מצב שלא פתחתי שום פורט מסויים)

תודה.

[sysoper]

תן דוגמא - על איזו תוכנה מדובר?

כמו-כן שים לב שלא שמת את המחשב הספציפי בהגדרת DMZ בנתב

[moskitos]

מה זה בדיוק DMZ ?

אני מדבר באופן ככלי על פורטים שהנתב אמור לסגור (אלא אם כן מגדירים לו לפתוח) אבל תוכנה מסויימת שמשתמשת בפורטים האלו

[ירח אפל]

נתב לא סוגר פורטים ולא פותח פורטים.

במצב רגיל, ברגע שתוכנה במחשב פונה לאינטרנט דרך פרוטוקול tcp או utp, הנתב רושם לעצמו את הפורט/איפי שהיא משתמשת בו וגם את אלה שהיא פונה אליהם, ומפנה את התקשורת שמגיעה מהפורט/איפי המתאים למחשב המקור.

במצב של הפניית פורטים בנתב (לא פתיחה!!), אין צורך ליזום את התקשורת מתוך הרשת על מנת לקבל הפניה, אלה יש הפניה קבוע של תקשורת המגיעה לפורט ספציפי לכיוון מחשב ספציפי.

[moskitos]

רגע אז מה ההבדל למשל באימיול שבו אם אני לא מפנה את הפורטים אני מקבל LOW ID ?

[sysoper]

כאשר מישהו מנסה לפנות למחשב שלך מהאינטרנט הוא חסום וזאת משום שהוא עובר תהליך "סלקציה" של הפיירוול בנתב

הכתובת היחידה שעולם האינטרנט רואה שמכוונת אלייך היא בעצם הכתובת של הנתב ולכן לא ניתן להגיע אלייך ישירות אלא אם פרצו לנתב

"הפניית פורטים" בעצם אומרת לנתב: "תשמע חביבי, מי שמגיע מפורט XX, תשלח אותו למחשב YY" - ואז הנתב מבצע את ההפנייה.

לגבי אפשרות שלך להשתמש בשירותי אינטרנט מסויימים זה עובד ברוב התוכנות המוקרות באופן אוטומטי - לרוב ע"י פקד UPNP שכל תפקידו בעולם הוא לאשר יציאה שלך החוצה במידה וביקשת - אי מיול הייתה תוכנה לא ידועה וכל היצרנים לא הכלילו אותה ברשימת הפורטים המותרים ולכן לא נפתח אוטומטית בUPNP ברוב המקרים (היום בנתבים החדשים כבר כן)

DMZ - De Militarized Zone - בצורה המקצועית בעצם מעניק לקליינט מסויים ברשת שלך את הכתובת IP החיצונית ובעצם הקליינט(המחשב) המדובר הופך להיות הגבול של הרשת - לרוב מדובר על פיירוולים וכדומה -

בנתבים פשוטים פרטיים - במידה ותגדיר את אחד המחשבים בDMZ - הוא יקבל אוטומטית את כל הפניות הפורטים מבפנים החוצה ומבחוץ פנימה - לא טוב מבחינת אבטחת מידע.

שוב אני שואל.. מה אתה רוצה לחסום?

[multicore]

^ מאיפה אתה מביא את השטויות האלו? עוד מישהו בטעות יקח את זה ברצינות.

[sysoper]

אם זה שטויות לדעתך ואתה מנהל אז זה אחלה פורום

[QttP]

גם אני אשמח לדעת איפה בדיוק הן השטויות בדבריו.

[multicore]

תגובה מפורטת תגיעה מחר בבוקר.

[multicore]

אומנם באיחור של יום, אבל הנה התייחסות שלי:

כאשר מישהו מנסה לפנות למחשב שלך מהאינטרנט הוא חסום וזאת משום שהוא עובר תהליך "סלקציה" של הפיירוול בנתב

הכתובת היחידה שעולם האינטרנט רואה שמכוונת אלייך היא בעצם הכתובת של הנתב ולכן לא ניתן להגיע אלייך ישירות אלא אם פרצו לנתב

"הפניית פורטים" בעצם אומרת לנתב: "תשמע חביבי, מי שמגיע מפורט XX, תשלח אותו למחשב YY" - ואז הנתב מבצע את ההפנייה.

מכיוון שמחשה יושב מאחורי NAT שהוא בעל כתובת WAN אחת אין פה שום סלקציה. כל תקשורת שיזומה מבחוץ לבנים לא תגיע לשום מקום אם בטבלת הNAT של הנתב לא יהיה ערך שמסביר איך (פורט פרוטוקול) להגיע לאן (כתובת IP בLAN). שום נתב לא פתוח לחיבור מרחוק כברירת מחדל ורק ציוד של ספרים מוגדר לכך (בד"כ בעזרת TR069).

המושג של "פריצה" פה באמת ברמה של משתמשי FXP.

לגבי אפשרות שלך להשתמש בשירותי אינטרנט מסויימים זה עובד ברוב התוכנות המוקרות באופן אוטומטי - לרוב ע"י פקד UPNP שכל תפקידו בעולם הוא לאשר יציאה שלך החוצה במידה וביקשת - אי מיול הייתה תוכנה לא ידועה וכל היצרנים לא הכלילו אותה ברשימת הפורטים המותרים ולכן לא נפתח אוטומטית בUPNP ברוב המקרים (היום בנתבים החדשים כבר כן)

UPnP זאת חתיכת פרצה מכל נקודת מבט כי היא מאפשר לייצור בעצם "חורים" בצורה יזומה לתוך הLAN שלך.

איך הדוגמא של eMule בכלל קשורה פה? מה הקשר "לתוכנה לא לא ידועה"?

פורטים לא נפתחים בNAT אלא מופנים. שום דבר בעצם לא סגור. פתוח/סגור זהו ביטוי ששייך לעולם התוכן של firewall.

DMZ - De Militarized Zone - בצורה המקצועית בעצם מעניק לקליינט מסויים ברשת שלך את הכתובת IP החיצונית ובעצם הקליינט(המחשב) המדובר הופך להיות הגבול של הרשת - לרוב מדובר על פיירוולים וכדומה -

בנתבים פשוטים פרטיים - במידה ותגדיר את אחד המחשבים בDMZ - הוא יקבל אוטומטית את כל הפניות הפורטים מבפנים החוצה ומבחוץ פנימה - לא טוב מבחינת אבטחת מידע.

במקרה של DMZ host זה בכלל לא כמו DMZ במקרה של שימוש ב firewall. במקרה של DMZ host יש גישה לרשת הLAN.

במקום להסביר לפותח הדיון איך דברים באמת עובדים והלנחות אותו להבין את הטעות בניסוח שלו כותבים לו דברים חצי נכונים או בכלל מובנים.

[QttP]

תודה על ההתייחסות. העמדת דברים על דיוקם, והראית פעם נוספת את עומק ההבנה שלך בנושא. אבל האם מישהו חלק על כך?בוא נעבור נקודה-נקודה.

מכיוון שמחשה יושב מאחורי NAT שהוא בעל כתובת WAN אחת אין פה שום סלקציה. כל תקשורת שיזומה מבחוץ לבנים לא תגיע לשום מקום אם בטבלת הNAT של הנתב לא יהיה ערך שמסביר איך (פורט פרוטוקול) להגיע לאן (כתובת IP בLAN).

אז אמרת במילים מקצועיות ומדויקות את מה שהבחור אמר במילים פשוטות ומובנות.

שום נתב לא פתוח לחיבור מרחוק כברירת מחדל ורק ציוד של ספרים מוגדר לכך (בד"כ בעזרת TR069).

המושג של "פריצה" פה באמת ברמה של משתמשי FXP.

המושג "פריצה" באמת לא קשור. האם זו סיבה לקטלג את כל שאר הדברים כשטויות? ולא יכולת להתאפק מהלפגין פעם נוספת את הידע שלך בציוד רשתות של ספקים, כאילו שיש לזה איזשהו קשר לנושא הדיון.

UPnP זאת חתיכת פרצה מכל נקודת מבט כי היא מאפשר לייצור בעצם "חורים" בצורה יזומה לתוך הLAN שלך.

עוד פעם - מה הקשר? הבחור אמר בצורה נכונה שUPnP מאפשרת לתוכנות רבות לפתוח (סליחה, להפנות) באופן עצמאי פורטים דרך הנתב, בתנאי שזה האחרון גם כן מאפשר UPnP. מישהו התייחס / ביקש להתייחס להשלכות האבטחה של הפרוטוקול הנ"ל?

איך הדוגמא של eMule בכלל קשורה פה? מה הקשר "לתוכנה לא לא ידועה"?

הבחור ערבב מעט בין הדברים. בהקשר של eMule אין לי ספק שהוא התכוון לApplication Layer Gateway שקיים במרבית הנתבים ומאפשר להפעיל לוגיקה עבור אפליקציות מסוימות כדי להפנות עבורן פורטים לכניסה בזמן שהן פעילות (בדומה למה שנעשה אוטומטית בHTTP למשל). הוא צודק באומרו שבנתבים הישנים לא הייתה תמיכה מיוחדת לeMule/BitTorrent כי הפרוטוקולים לא היו מספיק נפוצים, ואילו עכשיו - כן.

אז שוב אתה בא לצלוב אותו כי לא דייק במונחים, על אף שרוח הדברים היא נכונה.

פורטים לא נפתחים בNAT אלא מופנים. שום דבר בעצם לא סגור. פתוח/סגור זהו ביטוי ששייך לעולם התוכן של firewall.

נכון, ואני מבין שמעצבן אותך שאנשים לא מספיק מבינים בתחום כדי לעמוד על ההבדל בין המונחים. אז יש לי חדשות מעציבות - זה לא ישתנה. אנשים רגילים שרמת ההבנה שלהם במחשוב ותקשורת היא של משתמש ממוצע לעולם ימשיכו לבלבל בין המושגים. אולי כי כשהתוכנה שהם מפעילים מזהה שהיא לא מקבלת תקשורת היא מדווחת בפשטות ש"הפורט סגור", כי אין לה דרך לדעת האם מה שעוצר אותה זה אי-הפניית פורט בנתב או אי-פתיחתו בפיירוול. אז הביטוי הפך כל-כך שגור בפי האנשים, שיש לך שתי אפשרויות - להמשיך להתעצבן כל החיים שלך על אלה שטועים, או לקחת את זה באיזי. אתה יודע כמה דברים מפריעים לי באופן שבו אנשים מדברים? אבל אני לא נלחם בטחנות רוח ובטח שלא קוטל אדם שעושה טעות נפוצה.

במקרה של DMZ host זה בכלל לא כמו DMZ במקרה של שימוש ב firewall. במקרה של DMZ host יש גישה לרשת הLAN.

נו - ומה הוא אמר? "במידה ותגדיר את אחד המחשבים בDMZ - הוא יקבל אוטומטית את כל הפניות הפורטים מבפנים החוצה ומבחוץ פנימה"? (אולי עם הסתייגות מפורטים שכבר הופנו למחשב אחר) זה לא האופן שבו הדברים עובדים? אם לא, בבקשה תקן עניינית, במקום לזרוק איזושהי הערה סתומה בסגנון של "זה בכלל לא כמו זה".

במקום להסביר לפותח הדיון איך דברים באמת עובדים והלנחות אותו להבין את הטעות בניסוח שלו כותבים לו דברים חצי נכונים או בכלל מובנים.

אז לדעתך האפשרות להגיב צריכה להיות שמורה למומחים בתחום? סלח לי, אבל אני חולק עליך. גם אני לא אוהב כשכותבים שטויות שלא קשורות למציאות, ואני בין הראשונים להעיר על כך. אבל כאן סך-הכל רוח הדברים הייתה נכונה. יש אי-דיוקים? אפילו אי-דיוקים גדולים? זה המקום עבורך בתור מומחה לתקן ולהסביר, ומה אתה עשית? ביטלת את הכל וגם עשית זאת בצורה מתנשאת ומעליבה. איך גישה כזו בדיוק עוזרת לפותח הדיון (או למישהו ממשתתפיו)? עם יד על הלב - האם באמת היית כותב את התגובה המפורטת לולא ביקשתי פרטנית?

תחשוב על זה. הידע שלך במרבית התחומים הנדונים בפורומים עמוק משמעותית מזה של רוב המשתתפים. אבל אם ממרומי הידע שלך תקטול את כל ההדיוטות, לדעתי אתה מחטיא את המטרה בענק.

שבת שלום וסופ"ש נעים.

[sysoper]

תודה QTTP על הניסיון שלך לגרום לבן אדם להבין שלא צריך לדרוך על אחרים בשביל להעצים את עצמו.

לגבי ההסבר שלי "בשפה פשוטה", זה בדיוק סוג ההסבר שאדם ששואל שאלות מן הסוג הזה צריך לקבל בשביל לקלוט אליו את הפרטים(מבלי כוונה לפגוע באף אחד).

אני מרצה כבר מספר שנים באחת המכללות המובילות ודע לך, שלקרוא למונחים בשמם הלועזי בהיעדר הסבר פשוט בעברית, לא תורם למי שלומד אלא רק למי שמלמד.

יום טוב ושבת שלום חברים.