---

Hej

Vi har et hjemmenetværk med 5 Pc'ere+diverse printere etc, i dette netværk
kører vi med 192.168.0.x ip adresser i et rent switched(!) netværk. Vi er
forbundet til internettet via en FWA forbindelse fra sonofon som pt går
igennem en ZyWall1. Dette virker også fint, MEN jeg ville gerne have
mulighed for at køre en af PC'erne udenom firewall'en...

I stedet for så at skulle trække kabler langs de andre(det drejer sig om
cirka 120m igennem diverse bygninger/kabelrør i jorden) så tænkte jeg om jeg
ikke bare kunne koble firewall'ens LAN og WAN sammen i en switch og så bare
indstille computerne forskelligt. Hvis man skal igennem firewall'en er
opsætningen via de "lokale" IP-adresser og skal man uden om firewall'en
bruger man PPPoE klient'en fra sonofon. Dette betyder selvfølgelig at delte
resourcer så som printere/delte drev ikke længere er tilgængelig men det
betyder i mit tilfælde ikke det store.
Mine bekymringer er om man "ude fra" vil kunne komme ind til de "lokale"
brugere som førhen var fysisk afskåret via firewall'en?

MVH
Thomas

---

Hej Thomas,

Lad være med at koble WAN og LAN på samme switch. Ikke engang VLAN-teknologi
kan sikre, at du ikke får uvedkommende på besøg.

Den "rigtige" måde må være, at sætte Sonofon-uplinket, ydersiden af
firewall'en og de "specielle" PC'ere i samme switch.

Som du sikkert allerede har regnet ud, så vil de "specielle" PC'ere ikke
længere være beskyttet af firewall'en..

Mvh.
Jonas

"Thomas Eg Jørgensen" <thomas@kontorbutikken.dk> skrev i en meddelelse
news:3ce8f43f$0$210$bc7fd3c@news.sonofon.dk...
> Hej
>
> Vi har et hjemmenetværk med 5 Pc'ere+diverse printere etc, i dette netværk
> kører vi med 192.168.0.x ip adresser i et rent switched(!) netværk. Vi er
> forbundet til internettet via en FWA forbindelse fra sonofon som pt går
> igennem en ZyWall1. Dette virker også fint, MEN jeg ville gerne have
> mulighed for at køre en af PC'erne udenom firewall'en...
>
> I stedet for så at skulle trække kabler langs de andre(det drejer sig om
> cirka 120m igennem diverse bygninger/kabelrør i jorden) så tænkte jeg om
jeg
> ikke bare kunne koble firewall'ens LAN og WAN sammen i en switch og så
bare
> indstille computerne forskelligt. Hvis man skal igennem firewall'en er
> opsætningen via de "lokale" IP-adresser og skal man uden om firewall'en
> bruger man PPPoE klient'en fra sonofon. Dette betyder selvfølgelig at
delte
> resourcer så som printere/delte drev ikke længere er tilgængelig men det
> betyder i mit tilfælde ikke det store.
> Mine bekymringer er om man "ude fra" vil kunne komme ind til de "lokale"
> brugere som førhen var fysisk afskåret via firewall'en?
>
> MVH
> Thomas
>
>

---

"pingvin" <no@spam.dk> wrote in message
news:3cea2394$0$18620$edfadb0f@dspool01.news.tele.dk...
> Lad være med at koble WAN og LAN på samme switch. Ikke engang
VLAN-teknologi
> kan sikre, at du ikke får uvedkommende på besøg.

ok, det var lidt det jeg håbede på i _ikke_ ville svare

> Den "rigtige" måde må være, at sætte Sonofon-uplinket, ydersiden af
> firewall'en og de "specielle" PC'ere i samme switch.
Ja, problemet er bare deres fysiske placering med hensyn til kabler,
switche, firewall og FWA-udstyr...Men det må jo så betyde en kraftig
omrokering, andet er der nok ikke at gøre ved det...

MVH
Thomas

---

On Tue, 21 May 2002 12:38:02 +0200, "pingvin" <no@spam.dk> wrote:

> Hej Thomas,
>
> Lad være med at koble WAN og LAN på samme switch. Ikke engang VLAN-teknologi
> kan sikre, at du ikke får uvedkommende på besøg.

Nu bliver der koblet ud pp FWA via PPPoE tuneller, burde det ikke
lukke for muligheder for at komme ind?
- selvfølgelig under betingelse af at sonofons udstyr ikke bliver
kompromiteret?

> Den "rigtige" måde må være, at sætte Sonofon-uplinket, ydersiden af
> firewall'en og de "specielle" PC'ere i samme switch.

Ja det er selvfølgelig den ideelle løsning.

> Som du sikkert allerede har regnet ud, så vil de "specielle" PC'ere ikke
> længere være beskyttet af firewall'en..

Klart.

Jeg har faktisk overvejet noget lignende:

1) FWA opkobling til nettet

2) en kombineret gateway og server som natter lokalnettet til
internettet.

3) min arbejds-station, som får to netkort, og både er tilsluttet LAN
og WAN, selvfølgelig med behørig firewalls.

4) Diverse andre maskiner som kun er tilsluttet LAN.

alternativet er kunne se sådan ud:

1) FWA direkte på LAN - statigvæk kræver det en PPPoE tunnel for at
kumme ind/ud.

2) en gateway med _et_ netkort som kobler LAN sammen men WAN via PPPoE
tunnellen.

3) min arbejdsstation med _et_ netkort til LAN og en PPPoE tunnel til
WAN

4) diverse ande maskiner.

Hvordan vil sikkerheden være i de to setups. I begge setups er
- gatewayen med PPPoE tunneller en *nix maskine.
- min arbejdssattion vil kun undtagelsesvis have PPPoE sessionen
kørende da det kun er til bestemte opgaver det er nødvendigt.



--
Venlig hilsen / Best regards
   Henning

_H_P_C_o_n_s_u_l_t_ http://www.hpc.dk
Skoletoften 9, Blans http://www.turnsys.dk
DK - 6400 Soenderborg

---

Den Tue, 21 May 2002 12:38:02 +0200 skrev pingvin:
>Hej Thomas,
>
>Lad være med at koble WAN og LAN på samme switch. Ikke engang VLAN-teknologi
>kan sikre, at du ikke får uvedkommende på besøg.

Hvis det bliver gjort rigtigt(tm), og der ikke er fejl i switchen, så
bør der ikke være problemer.

Når der bruges PPPoE, kan man også sagtens sætte den i samme switch,
der skal nødvedigvis være en PPPoE klient, før data'ene bliver brugbare.
Man skal dog være opmærksom på, at den PC der kører med PPPoE klienten
sidder på begge netværk, og derfor giver mulighed for at hoppe fra det
ene net til det andet, hvis den ikke er sikret ordentligt.

Mvh
Kent
--
echo f 0:0 ffff 0 | debug