Jesper Knudsen wrote:
[snip]
> Mit spørgsmål går på hvem der modtager pakkerne først. Udefra møder pakkerne
> først min router, så enten Ethereal eller ZoneAlarm?
>
> ZoneAlarm må jo gerne blokere pakker, men ikke for Ethereal, derfor ville
> den optimale rækkefølge være (kan man overhovedet se sådan på det?)
>
> INTERNET -- Router - Ethereal -- ZoneAlarm -- LAN
>
> Kan de overhovedet arbejde samtidigt?
>
Du kan ikke rigtig skille tingene ad, som du gør ovenover. Både Ethereal
og Zonealarm er jo hostbaseret software, og begrænser sig til
datastrømmen til den enkelte pc. Din D-Link router har indbygget switch,
som adskiller trafikken til dine pc'ere, så du vil kun se trafik +
broadcast/multicast, specifikt adresseret til den maskine du kører
snifferen på.
Nr. 2 spørgsmål: Både ZA og Ethereal binder sig til netværks stakken på
din pc, men Zonealarm begrænser pakkerne ind/ud af pc'en udfra et forud
defineret regelsæt (ACL), hvor Ethereal benytter en low-level packet
capture driver, der gør at dit netkort vil modtage *alle* pakker,
inklusive pakker der ikke er til maskinen selv. (hvis det altså ikke
lige var for din switch...)
Uden at kende ZA særligt godt, vil jeg mene, at medmindre du specifikt
har lavet nogle regler for hvilke protokoller/portnumre/IP-adresser osv
,der har adgang gennem Zonealarm, vil du IMHO ikke opleve at Zonealarm
begrænser din snifning.
Ellers kunne du vel slå ZA fra, mens du sniffer, hvis du er bekymret for
at gå glip af noget... Din Router bruger NAT, så der har du i forvejen
eet lags beskyttelse, spørgsmålet er om du virkelig har brug for både
Router/NAT og ZA?! Læs evt mere her:
http://a.area51.dk/sikkerhed/hjemme_pc#firewall
mvh.
Michael.
--
"UNIX is user-friendly ... it's just very selective about who its
friends are!!"
Anonymous UNIX wit