/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Et forståelses-spørgsmål: Firewall
Fra : Lars Kvorning


Dato : 27-03-01 14:29

Hej NG!

Jeg går og overvejer en firewall til mit arbejdes netværk.

Vi har en meget uholdbar løsning lige i øjeblikket: Vi har en fast
forbindelse til Internet - med eksterne IP-numre på alle vores maskiner.

Derfor skal der gøres noget...
Jeg er overvejer både hardware-løsninger og software-løsninger. Jeg har
kigget lidt på "WatchGuard SOHO" og "Wingate 4.2".

I begge løsninger findes NAT og det overvejer jeg at benytte mig af.

Men i forbindelse med det har jeg lige et spøgsmål som jeg virkelig har
spekuleret meget over:
Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg kan
forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
netværket. Man kan så i firewallen lukke alle porte og så åbne porte én for
én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
web-serveren på det interne netværk??
Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne nummer?
Hvis den kan det og man kan tilgå den ude fra Internet af, så kan jeg forstå
det. Men det synes jeg ikke jeg kan få til at virke... Skal man sætte
maskinen til at route??

--
Med venlig hilsen
Lars Kvorning



 
 
Anders Lund (27-03-2001)
Kommentar
Fra : Anders Lund


Dato : 27-03-01 16:24

Ja prot 80 er til Websider.
Prot 21 (Og tit også 20) er til ftp.
Port 25 er til smtp (Udgående mail)
Port 110 er til pop3 (Indgående mail)

Men bare fordi at der kun er 3 porte der åbne kan e hacker godt komme ind på
dit netværk.

Jeg kænder ikke wingate så godt,,,,, Men jeg mener at dern har en DHCP, den
burde kunne uddele dine eksterne ip adresse til dene arbejdsstationer. Jeg
vil dog ikke anbefale dette, da sokkerheden er lavere når en hacker kan
komme direkte i kontakt med dine arbejdsstationer.

Så lad dine arbejdsstationer bruge ip området 192.168.0.2 - 192.168.0.255.
Din internet server (Med wingate) skal så have et netkort der sat sammen med
resten at dit netværk i en hub el. denne server skal have ip en 192.168.0.1.
Computeren skal dog også have en forbindelse til din router... Det kan ske
gennem et netkort (Mest normalt) Ip adressen på dette kort tildeles normalt
af routeren

Du kan evt. sætte en hardware firewall op mellen din Internet server om din
router. Ellere endnu en software firewall på din internet server.

Eller du kan sløjfe din internet server og sætte din router i en firewall og
derefter sætte firewallen direkte i huben!!

Mvh
Anders












"Lars Kvorning" <kvorning@nospam.dk> skrev i en meddelelse
news:UA0w6.1229$94.316624@news010.worldonline.dk...
> Hej NG!
>
> Jeg går og overvejer en firewall til mit arbejdes netværk.
>
> Vi har en meget uholdbar løsning lige i øjeblikket: Vi har en fast
> forbindelse til Internet - med eksterne IP-numre på alle vores maskiner.
>
> Derfor skal der gøres noget...
> Jeg er overvejer både hardware-løsninger og software-løsninger. Jeg har
> kigget lidt på "WatchGuard SOHO" og "Wingate 4.2".
>
> I begge løsninger findes NAT og det overvejer jeg at benytte mig af.
>
> Men i forbindelse med det har jeg lige et spøgsmål som jeg virkelig har
> spekuleret meget over:
> Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg
kan
> forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
> netværket. Man kan så i firewallen lukke alle porte og så åbne porte én
for
> én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
> web-serveren på det interne netværk??
> Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne
nummer?
> Hvis den kan det og man kan tilgå den ude fra Internet af, så kan jeg
forstå
> det. Men det synes jeg ikke jeg kan få til at virke... Skal man sætte
> maskinen til at route??
>
> --
> Med venlig hilsen
> Lars Kvorning
>
>



Mikkel Walde (28-03-2001)
Kommentar
Fra : Mikkel Walde


Dato : 28-03-01 16:29

Anders Lund <webmaster@123grin.dk> skrev i en
nyhedsmeddelelse:99qbae$epc$1@sunsite.dk...
> Port 25 er til smtp (Udgående mail)
> Port 110 er til pop3 (Indgående mail)

Sådan rent forståelsesmæssigt, så er port 25 SMTP både udgående /
indkommende post...

/Walde





Bruun (27-03-2001)
Kommentar
Fra : Bruun


Dato : 27-03-01 16:46

Hejsa,
"Lars Kvorning" <kvorning@nospam.dk> wrote in message
news:UA0w6.1229$94.316624@news010.worldonline.dk...
> Hej NG!
>
> Jeg går og overvejer en firewall til mit arbejdes netværk.
>
> Vi har en meget uholdbar løsning lige i øjeblikket: Vi har en fast
> forbindelse til Internet - med eksterne IP-numre på alle vores maskiner.

Hvordan gør I det?! Faste adresser eller DHCP?

> Derfor skal der gøres noget...
> Jeg er overvejer både hardware-løsninger og software-løsninger. Jeg har
> kigget lidt på "WatchGuard SOHO" og "Wingate 4.2".
>
> I begge løsninger findes NAT og det overvejer jeg at benytte mig af.
>
> Men i forbindelse med det har jeg lige et spøgsmål som jeg virkelig har
> spekuleret meget over:
> Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg
kan
> forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
> netværket. Man kan så i firewallen lukke alle porte og så åbne porte én
for
> én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
> web-serveren på det interne netværk??
> Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne
nummer?
> Hvis den kan det og man kan tilgå den ude fra Internet af, så kan jeg
forstå
> det. Men det synes jeg ikke jeg kan få til at virke... Skal man sætte
> maskinen til at route??

Det kan man jo gøre på utallige måder. Min personlige erfaring er at have
internetforbindelsen -> en kombineret firewall/router. Så deler router
nettet op i en DMZ zone (med alle servere som skal kunne fanges udefra, web,
ftp osv.) og så en lokal zone til det lokale net, feks. et af de frie C-net
(192.168.x.x).

Jeg har ikke erfaringer med Windows og routing. Af Firewall løsninger kender
jeg kun Firewall-1. Den koster vist en mindre bondegård til Windows
maskiner.

Den løsning som jeg bruger er der 1 switch til DMZ-zonen, hvor web og ftp
sidder på. Der er routeren/firewall'n så også monteret. Router/firewall'n er
så også connected til # 2 switch. Routningen foregår gennem en SUN-kværn med
et quad-kort i. Du kan også få quad-kort til PC'ere. Jeg ved at der er
ganske nemt at route trafik i Solaris. Så det burde ikke være meget sværere
i Windows.

Mvh Kim Bruun



erik klausen (27-03-2001)
Kommentar
Fra : erik klausen


Dato : 27-03-01 22:03

Lars Kvorning wrote:

> Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg kan
> forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
> netværket. Man kan så i firewallen lukke alle porte og så åbne porte én for
> én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
> web-serveren på det interne netværk??

Du kan sandsynligvis åbne for port 80 udad eller indad, som du har lyst til.
Måske kan du angive at indgående port 80-trafik kun er gyldig til en bestemt
IP-adresse. Jeg kender ikke den aktuelle router.

> Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne nummer?

Der findes dynamisk NAT og statisk NAT. Og så findes der dynamisk&statisk NAT.
I dynamisk NAT vil alle pakker der sendes ud, få firewallens eksterne adresse
som afsender-adresse. Afsender-portnummeret bliver ændret, og det bruger
firewallen til at sende et svar til den rigtige adresse på indersiden.
I statisk NAT skriver du i en tabel, at denne adresse på indersiden skal
omsættes til denne adresse på ydersiden, og så er din webserver synlig på
ydersiden.
Dynamisk&statisk NAT kombinerer disse to, så du kan sætte din webserver op
statisk, og samtidig køre "usynligt" fra arbejdsstationerne. Det er det du gerne
vil have.

mvh.
Erik Klausen


Alex Holst (28-03-2001)
Kommentar
Fra : Alex Holst


Dato : 28-03-01 02:44

Lars Kvorning <kvorning@nospam.dk> wrote:
>Jeg går og overvejer en firewall til mit arbejdes netværk.

Du boer helt klart vaelge en lokal levenrandoer og saette dig ned med deres
teknikere og pre-sales folk. De kan hjaelpe dig med dine behov, og sikre at
det bliver gjort korrekt. At doemme fra dine spoergsmaal har du ingen
erfaring med firewalls, og kan muligvis heller ikke sikre dig, at en saadan
fungerer efter hensigten.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/


Søg
Reklame
Statistik
Spørgsmål : 177557
Tips : 31968
Nyheder : 719565
Indlæg : 6408885
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste