|
| Et forståelses-spørgsmål: Firewall Fra : Lars Kvorning |
Dato : 27-03-01 14:29 |
|
Hej NG!
Jeg går og overvejer en firewall til mit arbejdes netværk.
Vi har en meget uholdbar løsning lige i øjeblikket: Vi har en fast
forbindelse til Internet - med eksterne IP-numre på alle vores maskiner.
Derfor skal der gøres noget...
Jeg er overvejer både hardware-løsninger og software-løsninger. Jeg har
kigget lidt på "WatchGuard SOHO" og "Wingate 4.2".
I begge løsninger findes NAT og det overvejer jeg at benytte mig af.
Men i forbindelse med det har jeg lige et spøgsmål som jeg virkelig har
spekuleret meget over:
Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg kan
forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
netværket. Man kan så i firewallen lukke alle porte og så åbne porte én for
én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
web-serveren på det interne netværk??
Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne nummer?
Hvis den kan det og man kan tilgå den ude fra Internet af, så kan jeg forstå
det. Men det synes jeg ikke jeg kan få til at virke... Skal man sætte
maskinen til at route??
--
Med venlig hilsen
Lars Kvorning
| |
Anders Lund (27-03-2001)
| Kommentar Fra : Anders Lund |
Dato : 27-03-01 16:24 |
|
Ja prot 80 er til Websider.
Prot 21 (Og tit også 20) er til ftp.
Port 25 er til smtp (Udgående mail)
Port 110 er til pop3 (Indgående mail)
Men bare fordi at der kun er 3 porte der åbne kan e hacker godt komme ind på
dit netværk.
Jeg kænder ikke wingate så godt,,,,, Men jeg mener at dern har en DHCP, den
burde kunne uddele dine eksterne ip adresse til dene arbejdsstationer. Jeg
vil dog ikke anbefale dette, da sokkerheden er lavere når en hacker kan
komme direkte i kontakt med dine arbejdsstationer.
Så lad dine arbejdsstationer bruge ip området 192.168.0.2 - 192.168.0.255.
Din internet server (Med wingate) skal så have et netkort der sat sammen med
resten at dit netværk i en hub el. denne server skal have ip en 192.168.0.1.
Computeren skal dog også have en forbindelse til din router... Det kan ske
gennem et netkort (Mest normalt) Ip adressen på dette kort tildeles normalt
af routeren
Du kan evt. sætte en hardware firewall op mellen din Internet server om din
router. Ellere endnu en software firewall på din internet server.
Eller du kan sløjfe din internet server og sætte din router i en firewall og
derefter sætte firewallen direkte i huben!!
Mvh
Anders
"Lars Kvorning" <kvorning@nospam.dk> skrev i en meddelelse
news:UA0w6.1229$94.316624@news010.worldonline.dk...
> Hej NG!
>
> Jeg går og overvejer en firewall til mit arbejdes netværk.
>
> Vi har en meget uholdbar løsning lige i øjeblikket: Vi har en fast
> forbindelse til Internet - med eksterne IP-numre på alle vores maskiner.
>
> Derfor skal der gøres noget...
> Jeg er overvejer både hardware-løsninger og software-løsninger. Jeg har
> kigget lidt på "WatchGuard SOHO" og "Wingate 4.2".
>
> I begge løsninger findes NAT og det overvejer jeg at benytte mig af.
>
> Men i forbindelse med det har jeg lige et spøgsmål som jeg virkelig har
> spekuleret meget over:
> Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg
kan
> forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
> netværket. Man kan så i firewallen lukke alle porte og så åbne porte én
for
> én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
> web-serveren på det interne netværk??
> Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne
nummer?
> Hvis den kan det og man kan tilgå den ude fra Internet af, så kan jeg
forstå
> det. Men det synes jeg ikke jeg kan få til at virke... Skal man sætte
> maskinen til at route??
>
> --
> Med venlig hilsen
> Lars Kvorning
>
>
| |
Mikkel Walde (28-03-2001)
| Kommentar Fra : Mikkel Walde |
Dato : 28-03-01 16:29 |
|
Anders Lund <webmaster@123grin.dk> skrev i en
nyhedsmeddelelse:99qbae$epc$1@sunsite.dk...
> Port 25 er til smtp (Udgående mail)
> Port 110 er til pop3 (Indgående mail)
Sådan rent forståelsesmæssigt, så er port 25 SMTP både udgående /
indkommende post...
/Walde
| |
Bruun (27-03-2001)
| Kommentar Fra : Bruun |
Dato : 27-03-01 16:46 |
|
Hejsa,
"Lars Kvorning" <kvorning@nospam.dk> wrote in message
news:UA0w6.1229$94.316624@news010.worldonline.dk...
> Hej NG!
>
> Jeg går og overvejer en firewall til mit arbejdes netværk.
>
> Vi har en meget uholdbar løsning lige i øjeblikket: Vi har en fast
> forbindelse til Internet - med eksterne IP-numre på alle vores maskiner.
Hvordan gør I det?! Faste adresser eller DHCP?
> Derfor skal der gøres noget...
> Jeg er overvejer både hardware-løsninger og software-løsninger. Jeg har
> kigget lidt på "WatchGuard SOHO" og "Wingate 4.2".
>
> I begge løsninger findes NAT og det overvejer jeg at benytte mig af.
>
> Men i forbindelse med det har jeg lige et spøgsmål som jeg virkelig har
> spekuleret meget over:
> Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg
kan
> forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
> netværket. Man kan så i firewallen lukke alle porte og så åbne porte én
for
> én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
> web-serveren på det interne netværk??
> Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne
nummer?
> Hvis den kan det og man kan tilgå den ude fra Internet af, så kan jeg
forstå
> det. Men det synes jeg ikke jeg kan få til at virke... Skal man sætte
> maskinen til at route??
Det kan man jo gøre på utallige måder. Min personlige erfaring er at have
internetforbindelsen -> en kombineret firewall/router. Så deler router
nettet op i en DMZ zone (med alle servere som skal kunne fanges udefra, web,
ftp osv.) og så en lokal zone til det lokale net, feks. et af de frie C-net
(192.168.x.x).
Jeg har ikke erfaringer med Windows og routing. Af Firewall løsninger kender
jeg kun Firewall-1. Den koster vist en mindre bondegård til Windows
maskiner.
Den løsning som jeg bruger er der 1 switch til DMZ-zonen, hvor web og ftp
sidder på. Der er routeren/firewall'n så også monteret. Router/firewall'n er
så også connected til # 2 switch. Routningen foregår gennem en SUN-kværn med
et quad-kort i. Du kan også få quad-kort til PC'ere. Jeg ved at der er
ganske nemt at route trafik i Solaris. Så det burde ikke være meget sværere
i Windows.
Mvh Kim Bruun
| |
erik klausen (27-03-2001)
| Kommentar Fra : erik klausen |
Dato : 27-03-01 22:03 |
|
Lars Kvorning wrote:
> Jeg kan ikke forstå hvilken funktion firewall'en har i Wingate! Som jeg kan
> forstå det, skal der to netkort i maskinen: ét mod routeren og ét mod
> netværket. Man kan så i firewallen lukke alle porte og så åbne porte én for
> én. Men hvis jeg f.eks. åbner port 80, kan jeg så komme i kontakt med
> web-serveren på det interne netværk??
Du kan sandsynligvis åbne for port 80 udad eller indad, som du har lyst til.
Måske kan du angive at indgående port 80-trafik kun er gyldig til en bestemt
IP-adresse. Jeg kender ikke den aktuelle router.
> Hvad skal den have af IP-nummer? Kan den stadig beholde det eksterne nummer?
Der findes dynamisk NAT og statisk NAT. Og så findes der dynamisk&statisk NAT.
I dynamisk NAT vil alle pakker der sendes ud, få firewallens eksterne adresse
som afsender-adresse. Afsender-portnummeret bliver ændret, og det bruger
firewallen til at sende et svar til den rigtige adresse på indersiden.
I statisk NAT skriver du i en tabel, at denne adresse på indersiden skal
omsættes til denne adresse på ydersiden, og så er din webserver synlig på
ydersiden.
Dynamisk&statisk NAT kombinerer disse to, så du kan sætte din webserver op
statisk, og samtidig køre "usynligt" fra arbejdsstationerne. Det er det du gerne
vil have.
mvh.
Erik Klausen
| |
Alex Holst (28-03-2001)
| Kommentar Fra : Alex Holst |
Dato : 28-03-01 02:44 |
|
Lars Kvorning <kvorning@nospam.dk> wrote:
>Jeg går og overvejer en firewall til mit arbejdes netværk.
Du boer helt klart vaelge en lokal levenrandoer og saette dig ned med deres
teknikere og pre-sales folk. De kan hjaelpe dig med dine behov, og sikre at
det bliver gjort korrekt. At doemme fra dine spoergsmaal har du ingen
erfaring med firewalls, og kan muligvis heller ikke sikre dig, at en saadan
fungerer efter hensigten.
--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.area51.dk/
| |
|
|