|
| Router m firewall til Tele2 Fra : Dennis Enøe |
Dato : 15-10-03 08:42 |
|
Davser jeg har bestilt mig en tele2 forbindelse og har derfor besluttet
at jeg vil ha mig en router med firewall, jeg har godt nok en server med
firewall på, men den kører også så meget andet.
Nu har jeg så nogle generale spørgsmål til dette
1. hvis en person får lukket firewallen ned på en router, kan han så gå
videre
ind i systemet eller bliver den forbindelse skåret af samtidigt med?
2. hvor kan man læse mere om hvad man skal kigge efter på en sådan router?
3. hvis den har print server, kan man så komme igennem til den selvom den
står
på den anden side af min RH9 server som router trafik nu?
4. nogle snakker om at der er NAT og så "rigtig" firewall, hvad vil det
sige?
Jeg har kig på 3 stk indtil videre, alle sammen i et prisleje under 1000kr
meeen
lad os nu se hvad sådan en fætter kommer til at koste, der er jo mange men
følgende
er jeg støt på sådan lidt hurtigt
http://www.edbpriser.dk/netvaerk/netvaerk-top10.asp?ID=1674757898
http://www.edbpriser.dk/netvaerk/netvaerk-top10.asp?ID=1674737899
http://www.edbpriser.dk/netvaerk/netvaerk-top10.asp?ID=1674617897
Alle 3 i et lavt prisleje, men er det for lavt?
Mine computere består af 3 computere, 1 RH9 server med www ftp mail, 1 Win
XP
computer og en OSX bærbar.
Dennis
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system ( http://www.grisoft.com).
Version: 6.0.521 / Virus Database: 319 - Release Date: 23-09-2003
| |
Kasper Dupont (15-10-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 15-10-03 09:07 |
|
"Dennis Enøe" wrote:
>
> 1. hvis en person får lukket firewallen ned på en router, kan han så gå
> videre
> ind i systemet eller bliver den forbindelse skåret af samtidigt med?
Det kommer meget an på hullet i routeren. Det vil være nemmere at blot
få routeren til at gå ned og helt holde op med at sende pakker. Men i
mange tilfælde vil det være muligt at opnår kontrol over routeren og
dermed få den til at sende vilkårlige pakker videre. Men da der er
tale om seperat hardware vil din computer ikke være ringere stillet
end uden firewall, hvis det endelig skulle ske.
>
> 4. nogle snakker om at der er NAT og så "rigtig" firewall, hvad vil det
> sige?
NAT vil sige, at der ændres på IP og port adresse på pakker når de
kommer ind og ud gennem routeren. Dermed kan flere computere deles om
en IP adresse. Det vil almindeligvis også betyde, at pakker ikke kan
sendes ind til computere bagved routeren, med mindre de kommer som
svar på pakker computeren selv har sendt ud. Dog kan nogle (de fleste?)
NAT routere konfigureres så specifikke port adresser forwardes direkte
til en forudstemt maskine bagved routeren.
Firewall er en lidt bredere betegnelse, og ikke alle er enige om,
præcist hvad betegnelsen dækker. NAT i sig selv dækker de fleste
private brugeres behov for firewall.
>
> Mine computere består af 3 computere, 1 RH9 server med www ftp mail,
Hvad angår RH9 skal du være opmærksom på, at default opsætningen af
iptables firewallen ikke er særlig god. Jeg bruger RH9, men har altså
lavet opsætningen helt om.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Dennis Enøe (15-10-2003)
| Kommentar Fra : Dennis Enøe |
Dato : 15-10-03 09:21 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> wrote in message
news:3F8D0039.3CBB578@daimi.au.dk...
> Hvad angår RH9 skal du være opmærksom på, at default opsætningen af
> iptables firewallen ikke er særlig god. Jeg bruger RH9, men har altså
> lavet opsætningen helt om.
Min er også lavet i hånden, det lærte jeg af en ven samt at jeg har læst
en sjat om det, men det er også alt hvad mine firewall evner dækker
lige nu, så jeg kender ikke så meget til det.
Dennis
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system ( http://www.grisoft.com).
Version: 6.0.521 / Virus Database: 319 - Release Date: 23-09-2003
| |
Michael U. Hove (15-10-2003)
| Kommentar Fra : Michael U. Hove |
Dato : 15-10-03 09:23 |
|
Dennis Enøe wrote:
> Davser jeg har bestilt mig en tele2 forbindelse og har derfor besluttet
> at jeg vil ha mig en router med firewall, jeg har godt nok en server med
> firewall på, men den kører også så meget andet.
>
> Nu har jeg så nogle generale spørgsmål til dette
>
> 1. hvis en person får lukket firewallen ned på en router, kan han så gå
> videre
> ind i systemet eller bliver den forbindelse skåret af samtidigt med?
Hvis en person med skumle hensigter først har fået kontrol over
routeren, kan han jo i princippet gøre hvad han har lyst til.
Forwarde porte, læse dine NAT-tabeller, lukke dele af "firewall'en" osv.
Uden at kende nogle at de routere du linker videre til særligt
indgående, har de temmelig sikkert et interface, hvor du kan angive
IP-adresser routeren, må administreres fra. IP-adresser kan forfalskes,
men det er på den anden side jo ikke statshemmeligheder du
beskytter...så de fleste "hackere" vil nok finde et mere interessant mål.
> 2. hvor kan man læse mere om hvad man skal kigge efter på en sådan router?
Nogle muligheder:
http://www.homenethelp.com/router-guide/features.asp
http://computer.howstuffworks.com/router.htm
http://computer.howstuffworks.com/firewall.htm
http://a.area51.dk/sikkerhed/
> 3. hvis den har print server, kan man så komme igennem til den selvom den
> står
> på den anden side af min RH9 server som router trafik nu?
Mit råd: lad være med at blande en printserver ind i router/firewall
funktionaliteten. Køb en seperat box.
> 4. nogle snakker om at der er NAT og så "rigtig" firewall, hvad vil det
> sige?
"NAT" = Network Adress Translation. Funktion, der tager en (ell. mange)
offentlige IP-adresser og oversætter dem til en privat ikke routebar
IP-adresse Like so:
Extern IP: 212.242.127.199 < [Router m. NAT] > 192.168.1.12 : Intern IP.
"Rigtige firewalls" har (sædvanligvis) både NAT + en ell. flere
funktionaliteter, der giver yderligere beskyttelse. Se ovenstående links.
> Jeg har kig på 3 stk indtil videre, alle sammen i et prisleje under 1000kr
> meeen
> lad os nu se hvad sådan en fætter kommer til at koste, der er jo mange men
> følgende
> er jeg støt på sådan lidt hurtigt
>
> http://www.edbpriser.dk/netvaerk/netvaerk-top10.asp?ID=1674757898
> http://www.edbpriser.dk/netvaerk/netvaerk-top10.asp?ID=1674737899
> http://www.edbpriser.dk/netvaerk/netvaerk-top10.asp?ID=1674617897
>
> Alle 3 i et lavt prisleje, men er det for lavt?
Til hjemmebrug er det fint. Jeg har hørt gode ting om Linksys'en
> Mine computere består af 3 computere, 1 RH9 server med www ftp mail, 1 Win
> XP
> computer og en OSX bærbar.
Nu husker du vel så at rode med noget BSD på Mac'en
mvh
/michael
[klip]
| |
Dennis Enøe (15-10-2003)
| Kommentar Fra : Dennis Enøe |
Dato : 15-10-03 10:58 |
|
"Michael U. Hove" <pots_72@e-mail.dk> wrote in message
news:bmj03p$h7l$1@news.cybercity.dk...
> Nu husker du vel så at rode med noget BSD på Mac'en
Øhhhh har den andet? hehehe selvfølgeligt, jeg prøver at holde
mig ajour på det da med tiden vil jeg ha min server til at køre
freebsd, men atm behersker jeg ikke dette godt nok, men øver mig
alt hvad jeg kan
Tak til jer begge for linksne mm. Det vil jeg udnytte mig lidt og få læst
op på disse ting.
Dennis
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system ( http://www.grisoft.com).
Version: 6.0.521 / Virus Database: 319 - Release Date: 23-09-2003
| |
Dennis E (15-10-2003)
| Kommentar Fra : Dennis E |
Dato : 15-10-03 17:23 |
|
Er der nogle af jer der har erfaring med om EFSX41 fralinksys virker på tele2 ADSL?
Dennis
| |
Kent Friis (15-10-2003)
| Kommentar Fra : Kent Friis |
Dato : 15-10-03 18:49 |
|
Den 15 Oct 2003 09:23:10 -0700 skrev Dennis E:
>Er der nogle af jer der har erfaring med om EFSX41 fralinksys virker på tele2 ADSL?
Hvis den har to ethernet-interfaces, så burde den helt klart virke. Der
er ikke noget specielt (hverken ATM eller PPPoE) på Tele2 ADSL.
Mvh
Kent
--
Indlæringskurven til Linux er stejl, til tider lodret... Men for katten
hvor er udsigten på toppen dog fantastisk
- Michael G. Vendelbo i dk.snak
| |
Stationsforstanderen (16-10-2003)
| Kommentar Fra : Stationsforstanderen |
Dato : 16-10-03 06:45 |
|
Hej
> Er der nogle af jer der har erfaring med om EFSX41 fralinksys virker på
tele2 ADSL?
Jeg har en BEFSX41 og den virker upåklageligt med Tele2Adsl. (kører
512/128). Så det er bare at købe en
MVH
Stationsforstanderen
| |
Hans (16-10-2003)
| Kommentar Fra : Hans |
Dato : 16-10-03 08:41 |
|
"Dennis Enøe" <bluesy@tiscali.dk> skrev i en meddelelse
news:WS8jb.7181$jf4.437885@news000.worldonline.dk...
>
> "Michael U. Hove" <pots_72@e-mail.dk> wrote in message
> news:bmj03p$h7l$1@news.cybercity.dk...
>
> > Nu husker du vel så at rode med noget BSD på Mac'en
>
> Øhhhh har den andet? hehehe selvfølgeligt, jeg prøver at holde
> mig ajour på det da med tiden vil jeg ha min server til at køre
> freebsd, men atm behersker jeg ikke dette godt nok, men øver mig
> alt hvad jeg kan
>
> Tak til jer begge for linksne mm. Det vil jeg udnytte mig lidt og få læst
> op på disse ting.
>
Nu ved jeg ikke hvilken båndbredde du har valgt, men er det f.eks. 2048/512
så ville jeg ikke være så sikker på at routere i den prisklasse du har
plukket fra er gode nok. Der ville jeg helt klart vælge et produkt som
Zywall 2. Den er godt nok noget dyrere, men man får som bekendt kun hvad man
betaler for.
/ Hans
| |
Kasper Dupont (16-10-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 16-10-03 10:35 |
|
Hans wrote:
>
> Nu ved jeg ikke hvilken båndbredde du har valgt, men er det f.eks. 2048/512
> så ville jeg ikke være så sikker på at routere i den prisklasse du har
> plukket fra er gode nok. Der ville jeg helt klart vælge et produkt som
> Zywall 2. Den er godt nok noget dyrere, men man får som bekendt kun hvad man
> betaler for.
Nu ved jeg ikke *hvor* ringe produkter de kan finde på at sende på
markedet. Men der er altså langt fra 2mbit/s op til de 100mbit/s
man i teorien skulle kunne sende over 100BASE-T ethernet. Jeg mener
man med rimelighed kan forvente, at selv den billigste router kan
nå op "i nærheden" af de 100mbit/s. Kan det lade sig gøre at finde
en router, der ikke uden problemer kan håndtere 5mbit/s?
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Hans (16-10-2003)
| Kommentar Fra : Hans |
Dato : 16-10-03 14:55 |
|
"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3F8E6660.473DDC6C@daimi.au.dk...
> Hans wrote:
> >
> > Nu ved jeg ikke hvilken båndbredde du har valgt, men er det f.eks.
2048/512
> > så ville jeg ikke være så sikker på at routere i den prisklasse du har
> > plukket fra er gode nok. Der ville jeg helt klart vælge et produkt som
> > Zywall 2. Den er godt nok noget dyrere, men man får som bekendt kun hvad
man
> > betaler for.
>
> Nu ved jeg ikke *hvor* ringe produkter de kan finde på at sende på
> markedet. Men der er altså langt fra 2mbit/s op til de 100mbit/s
> man i teorien skulle kunne sende over 100BASE-T ethernet. Jeg mener
> man med rimelighed kan forvente, at selv den billigste router kan
> nå op "i nærheden" af de 100mbit/s. Kan det lade sig gøre at finde
> en router, der ikke uden problemer kan håndtere 5mbit/s?
>
Det er slet ikke problemet. Det handler om hvor stor en datamængde som
f.eks. firewall'en eller NAT i routeren kan håndtere med de regler, som der
måtte være sat op af brugeren. Det er på dette punkt de billige routere
falder fra. Disse data er slet ikke opgivet på de billige routere, hvilket
får mig til at fravælge dem på forhånd. Der er ikke megen fidus i at have en
router som kollapser ligefrem proportionalt med antallet af forwardede
porte, eller regler opstillet i firewall'en.
/ Hans
| |
Kasper Dupont (16-10-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 16-10-03 15:40 |
|
Hans wrote:
>
> Det er slet ikke problemet. Det handler om hvor stor en datamængde som
> f.eks. firewall'en eller NAT i routeren kan håndtere med de regler, som der
> måtte være sat op af brugeren. Det er på dette punkt de billige routere
> falder fra. Disse data er slet ikke opgivet på de billige routere, hvilket
> får mig til at fravælge dem på forhånd. Der er ikke megen fidus i at have en
> router som kollapser ligefrem proportionalt med antallet af forwardede
> porte, eller regler opstillet i firewall'en.
Skal det forstås sådan, at de bruger lineær tid på ting, som burde gøres
i logaritmisk tid? Og hvor mange porte skal man forwarde før det bliver
et problem? Så længe man har mindre end en håndfuld forskellige ranges
burde tidsforbrugt ikke kunne blive noget problem.
Hvis man har komplicerede regelsæt kan det måske gøre en forskel, hvordan
man strukturerer sine regler. Men jeg ved sådan set ikke så meget om,
hvordan regelsæt til sådan en router ser ud. Men jeg er næsten sikker på
at f.eks. med ting som iptables kan du lave funktionelt ækvivalente
regelsæt, som resulterer i meget forskellig effektivitet.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Christian E. Lysel (16-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-10-03 16:33 |
|
In article <3f8ea348$0$29375$edfadb0f@dread15.news.tele.dk>, Hans wrote:
> Det er slet ikke problemet. Det handler om hvor stor en datamængde som
> f.eks. firewall'en eller NAT i routeren kan håndtere med de regler, som der
> måtte være sat op af brugeren. Det er på dette punkt de billige routere
> falder fra. Disse data er slet ikke opgivet på de billige routere, hvilket
> får mig til at fravælge dem på forhånd. Der er ikke megen fidus i at have en
> router som kollapser ligefrem proportionalt med antallet af forwardede
Hvis det er tilfældet er det ikke datamængden, men antallet af pakker
der er problemmet.
Du kan med 1 Mbit generere mere trafik en moderne PC kan håndtere!
(det svarer til 15.000 pakker af 60 bytes)
> porte, eller regler opstillet i firewall'en.
Der er ikke meget fidus i at oplyse preformance data, hvis
målingen ikke svarer til ens setup.
Det er en generel fejl at tro på preformance tal, udgivet af producenten.
Jeg har mere respekt for producenter der ikke opgiver nogle tal,
men derimod fx har et test miljø man kan låne.
| |
Kasper Dupont (16-10-2003)
| Kommentar Fra : Kasper Dupont |
Dato : 16-10-03 19:35 |
|
"Christian E. Lysel" wrote:
>
> Hvis det er tilfældet er det ikke datamængden, men antallet af pakker
> der er problemmet.
Det lyder rimelig nok. Der er en grænse for, hvor meget pakke
størelser kan variere. Men der er selvfølgelig langt fra de 40
bytes header, der er på en TCP pakke til de 1500 bytes, der
maximalt kan være i en ethernet pakke.
>
> Du kan med 1 Mbit generere mere trafik en moderne PC kan håndtere!
> (det svarer til 15.000 pakker af 60 bytes)
15.000 pakker af 60 bytes bliver til 900KB, det er ca. 7Mbit.
>
> Jeg har mere respekt for producenter der ikke opgiver nogle tal,
> men derimod fx har et test miljø man kan låne.
Det er sjældent den mulighed er til rådighed for privatkunder.
--
Kasper Dupont -- der bruger for meget tid paa usenet.
For sending spam use mailto:aaarep@daimi.au.dk
Their business was zero and it was shrinking.
| |
Asbjorn Hojmark (16-10-2003)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 16-10-03 16:46 |
|
On Thu, 16 Oct 2003 11:35:28 +0200, Kasper Dupont
<kasperd@daimi.au.dk> wrote:
> Nu ved jeg ikke *hvor* ringe produkter de kan finde på at sende på
> markedet. Men der er altså langt fra 2mbit/s op til de 100mbit/s
> man i teorien skulle kunne sende over 100BASE-T ethernet.
Du ville sikkert blive overrasket over, hvor langt den slags
hjemmeprodukter faktisk er fra at nå line rate.
> Jeg mener man med rimelighed kan forvente, at selv den billigste
> router kan nå op "i nærheden" af de 100mbit/s.
Det kan man muligvis nok forvente, men det vil den ikke kunne i
praksis.
> Kan det lade sig gøre at finde en router, der ikke uden problemer
> kan håndtere 5mbit/s?
Ja, man kan sagtens finde en router, der ikke kan route 5 Mbps
mellem to FE interfaces. Hvis vi snakker 10 Mbps, vil man have
sorteret langt størstedelen af SOHO-markedets produkter fra, og
det uden brug af 'features' overhovedet.
Hvis man bruger NAT, access-lister, port mappings etc. og/eller
har mange samtidige sessioner eller mange nye sessioner/sek, så
kan situationen være endnu værre.
Man får hvad man betaler for. Og hvis man køber en hjemmerouter
for en slik, så får man altså også kun værdi sådan ca. som en
mellemstor pose hos Frellsen Chokolade.
Good, fast, cheap -- Pick any two.
-A
| |
Dennis Enøe (16-10-2003)
| Kommentar Fra : Dennis Enøe |
Dato : 16-10-03 12:34 |
|
"Hans" <kvik@mail.tdcadsl.dk.invalid> wrote in message
news:3f8e4b89$0$30071$edfadb0f@dtext01.news.tele.dk...
> Nu ved jeg ikke hvilken båndbredde du har valgt, men er det f.eks.
2048/512
> så ville jeg ikke være så sikker på at routere i den prisklasse du har
> plukket fra er gode nok. Der ville jeg helt klart vælge et produkt som
> Zywall 2. Den er godt nok noget dyrere, men man får som bekendt kun hvad
man
> betaler for.
Ja jeg har valgt 2mbit
Det skulle være en af de speciele ting ved denne router ud fra hvad jeg har
læst af
reviews, nemlig at den sagtens kan klare den høje hastighed i modsætning til
andre
i samme prisleje, men jeg smutter da lige ind og læser lidt om den anden,
jeg må
indrømme at pris har betydning, meeeen ikke mere end at jeg så bare må vente
lidt
længere med at købe den.
Dennis
---
Outgoing mail is certified Virus Free.
Checked by AVG anti-virus system ( http://www.grisoft.com).
Version: 6.0.521 / Virus Database: 319 - Release Date: 23-09-2003
| |
Christian E. Lysel (16-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-10-03 16:25 |
|
In article <3f8e4b89$0$30071$edfadb0f@dtext01.news.tele.dk>, Hans wrote:
> Zywall 2. Den er godt nok noget dyrere, men man får som bekendt kun hvad man
> betaler for.
Og de udgiver software opdateringer hurtigere end Microsoft.
I den version jeg testede kunne man hente konfigurationen til boksen
uden at være valideret af boksen.
| |
Hans (16-10-2003)
| Kommentar Fra : Hans |
Dato : 16-10-03 18:13 |
|
"Christian E. Lysel" <news.sunsite.dk@spindelnet.dk> skrev i en meddelelse
news:slrnbote25.vti.chel@weebo.dmz.spindelnet.dk...
> In article <3f8e4b89$0$30071$edfadb0f@dtext01.news.tele.dk>, Hans wrote:
> > Zywall 2. Den er godt nok noget dyrere, men man får som bekendt kun hvad
man
> > betaler for.
>
> Og de udgiver software opdateringer hurtigere end Microsoft.
>
Heldigvis - At de er oppe på dupperne ser jeg som en fordel.
> I den version jeg testede kunne man hente konfigurationen til boksen
> uden at være valideret af boksen.
>
Og som er rettet for længe siden.
/ Hans
| |
Christian E. Lysel (16-10-2003)
| Kommentar Fra : Christian E. Lysel |
Dato : 16-10-03 20:28 |
|
In article <3f8ed191$0$30062$edfadb0f@dtext01.news.tele.dk>, Hans wrote:
>> Og de udgiver software opdateringer hurtigere end Microsoft.
>>
> Heldigvis - At de er oppe på dupperne ser jeg som en fordel.
Eller også er det tegn på at de laver for mange fejl.
>> I den version jeg testede kunne man hente konfigurationen til boksen
>> uden at være valideret af boksen.
> Og som er rettet for længe siden.
Det ændre ikke på de har lavet en fejl der er så triviel at
det er løgn.
Man har en webserver der i alle situationer kræver brugervalidering,
undtagen når man vil hente konfigurationen indeholdende
oplysninger til brugervalideringen.
Fejlen fandt jeg 5 min efter at have evalueret produktet.
Dens IPSEC implementation indeholdt også fejl.
| |
Kent Friis (16-10-2003)
| Kommentar Fra : Kent Friis |
Dato : 16-10-03 21:30 |
|
Den Thu, 16 Oct 2003 15:24:53 +0000 (UTC) skrev Christian E. Lysel:
>In article <3f8e4b89$0$30071$edfadb0f@dtext01.news.tele.dk>, Hans wrote:
>> Zywall 2. Den er godt nok noget dyrere, men man får som bekendt kun hvad man
>> betaler for.
>
>Og de udgiver software opdateringer hurtigere end Microsoft.
Det skulle de da også gerne. Men du ser det måske som en fordel at
sikkerhedshuller stadig ikke er rettet et halvt år efter de er opdaget?
Mvh
Kent
--
A computer without Windows is like a chocolate cake without mustard.
| |
|
|