---

Hej!
Jeg satser på at kunne få mig en ADSL-forbindelse inden for de næste
måneder, men som det ser ud nu, er det kun TDC, der bliver repræsenteret på
min central. Min betænkelighed ved det er, at jeg gerne vil sætte min egen
Firewall op. Eftersom man ikke umiddelbart kan disable NAT'en i TDC-routeren
(med mindre man får fat i den dyre Cisco 1401), og eftersom TDC har nogle
standard IP-adresser på LAN'et som fx FTP- og web-server skal have, er mit
spørgsmål, hvordan man sætter det op så al trafik ryger igennem Firewall'en
og den så sørger for den videre trafik.

Skal firewall'en have alle de lokale IP'er som NAT'en kender eller hvad? Er
det overhovedet en løsning, der kan anbefales?

Gode råd modtages!

På forhånd tak!

Grønbech

--
URL: http://www.g-web.dk
Mail: g@g-web.dk
ICQ# 14654731

---

Hej Michael.

NAT'en i routeren er kun til brug for outgoing traffik - da du sandsynligvis
kun har en ekstern IP adresse, ikke indadgående.

Din firewall sættes op med en IP adresse på routerens interne subnet, og en
anden på dit LAN's subnet - derefter sætter du en statisk route op i TDC
routeren, til at pege mod din firewall - derefter går resten af sig selv.

Med venlig hilsen

Kenneth Plettner
technical architect

"Michael Grønbech Larsen" <g@g-web.dk> wrote in message
news:3b5068b7$0$3246$d40e179e@nntp03.dk.telia.net...
> Hej!
> Jeg satser på at kunne få mig en ADSL-forbindelse inden for de næste
> måneder, men som det ser ud nu, er det kun TDC, der bliver repræsenteret
på
> min central. Min betænkelighed ved det er, at jeg gerne vil sætte min egen
> Firewall op. Eftersom man ikke umiddelbart kan disable NAT'en i
TDC-routeren
> (med mindre man får fat i den dyre Cisco 1401), og eftersom TDC har nogle
> standard IP-adresser på LAN'et som fx FTP- og web-server skal have, er mit
> spørgsmål, hvordan man sætter det op så al trafik ryger igennem
Firewall'en
> og den så sørger for den videre trafik.
>
> Skal firewall'en have alle de lokale IP'er som NAT'en kender eller hvad?
Er
> det overhovedet en løsning, der kan anbefales?
>
> Gode råd modtages!
>
> På forhånd tak!
>
> Grønbech
>
> --
> URL: http://www.g-web.dk
> Mail: g@g-web.dk
> ICQ# 14654731
>
>

---

> - derefter sætter du en statisk route op i TDC
> routeren, til at pege mod din firewall - derefter går resten af sig selv.


Som jeg har forstået det, kan man ikke selv sætte noget op i routeren, men
skal derimod betale TDC 1000,- for at gøre det... Er det forkert?

Grønbech

---

"Michael Grønbech Larsen" <g@g-web.dk> skrev i en meddelelse
news:3b5093f7$0$31244$d40e179e@nntp02.dk.telia.net...
> Som jeg har forstået det, kan man ikke selv sætte noget op i routeren, men
> skal derimod betale TDC 1000,- for at gøre det... Er det forkert?

Nej

--
Martin Højriis Kristensen
Jeg repræsenterer med dette indlæg mig selv og ikke TDC Internet

---

"Martin Højriis Kristensen" <hoejriis@sletdetteiname.com> wrote:

>"Michael Grønbech Larsen" <g@g-web.dk> skrev i en meddelelse
>news:3b5093f7$0$31244$d40e179e@nntp02.dk.telia.net...
>> Som jeg har forstået det, kan man ikke selv sætte noget op i routeren, men
>> skal derimod betale TDC 1000,- for at gøre det... Er det forkert?
>
>Nej

Hvaba? Jeg mener ikke Pro@ccess har været nævnt i denne tråd, så det er vel
en (mindst lige så) rimelig antagelse at det handler om NE2, hvor man jo
netop, medmindre jeg har misforstået noget i meget alvorlig grad, kan rode alt
det man vil med ruteren.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Du har ret i at Pro@ccess ikke er blevet nævnt, men jeg gik ud fra at det
var den eneste fornuftige/brugbare løsning, hvis man vil have egne servere
på nettet, men hvis dette er forkert, vil jeg da meget gerne høre om NE2 -
kan ikke rigtig finde noget specifikt om det hos TDC. Har man fast IP? Har
man fri adgang til at konf. router?

Grønbech

> Hvaba? Jeg mener ikke Pro@ccess har været nævnt i denne tråd, så det er
vel
> en (mindst lige så) rimelig antagelse at det handler om NE2, hvor man jo
> netop, medmindre jeg har misforstået noget i meget alvorlig grad, kan rode
alt
> det man vil med ruteren.

---

"Michael Grønbech Larsen" <g@g-web.dk> wrote:

>Du har ret i at Pro@ccess ikke er blevet nævnt, men jeg gik ud fra at det
>var den eneste fornuftige/brugbare løsning, hvis man vil have egne servere
>på nettet,

Det er nok den bedste. Ingen filtrering, fast IP-adresse, man kan få
symmetriske hastigheder. Jeg er meget tilfreds med min - kun irriteret over
at de ikke vil have jeg roder med ruteren selv.

>men hvis dette er forkert, vil jeg da meget gerne høre om NE2 -
>kan ikke rigtig finde noget specifikt om det hos TDC. Har man fast IP?

Det tror jeg ikke. Der var engang snak om at det ville komme senere, men om
det bliver til noget nu hvor de (jaja, jeg ved godt det er andet
datterselskab, men alligevel) også har BB|ADSL-produktet, aner jeg ikke.

Jeg ville ikke bryde mig om at køre server på dynamisk IP-adresse, selvom
diverse dyndns-varianter åbenbart fungerer godt nok til at mange er tilfredse
med dem.

>Har
>man fri adgang til at konf. router?

Ja.

Der er i NE2 filter på indkommende smtp og nntp, så man kan kun modtage e-post
via TDC's backup-mx-server - men det virker vist også hæderligt (folk brokker
sig i praksis tilsyneladende ikke over forsinkelsen, som jeg ellers ville have
forventet).

Men overvej også BB|ADSL, som kan fås med én fast IP-adresse helt uden NAT.
(Men med samme smtp/nntp-filtrering som NE2, og kun med asymmetriske
hastigheder.)
--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal <jdunet@u5.dybdal.dk> writes:

[ Pro@ccess ]

> Det er nok den bedste. Ingen filtrering, fast IP-adresse, man kan få
> symmetriske hastigheder. Jeg er meget tilfreds med min - kun irriteret over
> at de ikke vil have jeg roder med ruteren selv.

Hvis du en dag bliver for irriteret, så kan du snuppe et kig på
<http://www.vof.dk/concorp/proaccess.html>, som er en vejledning til
at komme til at køre Pro@ccess på en OpenBSD-maskine med et af de
ATM-kort man brugte til NE1.

En af mine venner, som har en del erfaring med Linux, men aldrig havde
brugt OpenBSD før siger at det var ret let at sætte op, og at det
virkede med det samme da han fulgte den vejledning.

--
Jacob
If at first you do succeed, try to hide your astonishment.

http://www.bunk.cc - nu med Emacs effekt

---

Jacob Bunk Nielsen <spam@bunk.cc> wrote:

>Jesper Dybdal <jdunet@u5.dybdal.dk> writes:
>
>[ Pro@ccess ]
>
>> Det er nok den bedste. Ingen filtrering, fast IP-adresse, man kan få
>> symmetriske hastigheder. Jeg er meget tilfreds med min - kun irriteret over
>> at de ikke vil have jeg roder med ruteren selv.
>
>Hvis du en dag bliver for irriteret, så kan du snuppe et kig på
><http://www.vof.dk/concorp/proaccess.html>, som er en vejledning til
>at komme til at køre Pro@ccess på en OpenBSD-maskine med et af de
>ATM-kort man brugte til NE1.
>
>En af mine venner, som har en del erfaring med Linux, men aldrig havde
>brugt OpenBSD før siger at det var ret let at sætte op, og at det
>virkede med det samme da han fulgte den vejledning.

Ja, det har jeg da også overvejet. Hvis jeg havde været opmærksom på
OpenBSD-muligheden inden jeg brugte en hel del kræfter på en ret omhyggelig
konfiguration af en Linux-boks, så ville jeg sikkert have valgt OpenBSD i
stedet.

Men jeg er _meget_ tilfreds med Linux 2.4's nye netfilter-firewall-mekanisme.
OpenBSD har utvivlsomt også noget firewall-halløj, men skifte fra noget som
jeg synes er logisk og som passer rigtig godt til mit behov (herunder at
beskytte det interne netværk også mod ikke-privilegerede lokale brugere på
Linuxen) gør jeg ikke før min irritation over TDC's ruter evt. er blevet meget
større end den pt. er.

I øvrigt synes jeg det ville være rart hvis nogen ville lave den relevante
driver til Linux...

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

Jesper Dybdal <jdunet@u5.dybdal.dk> writes:

> Ja, det har jeg da også overvejet. Hvis jeg havde været opmærksom på
> OpenBSD-muligheden inden jeg brugte en hel del kræfter på en ret omhyggelig
> konfiguration af en Linux-boks, så ville jeg sikkert have valgt OpenBSD i
> stedet.

Som sagt påstår ham min ven at det er ret ligetil.

> I øvrigt synes jeg det ville være rart hvis nogen ville lave den relevante
> driver til Linux...

Du kan jo bare gå igang
Mon ikke du kan hente lidt information i OpenBSD-driveren?

--
Jacob
On the Internet, no one knows you're using Windows NT.

http://www.bunk.cc - nu med Emacs effekt

---

Jacob Bunk Nielsen <spam@bunk.cc> wrote:

>Jesper Dybdal <jdunet@u5.dybdal.dk> writes:
>
>> Ja, det har jeg da også overvejet. Hvis jeg havde været opmærksom på
>> OpenBSD-muligheden inden jeg brugte en hel del kræfter på en ret omhyggelig
>> konfiguration af en Linux-boks, så ville jeg sikkert have valgt OpenBSD i
>> stedet.
>
>Som sagt påstår ham min ven at det er ret ligetil.

Jeg tror gerne at det er ligetil at få driveren til at virke. Men det er ikke
nødvendigvis ligetil at reproducere min øvrige konfiguration i OpenBSD.

>> I øvrigt synes jeg det ville være rart hvis nogen ville lave den relevante
>> driver til Linux...
>
>Du kan jo bare gå igang
>Mon ikke du kan hente lidt information i OpenBSD-driveren?

Sådan set ville det da utvivlsomt være morsomt at sætte sig ind i både
protokollen og hvordan man egentlig skriver Linuxdrivere - men jeg mangler
lidt tid til formålet ...

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

---

"Jacob Bunk Nielsen" <spam@bunk.cc> wrote in message
news:m34rse852e.fsf@paven.bunk.cc...
>
> > Ja, det har jeg da også overvejet. Hvis jeg havde været opmærksom på
> > OpenBSD-muligheden inden jeg brugte en hel del kræfter på en ret
omhyggelig
> > konfiguration af en Linux-boks, så ville jeg sikkert have valgt OpenBSD
i
> > stedet.
>
> Som sagt påstår ham min ven at det er ret ligetil.
>
> > I øvrigt synes jeg det ville være rart hvis nogen ville lave den
relevante
> > driver til Linux...
>
> Du kan jo bare gå igang
> Mon ikke du kan hente lidt information i OpenBSD-driveren?

Efter hvad jeg kan huske fra diverse diskussioner om dette emne, er det ikke
linux-driveren til 3010-kortet der fejler noget. Den virker fint. Problemet
er istedet at ATM-stakken i Linux ikke understøtter den protokol Pro@ccess
kører med.

--
Jimmy Nielsen

---

"Jesper Dybdal" <jdunet@u5.dybdal.dk> skrev i en meddelelse
news:got2ltc7t1tor4hkl8eggrmd9c1efalu3g@news.tele.dk...
> Jeg mener ikke Pro@ccess har været nævnt i denne tråd, så det er vel
> en (mindst lige så) rimelig antagelse at det handler om NE2

Der snakkes om Cisco 1401, der ikke kan bruges til NE2

--
Martin Højriis Kristensen
Jeg repræsenterer med dette indlæg mig selv og ikke TDC Internet

---

>
> NAT'en i routeren er kun til brug for outgoing traffik - da du
sandsynligvis
> kun har en ekstern IP adresse, ikke indadgående.
>

Hvad er dog det for en gang sludder? Nat bliver brugt for al traffik der
passere routeren.

> Din firewall sættes op med en IP adresse på routerens interne subnet, og
en
> anden på dit LAN's subnet - derefter sætter du en statisk route op i TDC
> routeren, til at pege mod din firewall - derefter går resten af sig selv.
>

Er det interne router subnet anderledes end det for lan'ets?

- Philip

---

Ja selvfølgelig, men det er den udadgående traffik der bliver wrappet -
indadgående traffik bliver resolvet gennem NAT, hvorfor NAT vil være
transparent for det interne subnet.

"Philip Søeberg" <philip99@worldonline.dk> wrote in message
news:9isedr$bof$1@sunsite.dk...
> >
> > NAT'en i routeren er kun til brug for outgoing traffik - da du
> sandsynligvis
> > kun har en ekstern IP adresse, ikke indadgående.
> >
>
> Hvad er dog det for en gang sludder? Nat bliver brugt for al traffik der
> passere routeren.
>
> > Din firewall sættes op med en IP adresse på routerens interne subnet, og
> en
> > anden på dit LAN's subnet - derefter sætter du en statisk route op i TDC
> > routeren, til at pege mod din firewall - derefter går resten af sig
selv.
> >
>
> Er det interne router subnet anderledes end det for lan'ets?
>
> - Philip
>
>

---

Hej Michael,

Bruger du NE2's løsning, har routeren i dens nat system indbygget mulighed
for dmz vidersendelse. dvs. at alt indgående der ikke passer til nogle af de
andre indtastede regler for nat (icq, mirc, etc), bliver vidersendt til en
pc på det interne netværk.

- Philip