---

Hej NG
Jeg nogle Pc'er med windows 98 i et netværk med en router med dhcp server i.
Kan jeg på nogen måde nøjes med en firewall eller skal jeg have firewall på
alle pc'erne
alle pc'er kan gå på nettet via routeren.
i kan høre jeg er temmelig grøn på dette område.
Bent

---

En FireWall (mit forslag www.smothwall.org) mellem router og net.

--
M.V.H.
Kristian Andersen
ka@lc.tc

"Bent" <bent@leesign.dk> skrev i en meddelelse
news:9on7rd$hvj$1@sunsite.dk...
> Hej NG
> Jeg nogle Pc'er med windows 98 i et netværk med en router med dhcp server
i.
> Kan jeg på nogen måde nøjes med en firewall eller skal jeg have firewall
på
> alle pc'erne
> alle pc'er kan gå på nettet via routeren.
> i kan høre jeg er temmelig grøn på dette område.
> Bent
>
>

---

Er linken rigtig, den virker ikke her hos mig.
Hilsen Bent

"Kristian Andersen" <ka@lc.tc> skrev i en meddelelse
news:1HFr7.9240$lk7.165493@news.get2net.dk...
> En FireWall (mit forslag www.smothwall.org) mellem router og net.
>
> --
> M.V.H.
> Kristian Andersen
> ka@lc.tc
>
> "Bent" <bent@leesign.dk> skrev i en meddelelse
> news:9on7rd$hvj$1@sunsite.dk...
> > Hej NG
> > Jeg nogle Pc'er med windows 98 i et netværk med en router med dhcp
server
> i.
> > Kan jeg på nogen måde nøjes med en firewall eller skal jeg have firewall
> på
> > alle pc'erne
> > alle pc'er kan gå på nettet via routeren.
> > i kan høre jeg er temmelig grøn på dette område.
> > Bent
> >
> >
>
>

---

Sorry : www.smoothwall.org
glemte et o
:)

--
M.V.H.
Kristian Andersen
ka@lc.tc
20962405
"Bent" <bent@leesign.dk> skrev i en meddelelse
news:3baf27d7$0$264$edfadb0f@dspool01.news.tele.dk...
> Er linken rigtig, den virker ikke her hos mig.
> Hilsen Bent
>
> "Kristian Andersen" <ka@lc.tc> skrev i en meddelelse
> news:1HFr7.9240$lk7.165493@news.get2net.dk...
> > En FireWall (mit forslag www.smothwall.org) mellem router og net.
> >
> > --
> > M.V.H.
> > Kristian Andersen
> > ka@lc.tc
> >
> > "Bent" <bent@leesign.dk> skrev i en meddelelse
> > news:9on7rd$hvj$1@sunsite.dk...
> > > Hej NG
> > > Jeg nogle Pc'er med windows 98 i et netværk med en router med dhcp
> server
> > i.
> > > Kan jeg på nogen måde nøjes med en firewall eller skal jeg have
firewall
> > på
> > > alle pc'erne
> > > alle pc'er kan gå på nettet via routeren.
> > > i kan høre jeg er temmelig grøn på dette område.
> > > Bent
> > >
> > >
> >
> >
>
>

---

Tak Kristian
Som jeg forstår det så skal pc med smoothwall ind istedet for en alm. router
mellem adsl modem og lan, (ved du om man kan køre med adsl modem > alm.
router > smoothwall > også lan. Her tænker jeg på at beholde min router før
smoothwall.
Men er problemet så ikke at min router ikke kan se mit lan fordi den går
igennem smoothwall inden den kommer til mit lan)?
Det er fordi det er TDC der har leveret routeren og de skal kunne
konfigurere den ude fra nettet så jeg kan vel heller ej placer den bag
smoothwallen.
en anden metode kunne måske være at fjerne tdc's router og så kun køre med
smoothwall.
Hilsen Bent
"Kristian Andersen" <ka@lc.tc> skrev i en meddelelse
news:%LFr7.9242$lk7.166477@news.get2net.dk...
> Sorry : www.smoothwall.org
> glemte et o
> :)
>
> --
> M.V.H.
> Kristian Andersen
> ka@lc.tc
> 20962405
> "Bent" <bent@leesign.dk> skrev i en meddelelse
> news:3baf27d7$0$264$edfadb0f@dspool01.news.tele.dk...
> > Er linken rigtig, den virker ikke her hos mig.
> > Hilsen Bent
> >
> > "Kristian Andersen" <ka@lc.tc> skrev i en meddelelse
> > news:1HFr7.9240$lk7.165493@news.get2net.dk...
> > > En FireWall (mit forslag www.smothwall.org) mellem router og net.
> > >
> > > --
> > > M.V.H.
> > > Kristian Andersen
> > > ka@lc.tc
> > >
> > > "Bent" <bent@leesign.dk> skrev i en meddelelse
> > > news:9on7rd$hvj$1@sunsite.dk...
> > > > Hej NG
> > > > Jeg nogle Pc'er med windows 98 i et netværk med en router med dhcp
> > server
> > > i.
> > > > Kan jeg på nogen måde nøjes med en firewall eller skal jeg have
> firewall
> > > på
> > > > alle pc'erne
> > > > alle pc'er kan gå på nettet via routeren.
> > > > i kan høre jeg er temmelig grøn på dette område.
> > > > Bent
> > > >
> > > >
> > >
> > >
> >
> >
>
>

---

"Bent" <bent@leesign.dk> skrev i en meddelelse
news:3baf3b59$0$274$edfadb0f@dspool01.news.tele.dk...
> Tak Kristian
> Som jeg forstår det så skal pc med smoothwall ind istedet for en alm.
router
> mellem adsl modem og lan, (ved du om man kan køre med adsl modem > alm.
> router > smoothwall > også lan. Her tænker jeg på at beholde min router
før
> smoothwall.

Internet---Router---Firewall---Lan

> Men er problemet så ikke at min router ikke kan se mit lan fordi den går
> igennem smoothwall inden den kommer til mit lan)?

Er det ikke det du ville undgå ?? ellers er der ikke megen ide i en
firewall.

> Det er fordi det er TDC der har leveret routeren og de skal kunne
> konfigurere den ude fra nettet så jeg kan vel heller ej placer den bag
> smoothwallen.

Nej

> en anden metode kunne måske være at fjerne tdc's router og så kun køre med
> smoothwall.

Absolut nej


--
M.V.H.
Kristian Andersen
ka@lc.tc

---

"Kristian Andersen" <ka@lc.tc> skrev i en meddelelse
news:ZlHr7.9266$lk7.167059@news.get2net.dk...
> "Bent" <bent@leesign.dk> skrev i en meddelelse
> news:3baf3b59$0$274$edfadb0f@dspool01.news.tele.dk...
> > Tak Kristian
> > Som jeg forstår det så skal pc med smoothwall ind istedet for en alm.
> router
> > mellem adsl modem og lan, (ved du om man kan køre med adsl modem > alm.
> > router > smoothwall > også lan. Her tænker jeg på at beholde min router
> før
> > smoothwall.
>
> Internet---Router---Firewall---Lan
Ok
>
> > Men er problemet så ikke at min router ikke kan se mit lan fordi den går
> > igennem smoothwall inden den kommer til mit lan)?
>
> Er det ikke det du ville undgå ?? ellers er der ikke megen ide i en
> firewall.
Jo, men her tænker jeg på DHCP serveren på routeren, kan den se mine pc'er
og uddele ip adresser til disse, når smoothwall er i mellem?
>
> > Det er fordi det er TDC der har leveret routeren og de skal kunne
> > konfigurere den ude fra nettet så jeg kan vel heller ej placer den bag
> > smoothwallen.
>
> Nej
Ok, fint
>
> > en anden metode kunne måske være at fjerne tdc's router og så kun køre
med
> > smoothwall.
>
> Absolut nej
Nej, det nemte jeg nok.
>
>
> --
> M.V.H.
> Kristian Andersen
> ka@lc.tc
>
>
Hilsen Bent

---

"Bent Skytte" <bskytte@mail.tele.dk> wrote in message
news:3baf7038$0$51375$edfadb0f@dspool01.news.tele.dk...
> Jo, men her tænker jeg på DHCP serveren på routeren, kan den se mine pc'er
> og uddele ip adresser til disse, når smoothwall er i mellem?

SmoothWall indeholder også en DHCP server.

--
M.V.H.
Kristian Andersen
ka@lc.tc

---

Bent wrote:

>Kan jeg på nogen måde nøjes med en firewall eller skal jeg have firewall på
>alle pc'erne

Internet -- Router m. NAT -- LAN

Jeg går udfra du ikke kører med web/mail-server på LAN'et.

Hvis routeren kan køre pakkefiltrering kan du sætte den op således:

Rule   Direction   Port   Src   Dest   ACK-bit   Action

0   In      Any   LAN   LAN   Any   Deny
1   Out      80   LAN   Int.   No   Allow
2   In      80   Int.   LAN   Yes   Allow
3   Out      25   LAN   Int.   No   Allow
4   In      25   Int.   LAN   Yes   Allow
5   Out      110   LAN   Int.   No   Allow
6   In      110   Int.   LAN   Yes   Allow
7   Any      Any   Any   Any   Any   Deny

Dette er en meget simpel model.

Regel 1 og 2 tillader web-surfing. ACK-bit i regel 2 betyder at routeren
tillader indgående svar (ACKnowledgement) fra internettet med sourceport
80, så webservere kan sende data tilbage til dig.

Samme med regel 3 og 4 (sende mail), samt regel 5 og 6 (hente mail).

Regel 7 sørger for at smide alle pakker væk (Deny) der ikke hører ind
under nogen af de tidligere regler.

Regel 0 sørger for at smide alle pakker væk på vej ind, der siger de
kommer fra LAN-siden. Det burde ikke kunne lade sig gøre, så dem smider
vi væk. Dette er nemlig en sikkerhedsrisiko.

Håber du kunne bruge det.

--
Nescafe - because your pets deserve the best!

---

"Christian Andersen" <igqgfq001@sneakemail.com> skrev i en meddelelse
news:3baf49b8$0$243$edfadb0f@dspool01.news.tele.dk...
> Bent wrote:
>
> >Kan jeg på nogen måde nøjes med en firewall eller skal jeg have firewall
på
> >alle pc'erne
>
> Internet -- Router m. NAT -- LAN
>
> Jeg går udfra du ikke kører med web/mail-server på LAN'et.

Nej, jeg bruger ikke værken web, mail eller andre former for server på
lan'et

>
> Hvis routeren kan køre pakkefiltrering kan du sætte den op således:
>
> Rule Direction Port Src Dest ACK-bit Action
>
> 0 In Any LAN LAN Any Deny
> 1 Out 80 LAN Int. No Allow
> 2 In 80 Int. LAN Yes Allow
> 3 Out 25 LAN Int. No Allow
> 4 In 25 Int. LAN Yes Allow
> 5 Out 110 LAN Int. No Allow
> 6 In 110 Int. LAN Yes Allow
> 7 Any Any Any Any Any Deny
>
> Dette er en meget simpel model.
>
> Regel 1 og 2 tillader web-surfing. ACK-bit i regel 2 betyder at routeren
> tillader indgående svar (ACKnowledgement) fra internettet med sourceport
> 80, så webservere kan sende data tilbage til dig.
>
> Samme med regel 3 og 4 (sende mail), samt regel 5 og 6 (hente mail).
>
> Regel 7 sørger for at smide alle pakker væk (Deny) der ikke hører ind
> under nogen af de tidligere regler.
>
> Regel 0 sørger for at smide alle pakker væk på vej ind, der siger de
> kommer fra LAN-siden. Det burde ikke kunne lade sig gøre, så dem smider
> vi væk. Dette er nemlig en sikkerhedsrisiko.
>
> Håber du kunne bruge det.
Det kan jeg desværre ikke, for jeg har ingen retigheder til at rette i
routeren for TDC.
Men ellers ville jeg meget gerne have prøvet det.
PS. desuden har jeg bedt TDC om at lukke for alt indgåendet (det hedder vist
NAT?)
>
> --
> Nescafe - because your pets deserve the best!
>
som i kan se, er jeg temmelig ny i det her Router værk
Hilsen Bent

---

On 24 Sep 2001 14:56:56 GMT, Christian Andersen
<igqgfq001@sneakemail.com> wrote:

> Hvis routeren kan køre pakkefiltrering kan du sætte den op således:

Det giver en ret begrænset sikkerhed at checke på SYN ACK. Enhver
script-kiddie kan downloade programmer, der laver angreb med SYN
ACK sat, og så er der åbent indad for HTTP-trafik.

Hvis det er eneste sikkerhed, har man i praksis ingen sikkerhed.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:

>> Hvis routeren kan køre pakkefiltrering kan du sætte den op således:

>Det giver en ret begrænset sikkerhed at checke på SYN ACK. Enhver
>script-kiddie kan downloade programmer, der laver angreb med SYN
>ACK sat, og så er der åbent indad for HTTP-trafik.

Jo, men hvis en TCP/IP-stack modtager en pakke med en ACK-bit, der ikke
er svar på noget den selv har sendt, sender den jo en RST og river
forbindelsen ned.

>Hvis det er eneste sikkerhed, har man i praksis ingen sikkerhed.

Nu skrev jeg jo at det var en meget simpel model. Den illustrerer
pointerne i det.

--
Nescafe - because your pets deserve the best!

---

Jeg takker for hjælpen.

Med venlig hilsen
Bent

---

On 25 Sep 2001 04:58:41 GMT, Christian Andersen
<igqgfq001@sneakemail.com> wrote:

> Jo, men hvis en TCP/IP-stack modtager en pakke med en ACK-bit, der
> ikke er svar på noget den selv har sendt, sender den jo en RST og
> river forbindelsen ned.

I en perfekt verden, ville du have ret. Desværre er verden ikke
perfekt, og der er næsten endeløse mængder af eksempler på al den
skade man kan lave ved at sende operativsystemer og programmer
trafik, de ikke forventer.

Jeg fastholder, at hvis den eneste sikkerhed man har er et check
på SYN ACK, så har man i praksis ingen sikkerhed.

-A
--
http://www.hojmark.org/

---

Asbjorn Hojmark wrote:

>Jeg fastholder, at hvis den eneste sikkerhed man har er et check
>på SYN ACK, så har man i praksis ingen sikkerhed.

Efter at have tænkt lidt mere over det, vil jeg give dig ret. Det drejer
sig jo om at undgå uatoriseret trafik på netværket og hvis en pakke kan
snige sig forbi ved at fifle med ACK-bits er der noget galt.

--
Nescafe - because your pets deserve the best!