FBF7170 als Firewall/Router mit DMZ ??

Sidebar Sidebar
Upgrade 3CX to v18 and get it hosted free!
Status
Für weitere Antworten geschlossen.
P

pyronator

Neuer User
Mitglied seit
28 Apr 2006
Beiträge
5
Punkte für Reaktionen
0
Punkte
0
Hallo,
ich habe mir das ds-mod mal angesehen (echt Klasse, meine Hochachtung!), da ist ja mittlerweile iptables drin; damit lässt sich ja schon eine recht vernünftige FW bauen (ich habs zwar noch nicht wirklich probieren können, da meine Bax behauptet, das sie eine neuere FW hat und so das Update verweigert; aber da werde ich schon hinter kommen...), toll währe noch eine zusätzliche integration von iproute2 (erweitertes routing)...

Wenn ich die Hardware der box so richtig verstehe, ist doch jede RJ45 Buchse eigentlich ein eigenes Interface, genau wie das WLAN-Interface und das Modem !????? Und normalerweise sind alle diese Ports gebridet ???

Dann müsste doch auch folgendes Möglich sein (ODER??):

Einwahl über Modem
Port 0 mit dem WLAN-Port Brücken (Damit eigentlich vom Rest des Systems losgelöst)
Port 1 als DMZ (Meine DSL-Leitung hat ein /29 Netz)
Port 2 geht zum internen Netz und eben über NAT nach draussen und mit der VOIP möglichkeit

Port 3 .... mal sehen; da hätte ich auch noch ne Idee, wenn iproute2 gehen würde....


Pyronator
 
Es ist leider schwehr zu verstehen was Du meinst.

Aber eins ist mit aufgefallen Du bringst offenbar was durcheinander.

z.b. die Box als Router konfiguriert bedeutet Schutz durch NAT.
aber ne DMZ ist als wenn sämtlicher Datenverkehr ohne gefiltert zu werden einfach zu Deinen PC durchgereicht wird.

Also so wie Sex ohne Gummi.
Und Router und DMZ zusammen geht schlecht.

MFG
 
taste777 schrieb:
Es ist leider schwehr zu verstehen was Du meinst.

Aber eins ist mit aufgefallen Du bringst offenbar was durcheinander.

z.b. die Box als Router konfiguriert bedeutet Schutz durch NAT.
aber ne DMZ ist als wenn sämtlicher Datenverkehr ohne gefiltert zu werden einfach zu Deinen PC durchgereicht wird.

MFG
Zum Vergrößern anklicken....

Nee.. ich bringe da nix durcheinander !
"Router" bedeutet noch lange kein NAT, sondern nur, dass das Gerät daten von einem Netz in ein anderes bringt; und DMZ bedeutet auch noch lange nicht ungefiltert !

Was du unter DMZ verstehst ist eigentlich falsch! (Der Begriff wird auch von vielen "Router"-Herstellern falsch benutzt) Das, was du beschreibst, nennt man eigentlich "exposed Host"! Eine DMZ ist ein Netz, welches durch z.B. eine Firewall/Paketfilter geschützt wird, damit nur der erwünschte Datenverkehr zu diesem Netz durch kommt (es ist dafür normalerweise auch ein offizelles IP-Netz notwendig)

Also:
Für das Netz, wo die normalen Clients/Server hängen braucht man NAT - PLUS iptables, um auch nur den Datenverkehr durch zu lassen, den man nach aussen haben will!
Die DMZ beckommt die offiziellen IP's; ABER: da kommt nur Datenverkehr rein, den man zu den Servern zulassen möchte (z.B. POP3(110), SMTP(25) und HTTP(S)(90/443) etc) aber alles ander wird von aussen in die DMZ geblockt (auch hierfür kann man wunderbar iptables nutzen) weiterhin soll (bei mir) das ganze Microsoft-gelumpe (insbesonder TCP-Ports wie 88,137-139, 389 etc. und ein paar UDP-Ports) in beiden Richitungen von dem Internnetz zur DMZ durch (und zwar ohne NAT)
 
wir reden doch aber schon von der Fritzbox! oder?
MFG
 
Jou... mit dem ds-mod geht iptable; und (wie gesagt) wenn ich die Fritzbox-HW richtig verstanden habe, kann jeder Port als eigenes IF genutzt werden... und wenn diese Annahme stimmt, sollte es gehen! (und was da noch für Möglichkeiten mit iproute2 währen...); eine andere Frage ist noch, ob die CPU da mitkommt... Aber versuchen werde ichs mal...
 
Hi pyronator!

Du hast Recht. Solange Du nicht von der 7170 oder vergleichbaren redest. Da sind die LAN-Anschöüsse geswitched. Für die 7050 etc. hast Du absolut Recht.
Bei der 7170 scheint aber was in Vorbereitung zu sein: Scheinbar kann man dort VLANs benutzen und später zwischen diesen routen. Damit würde jeder einzelne Port separierbar, sodaß man mit iptables sinnvolle Regeln erstellen könnte...
Also darauf warte ich noch ...
 
pyronator schrieb:
weiterhin soll (bei mir) das ganze Microsoft-gelumpe (insbesonder TCP-Ports wie 88,137-139, 389 etc. und ein paar UDP-Ports) in beiden Richitungen von dem Internnetz zur DMZ durch (und zwar ohne NAT)
Zum Vergrößern anklicken....

Respekt, aber das wären die letzten Ports die ich irgendwie über das Internet routen bzw. öffnen würde, egal in welche Richtung.

AVM hat von Hause aus (in meinen Augen völlig gerechtfertigt) die netbios Ports gesperrt. Diese Ports haben meiner Meiung nach, ohne einen (VPN-)Tunnel, auch nichts im Internt zu suchen.

Wäre daher nicht für die Datei und Druckerfreigabe ein gesicherter Tunnel die bessere Wahl?
 
Status
Für weitere Antworten geschlossen.

Zurzeit aktive Besucher

Gesamt: 731 (Mitglieder: 42, Gäste: 689)

Neueste Beiträge

Statistik des Forums

Themen
246,780
Beiträge
2,257,354
Mitglieder
374,819
Neuestes Mitglied
ipuser02
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
Ihr E-Mail-Adresse verifizieren

Ihr E-Mail-Adresse verifizieren

Wir haben Ihnen eine E-Mail geschickt. Klicken Sie auf die Schaltfläche im E-Mail-Text, um Ihre E-Mail-Adresse zu verifizieren – (Können Sie diese nicht finden können, dann überprüfen Sie Ihren Spam-Ordner).

IPPF im Überblick

Neueste Beiträge

Direktlinks Telefonanlage

Website-Sponsoren

3CX sponsor
KONTAKTIEREN SIE UNS BEI INTERESSE
| Style by ThemeHouse
XenPorta 2 PRO © Jason Axelrod of 8WAYRUN
Oben Unten
Zurück