Richtige DMZ auf 7050 und nichts anderes GEHT DAS

[ichego1]

Nochmal ich meine eine richtige DMZ

Richtige DMZ und nichts anderes GEHT DAS

fritzbox 7050 richtige dmz an lan b

hallo kann man eine richtige dmz an lan b auf die fritzbox 7050 machen

lan a 192.168.178.1
lan b 192.168.1.1 mit richtiger dmz alle port laufen da auf auch die 5060 und 7078
nochmal mit richtige dmz meine ich alle ports auch die voipports die die fritz
schon standartmässig für sich gekapert hat 5060 7078 usw

usw also alle 65000 port und ich kann da einen asterisk und einen webserver
laufen lassen und kann ihn von aussen erreichen

geht das???????

Bitte keine anworten wie

z.b das brauchst du nicht oder so

nur meine Frage beantworten und wenn es geht auch die Lösung hier hin schreiben aber genau

Herzliche Grüsse

ichego1

 

[wichard]

DU meinst weniger eine DMZ als eher einen Exposed Host, oder?


Gruß,
Wichard

 

[ichego1]

Ich habe geschrieben richtige DMZ

Warum schreibst du was anderes
Wichard

kannst du nicht lesen
was soll diese blöde Diskussion
was meinst du warum ich richtige dmz meine



DU meinst weniger eine DMZ als eher einen Exposed Host, oder?

SO NOCHMAL

ICH WILL AN LAN B EINE RICHTIGE DMZ ES SOLL SO SEIN ALS OB MANN EIN
Z:B DSLMODEM AN LAN HAT

UND ALLES OFFEN IST

NACH WIE VOR ICH WILL HIER KEIN

Exposed Host

ICH WILL EINE RICHTIGE dmz

WIE BEIM IPCOP ODER DER MONOWALL

 

[gandalf94305]

Sorry, ichego1, die Diskussion ist nicht ganz so blöd wie Du es vermutest. Eine DMZ ist nichts anderes als eins von zwei oder mehr Netzwerken, das hinter einem Firewall steckt und bestimmte Ports freigeschaltet hat. Im Sinne von Firewalls verwendet man eine DMZ in Verbindung mit einem LAN und WAN, so daß Kommunikation zwischen WAN und DMZ möglich ist, sowie zwischen DMZ und LAN, nicht jedoch direkt zwischen LAN und WAN. Dadurch werden die Systeme im LAN vor direkten Angriffen aus dem WAN geschützt.

Das kannst Du gerne nachlesen unter http://de.wikipedia.org/wiki/Demilitarized_Zone

Dort wird auch der Fall eines

Exposed Host

genannt. Ein Exposed Host im Sinne einer kollabierten Firewall (d.h. die Firewall zwischen WAN/DMZ und zwischen DMZ/LAN wird zu einem System) ist damit ein System, das automatisch alle Pakete erhält, die nicht auf irgendwelche andere Systeme per Regel weitergeleitet werden. Gibt es überhaupt keine Weiterleitungsregeln, so geht der gesamte Verkehr auf genau einen Host, den "Exposed Host". Man kann die DMZ natürlich auch mit zwei oder mehr Hosts aufbauen, aber dann benötigt man spezifische Portweiterleitungen, damit die Zuordnung zu Hosts klar ist. Port 5060/tcp am WAN-Anschluss kann nur auf genau einen Host in der DMZ oder im LAN weitergeleitet werden.

Langer Rede, kurzer Sinn:

ICH WILL EINE RICHTIGE dmz

WIE BEIM IPCOP ODER DER MONOWALL

Die Antwort im Sinne der Frage ist NEIN. Aber das hilft Dir auch wahrscheinlich nicht weiter, weshalb wir über den Hintergrund der Frage reden müssen und dann gibt es vielleicht doch eine Lösung. Denn abgesehen mal von Deiner unverschämten Art und kryptischen Formulierung der Anforderungen, ist es in der Tat möglich, hinter einer FBF 7050 einen Webserver und einen Asterisk zu betreiben. Das war jedoch nicht Deine Frage. Du wolltest ja nur eine DMZ :hehe:

--gandalf.

 

[ichego1]

danke für deine Antwort

so jetzt ist das rumgeeiere wegen der DMZ vorbei

ich war etwas provokativ weil ich wusste das es wieder mal alle besser wissen

aber ich zu keiner vernünftigen antwort komme

deine antwort stellt mich zufrieden

sie lautet nein

also werde ich doch wohl einen rechner mit den ipcop laufen lassen müsse

schade frist viel strom für nichts

AVM oder kriegx müssten endlichmal eine richtige dmz für die fritz kompelieren

natürlich am lan b

die fritzbox ist für mich erst ein guter router wenn er auch
eine richtige DMZ wie beim ipcop oder M0n0wall
bereit stellt

Herzliche Grüsse

ichego1

 

[Ghostwalker]

Moin ichego1,

kann es sein, dass Du Gandalfs Antwort nicht vollständig gelesen hast?

Eine DMZ ist ein besonders gesicherter Bereich im lokalen Netzwerk, auf den sowohl aus dem WAN als auch aus dem LAN zugegriffen werden kann. Der Exposed Host ist Bestandteil der DMZ, da auf ihn ALLE eingehenden Verbindungen weitergeleitet werden, die nicht auf Grund von Portfreigaben oder durch NAT erzeugten Regeln auf anderen Computer im LAN geleitet werden.

Ergo kann die FBF eine DMZ aufbauen, auch wenn die DMZ nur - zunächst - aus genau einem Host bestehen kann, eben jenem Exposed Host.

Die Nachfrage von Wichard war also nicht unberechtigt, denn das ein bestimmtes Ziel X auf einem bestimmten Weg (hier: DMZ) nicht erreicht werden kann, heißt nicht, dass das Ziel überhaupt nicht erreicht werden kann. Daher versuchen wir durchaus, auch andere Wege aufzuzeigen. Aber wenn Du das nicht willst, ist das natürlich Deine Sache.

So, und jetzt noch ein gutgemeinter Rat zu Deinem Umgangston: Das Gezetere und Geschreie (alles in Großbuchstaben schreien) wird hier nicht gerne gesehen.

Grüße und eine schöne Arbeitswoche noch
Dirk

 

[ichego1]

Ich will eine DMZ

Der Exposed Host ist Bestandteil der DMZ, da auf ihn ALLE eingehenden Verbindungen weitergeleitet werden,

und da ist der Haken was ich an der Fritz so scheisse finde

die ports 5060 7078 usw werden am pc am lan b

geblockt

weil sich die fritz in der grundkonfiguration schon gekapert hat


probiere es aus

ich will total freien zugang vom internet auf meinen rechner in der dmz

 

[ichego1]

user Dsteinkopf
hat es hinbekommen mit einem skript in der debug cfg
und ein wenig frickelarbeit

siehe
das zauberwort heisst

iptables-Firewall mit echter DMZ

http://www.ip-phone-forum.de/showthread.php?t=81137


FritzBoxFon WLAN (7050) 14.04.33ds26-15 mit 2 analogen Tel., 1 Fax und 1 ISDN-Tel.
im DS-Mod: dnsmasq, syslogd-cgi
per debug.cfg nachgeladen: OpenVPN, iptables-Firewall mit echter DMZ an eth1
Arcor-ISDN, Arcor-DSL 16000 (aber wg. schlechter Leitung rel. instabil)
sip: dus.net, sipgate, web.de
enum unter .e164.org (bei www.e164.org) und .e164.arpa (bei www.portunity.com)
(Stand 7. Juli 2007)

Edit Ghostwalker: Link korrigiert. Bitte nur auf www.ip-phone-forum.de verweisen.

 

[gandalf94305]

Du sagst uns dann Bescheid, wenn es bei Dir funktioniert wie eingangs gefordert?

--gandalf.

 

[ichego1]

Hier nochmal ein Link
zum Thema


http://www.elektronik-kompendium.de/sites/net/0907241.htm

 

[Ghostwalker]

Und was sollen wir jetzt mit diesem doch eher kommentarlos eingeworfenen Link anfangen?

...

Ach so: Anklicken, Lesen, Verstehen und dir sagen, wie Du eine dort beschriebene DMZ mit Fritz!Boxen (plural!) nachbauen kannst. Hier bitte:
Man nehme FBF A und konfiguriere diese so, dass sie per was-auch-immer eine Verbindung ins Internet aufbaut. Dann richte man für alle Ports, die in der DMZ landen sollen, die benötigten Portweiterleitungen ein.
Achtung: Für diverse von den VoIP-Funktionen der FBF A benötigte Ports ist dies NICHT MÖGLICH.
Als letzten Schritt der Konfiguration von FBF A richte man nun einen Exposed Host ein.
Dann nehme man FBF B und konfiguriere diese so, dass sie über das von FBF A bereitgestellte Netzwerk ins Internet geht. Dabei ist zu beachten, dass FBF B als ihre WAN-Adresse genau die Adresse verwendet, die in FBF A als Exposed Host eingerichtet wurde.
Fertig ist eine DMZ, wie sie im ElKo grafisch dargestellt wird.

Noch Fragen?

 

[RalfFriedl]

Nein Ghostwalker, die richtige Antwort sieht ungefähr so aus:

Ich finde es toll, daß ich endlich jemand damit beschäftigt, eine DMZ auf einer 7050 zum Laufen zu bekommen.

Leider kenne ich mich nicht so gut damit aus, aber hier habe ich schon mal hilfreiche Links für Asterisk und einen Webserver.
Falls es damit nicht geht, gibt es auch noch andere.

Und hier noch etwas über DMZ

Zumindest ist es ungefähr das, was ichego1 schreiben würde, wenn ein anderer diese Frage gestellt hätte. Lauter Links, die dem Fragesteller vermutlich schon bekannt sind oder nichts mit dem Thema zu tun haben, oder beides.

Und damit hier wenigstens noch etwas Sinnvolles steht, will ich mal die Frage von oben etwas umformulieren, vielleicht wird dann die Antwort deutlich:

Ist es möglich eine richtige DMZ wie im oberen Bild auf dem Link, die aus zwei Routern besteht, mit einer FritzBox 7050 zu realisieren oder nicht?

 

[Ghostwalker]

@RalfFriedl:
Diese Frage muss man ganz klar mit einem NEIN beantworten. Mit einem Router lässt sich keine DMZ aufbauen, die eigentlich auf zwei Routern basieren soll.
Dabei ist es meines Erachtens auch vollkommen schnurzpiepegal, ob der Router nun eine Fritz!Box von AVM, irgendein Billig-Router von Acme Inc. oder das teuerste Modell von Cisco oder Juniper ist.

Grüße Dirk

 

[RalfFriedl]

Danke für die Auskunft. Ich hatte es schon vermutet, war mir aber nicht ganz sicher.

 

[gfuer]

Ein paar Gedanken auf der Suche nach einer Kompromißlösung:

Bei der "Exposed Host"-Sparlösung hängt der DMZ-Host ja direkt im LAN, und die anderen Rechner im LAN sind nicht durch einen Firewall vom DMZ-Host abgeschottet :-(

Aber um zum oberen Bild zurückzukommen: Die beiden Router Firewall-Router A und Firewall-Router B müßte man doch prinzipiell auch durch nur einen einzigen Firewall-Router ersetzten können, wenn dieser mindestens drei separate Ports hat (für WAN, LAN und DMZ). Dann könnte doch dieser eine Router durchaus WAN, LAN und DMZ voneinander abschotten und ganz gezielt nur die Kommunikationsbeziehungen zwischen den drei Netzwerken zulassen, die erwünscht sind. Sicherlich sind zwei Router nach wie vor die bessere Lösung, aber ein Router, der WAN, LAN und DMZ voneinander gezielt abschotten kann, ist m.E. dann doch noch sicherer als ein (gehackter) DMZ-Host, der ganz ohne weiteren Firewall im internen LAN hängt.

Bei den FRITZ!Boxen gibt es doch auch eine Konfigurationsvariante, bei der LAN und WLAN nicht gebridged sind, sondern separate IP-Netzwerke sind, zwischen denen geroutet wird. Dann könnte man doch z.B. das WLAN als DMZ benutzen, und das LAN als internes LAN (oder umgekehrt), und mit iptables müßte man dann doch auch die gewünschte Abschottung zwischen den Netzwerken erreichen können.

 

[ichego1]

Ja du sagst es ENDLICH

DANKE FÜR DEINE ANTWORT



Also ich meine das doch jemand hier im Forum es hinbekommen müsste

oder Avm selber

zur Zeit läuft bei mir Modem , IPCOP mit echter DMZ auf lan 3 Oranges
Netzwerk mit Asterisk ,auf Freeebsd www.Askozia.com , und die Friztzbox zum Voipen ,

und ich meine das müsste die Fritz doch auch alleine hin kriegen . Dann ist es

ein Router wie er sein sollte .und spart mir 200 Euros Stromkosten für a das Modem und b den Ipcop .

Gfür du bist nah an einer Lösung

wir sollten es mal AVM mailen oder????????

 

[Ghostwalker]

Da die Zielgruppe der Fritz!Boxen für solche doch eher exotischen Konfigurationen nichts übrig hat, wird AVM hier nichts weiter tun. Von daher: Telnet auf der Box einschalten und selber konfigurieren. Viel Erfolg dabei!

Und bitte gewöhn' Dir die Zeilenumbrüche mitten im Satz ab, sowas kann man nur schwer lesen.

Grüße Dirk

 

[gandalf94305]

Wenn man die zwei Firewalls in ein physisches System packt, dann ist das ein sog. "kollabierter Firewall" (siehe oben). Das ist unter Sicherheitsaspekten natürlich etwas schwächer, wird jedoch typischerweise benutzt, um Hardware zu sparen, wenn auch das LAN direkten Zugriff auf das WAN benötigt.

Zum Thema iptables auf der FBF 7050 zur Trennung von LAN-A und LAN-B: http://www.ip-phone-forum.de/showthread.php?t=129617
Auch im Wiki mit Informationen: http://wiki.ip-phone-forum.de/software:ds-mod:wlan_iptables

--gandalf.

 

[ichego1]

ja wir sind doch schon nah dran

also telnet Zugang auf die fritz habe ich

nun müsste nur noch einer sagen schritt für schritt wie es weiter geht


ich probiere und lese erstmal
http://wiki.hackerboard.de/index.ph....E2.80.9EDMZ.E2.80.9C.2C_die_keine_DMZ_ist.29
Hier ist die lösung
http://www.heise.de/ct/projekte/srv/cfgs/vlaninterfaces.shtml
Gruss


ichego1

 

[gandalf94305]

Aha... und diese Lösung hast Du nun mit Deiner Fritz!Box Fon 7050 umgesetzt und sie funktioniert?

--gandalf.