DMZ nun möglich ???

Huminator

Neuer User
Mitglied seit
27 Jan 2005
Beiträge
74
Punkte für Reaktionen
0
Punkte
0
Hi

Ist Dmz nun irgendwie möglich???? Wenn das irgendwie ging wäre mir sehr geholfen.

mfg
 
Nur über Änderung per telnet...
nvi /var/flash/ar7.cfg

Code:
 "# tcp 0.0.0.0:0 192.168.178.20:0 0 # DMZ",
 "# tcp 0.0.0.0:21 192.168.178.20:21 0 # FTP-Server",
 "# tcp 0.0.0.0:80 192.168.178.20:80 0 # HTTP-Server",

Erste Zeile eintragen und zum aktivieren vorderen "#" entfernen, kann nicht über's Webinterface deaktiviert werden...

MfG Oliver
 
DMZ heißt bei euch dass alles forgewarded wird an diesen Rechner oder?

Das ist gehöriger unterschied zu dem ursprünglichen Name DMZ.
Eigentlich wird er dazu gebraucht in einem spperaten netz bestimmte dienste nach aussen (internet) anzubieten. Ein Mailserver in einer Firma steht meist in einer DMZ und gibt die Mails nach innen weiter. So ist keine direkte Verbindung zwischen internem Netz und Internet.

Die Router Hersteller haben den Begriff missbraucht :(
Grüße Temp
 
Der Mailserver soll im Lan stehen. In DMZ stehen der Webserver, Proxy, Mailrelay etc.

MfG
 
und gibt die Mails .... nach innen weiter an einen internen mailserver.

so hätt ich vielleicht schreiben sollen ;)
 
DMZ heisst Demilitarized Zone...

-> sprich der DMZete Host wird nicht mehr geschützt.
 
.. wobei man nur immer wieder warnen kann:

Sich auf ein DMZ zu verlassen, was in dieser Art realisiert wurde, also mit nur einem Router-Port, ist grob fahrlässig. [1]

Nachdem die Box nur über einen Port verfügt, werden alle Pakete über den rausgeschickt, es erfolgt also keine Trennung der Teilnetze nach Ports.
Das führt dazu, daß letztlich doch wieder alle Pakete über den switch schwirren. Wenn dann einer der Rechner in der DMZ geknackt wird, ist der restliche Traffic im Netz keinen Pfifferling mehr sicher.

Ich rate also, daß man von solchen Consumer-Implementationen von DMZ tunlichst die Finger lassen sollte.

Wer Serverdienste nach aussen anbieten will, verlässt sich lieber garnicht erst auf die Funktionen der Box, sondern nimmt lieber gleich einen extra Rechner mit meheren Netzwerkkarten, z.b. ein BSD oder z.b. IP-Cop oder Fli4l, (ein Rechner wird ja in der DMZ ohnehin eingeplant sein) und lässt dann die Serverdienste dadrauf laufen und filtert mit dem.

In diesem Fall ist eine schlechte DMZ schlechter als gar keine DMZ.

[1] ganz abgesehen davon, daß auch bei 2 Ports bei so einem billigen Consumer-Teil das bestimmt nicht besonders widerstandsfähig wäre.
 
@Huminator:

Eine DMZ kannst Du "out-of-the-box" aufbauen indem Du sowohl via Netzwark als auch über USB jeweils einen Rechner schließt.
Beide geräte liegen in unterschiedlichen Netzen (sofern nicht in der Config deaktiviert).

Ich selbst wollte aber nix per USB anschließen und mich nicht auf die Firewall der Box verlassen: 2.Router an einem Switch (an dem auch der Rest der DMZ hängt) und mit dem 2. Router ein weiteres Subnetz aufgebaut.

Frei nach dem Motto: "viel hilft viel". :hehe:
 
Hi all


Ich verstehe die Panik nicht, DMZ wäre fahrlässig und so.
Also ich will ja den Port komplett offen haben alles andere regelt dann mein eigentlicher Router.Ausserdem ist auf mein Rechner auch noch alles geschütz.es ist doch jedem selbst überlassen was er macht.Avm sollte wenn dann 2 Firmwareversionen rausbringen eine wo alles offen ist und eine zu.


mfg
 
mal ne ganz blöde frage ...
aber wenn man die DMZ eingerichtet hat, gelten dann auch noch regeln die man per webinterface einrichtet?

also z.b. pot 500 dann auf nen anderen rechner weiterleiten?
 
@ sphings

ich hab das mal bei mir gerade getestet und bei mir ist nichts passiert.
Der Prot RDP wurde nicht weitergeleitet könnte jetzt aber auch an dem gelegen haben da ich es in ein anderes Netz geroutet habe.
 
Was bedeutet bei
"# tcp 0.0.0.0:0 192.168.178.20:0 0 # DMZ",
die letzte "0"? :O

Ich habe versucht, Port 5060 (UDP) an Port 192.168.178.21 weiterzuleiten, aber die Box weigert sich weiterhin, das zu tun.
Weiss da jemand einen Rat?
 
nun der Port 5060 ist per default als Listener Port auf der Box selber fürs VoIP verwendet, den kannst du schlicht nicht forwarden....

du solltest in dem fall nach einem alternativen Port suchen 5061 oder so... manche provider bieten das an.

Cheers, Tjobbe
 
Ich sehe, Du bist selbst bei 1&1. Habe ich da eine Möglichkeit?
Ich hab ein Cisco 7960G und das bekommt keine Verbindung zum SIP-Server zur Anmeldung.
Wieso kann die Box den Port nicht gleichzeitig weiterleiten, während sie ihn benutzt?
 
hast du einen STUN Server eintragen ?.. das hab ich so gemacht als ich meine Zyxel ATA hinter die FBF gehängt habe und das hat bei mir mit der registrierung funktioniert.

Cheers, Tjobbe
 
Ähm, nein :shock:
Wie lautet seine Adresse und wo muss ich sie eingeben? :oops:
 
naja der von 1&1 sollte als stun.1und1.de erreichbar sein. Alternative wäre auch die eingabe als IP möglich

Code:
Pinging stun.1und1.de [212.227.15.200] with 32 bytes of data:

Reply from 212.227.15.200: bytes=32 time=60ms TTL=57

Wo das bei dem Cisco rein muss bin leider überfragt. ev. das mal im Cisco-UnterForum bei den Fachleuten nachfrage.

Cheers, Tjobbe
 
Ich habe gerade nach der STUN-Unterstützung gesucht und dabei vergessen, dass RB mir schon mal bei einer anderen Frage gesagt hat, dass das Telefon kein STUN unterstützt.

D.h. ich muss einen Port forwarden. Weisst Du, ob 1&1 noch andere Ports ausser 5060 hat?

Grüsse
Card
 
Danke, die anderen Ports haben geklappt! :)
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.