.titleBar { margin-bottom: 5px!important; }

DMZ nun möglich ???

Dieses Thema im Forum "FRITZ!Box Fon: DSL, Internet und Netzwerk" wurde erstellt von Huminator, 29 Jan. 2005.

  1. Huminator

    Huminator Neuer User

    Registriert seit:
    27 Jan. 2005
    Beiträge:
    74
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi

    Ist Dmz nun irgendwie möglich???? Wenn das irgendwie ging wäre mir sehr geholfen.

    mfg
     
  2. olistudent

    olistudent IPPF-Urgestein

    Registriert seit:
    19 Okt. 2004
    Beiträge:
    14,756
    Zustimmungen:
    1
    Punkte für Erfolge:
    0
    Beruf:
    Softwareentwickler
    Ort:
    Kaiserslautern
    Nur über Änderung per telnet...
    nvi /var/flash/ar7.cfg

    Code:
     "# tcp 0.0.0.0:0 192.168.178.20:0 0 # DMZ",
     "# tcp 0.0.0.0:21 192.168.178.20:21 0 # FTP-Server",
     "# tcp 0.0.0.0:80 192.168.178.20:80 0 # HTTP-Server", 
    Erste Zeile eintragen und zum aktivieren vorderen "#" entfernen, kann nicht über's Webinterface deaktiviert werden...

    MfG Oliver
     
  3. Temp

    Temp Neuer User

    Registriert seit:
    2 Jan. 2005
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    DMZ heißt bei euch dass alles forgewarded wird an diesen Rechner oder?

    Das ist gehöriger unterschied zu dem ursprünglichen Name DMZ.
    Eigentlich wird er dazu gebraucht in einem spperaten netz bestimmte dienste nach aussen (internet) anzubieten. Ein Mailserver in einer Firma steht meist in einer DMZ und gibt die Mails nach innen weiter. So ist keine direkte Verbindung zwischen internem Netz und Internet.

    Die Router Hersteller haben den Begriff missbraucht :(
    Grüße Temp
     
  4. mujiaba

    mujiaba Neuer User

    Registriert seit:
    9 Nov. 2004
    Beiträge:
    23
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Der Mailserver soll im Lan stehen. In DMZ stehen der Webserver, Proxy, Mailrelay etc.

    MfG
     
  5. Temp

    Temp Neuer User

    Registriert seit:
    2 Jan. 2005
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    und gibt die Mails .... nach innen weiter an einen internen mailserver.

    so hätt ich vielleicht schreiben sollen ;)
     
  6. stani

    stani Neuer User

    Registriert seit:
    8 Okt. 2004
    Beiträge:
    29
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    DMZ heisst Demilitarized Zone...

    -> sprich der DMZete Host wird nicht mehr geschützt.
     
  7. southy

    southy Mitglied

    Registriert seit:
    6 Okt. 2004
    Beiträge:
    385
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    .. wobei man nur immer wieder warnen kann:

    Sich auf ein DMZ zu verlassen, was in dieser Art realisiert wurde, also mit nur einem Router-Port, ist grob fahrlässig. [1]

    Nachdem die Box nur über einen Port verfügt, werden alle Pakete über den rausgeschickt, es erfolgt also keine Trennung der Teilnetze nach Ports.
    Das führt dazu, daß letztlich doch wieder alle Pakete über den switch schwirren. Wenn dann einer der Rechner in der DMZ geknackt wird, ist der restliche Traffic im Netz keinen Pfifferling mehr sicher.

    Ich rate also, daß man von solchen Consumer-Implementationen von DMZ tunlichst die Finger lassen sollte.

    Wer Serverdienste nach aussen anbieten will, verlässt sich lieber garnicht erst auf die Funktionen der Box, sondern nimmt lieber gleich einen extra Rechner mit meheren Netzwerkkarten, z.b. ein BSD oder z.b. IP-Cop oder Fli4l, (ein Rechner wird ja in der DMZ ohnehin eingeplant sein) und lässt dann die Serverdienste dadrauf laufen und filtert mit dem.

    In diesem Fall ist eine schlechte DMZ schlechter als gar keine DMZ.

    [1] ganz abgesehen davon, daß auch bei 2 Ports bei so einem billigen Consumer-Teil das bestimmt nicht besonders widerstandsfähig wäre.
     
  8. jemi

    jemi Neuer User

    Registriert seit:
    26 Juni 2004
    Beiträge:
    183
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @Huminator:

    Eine DMZ kannst Du "out-of-the-box" aufbauen indem Du sowohl via Netzwark als auch über USB jeweils einen Rechner schließt.
    Beide geräte liegen in unterschiedlichen Netzen (sofern nicht in der Config deaktiviert).

    Ich selbst wollte aber nix per USB anschließen und mich nicht auf die Firewall der Box verlassen: 2.Router an einem Switch (an dem auch der Rest der DMZ hängt) und mit dem 2. Router ein weiteres Subnetz aufgebaut.

    Frei nach dem Motto: "viel hilft viel". :hehe:
     
  9. Huminator

    Huminator Neuer User

    Registriert seit:
    27 Jan. 2005
    Beiträge:
    74
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Hi all


    Ich verstehe die Panik nicht, DMZ wäre fahrlässig und so.
    Also ich will ja den Port komplett offen haben alles andere regelt dann mein eigentlicher Router.Ausserdem ist auf mein Rechner auch noch alles geschütz.es ist doch jedem selbst überlassen was er macht.Avm sollte wenn dann 2 Firmwareversionen rausbringen eine wo alles offen ist und eine zu.


    mfg
     
  10. sphings

    sphings Mitglied

    Registriert seit:
    3 Okt. 2004
    Beiträge:
    522
    Zustimmungen:
    0
    Punkte für Erfolge:
    16
    mal ne ganz blöde frage ...
    aber wenn man die DMZ eingerichtet hat, gelten dann auch noch regeln die man per webinterface einrichtet?

    also z.b. pot 500 dann auf nen anderen rechner weiterleiten?
     
  11. Marty

    Marty Neuer User

    Registriert seit:
    14 Juni 2005
    Beiträge:
    1
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    @ sphings

    ich hab das mal bei mir gerade getestet und bei mir ist nichts passiert.
    Der Prot RDP wurde nicht weitergeleitet könnte jetzt aber auch an dem gelegen haben da ich es in ein anderes Netz geroutet habe.
     
  12. Card

    Card Mitglied

    Registriert seit:
    11 Apr. 2005
    Beiträge:
    214
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Was bedeutet bei
    "# tcp 0.0.0.0:0 192.168.178.20:0 0 # DMZ",
    die letzte "0"? :O

    Ich habe versucht, Port 5060 (UDP) an Port 192.168.178.21 weiterzuleiten, aber die Box weigert sich weiterhin, das zu tun.
    Weiss da jemand einen Rat?
     
  13. tjobbe

    tjobbe Mitglied

    Registriert seit:
    5 Mai 2005
    Beiträge:
    404
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    IT Consultant (B2B)
    nun der Port 5060 ist per default als Listener Port auf der Box selber fürs VoIP verwendet, den kannst du schlicht nicht forwarden....

    du solltest in dem fall nach einem alternativen Port suchen 5061 oder so... manche provider bieten das an.

    Cheers, Tjobbe
     
  14. Card

    Card Mitglied

    Registriert seit:
    11 Apr. 2005
    Beiträge:
    214
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich sehe, Du bist selbst bei 1&1. Habe ich da eine Möglichkeit?
    Ich hab ein Cisco 7960G und das bekommt keine Verbindung zum SIP-Server zur Anmeldung.
    Wieso kann die Box den Port nicht gleichzeitig weiterleiten, während sie ihn benutzt?
     
  15. tjobbe

    tjobbe Mitglied

    Registriert seit:
    5 Mai 2005
    Beiträge:
    404
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    IT Consultant (B2B)
    hast du einen STUN Server eintragen ?.. das hab ich so gemacht als ich meine Zyxel ATA hinter die FBF gehängt habe und das hat bei mir mit der registrierung funktioniert.

    Cheers, Tjobbe
     
  16. Card

    Card Mitglied

    Registriert seit:
    11 Apr. 2005
    Beiträge:
    214
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ähm, nein :shock:
    Wie lautet seine Adresse und wo muss ich sie eingeben? :oops:
     
  17. tjobbe

    tjobbe Mitglied

    Registriert seit:
    5 Mai 2005
    Beiträge:
    404
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    IT Consultant (B2B)
    naja der von 1&1 sollte als stun.1und1.de erreichbar sein. Alternative wäre auch die eingabe als IP möglich

    Code:
    Pinging stun.1und1.de [212.227.15.200] with 32 bytes of data:
    
    Reply from 212.227.15.200: bytes=32 time=60ms TTL=57
    
    Wo das bei dem Cisco rein muss bin leider überfragt. ev. das mal im Cisco-UnterForum bei den Fachleuten nachfrage.

    Cheers, Tjobbe
     
  18. Card

    Card Mitglied

    Registriert seit:
    11 Apr. 2005
    Beiträge:
    214
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Ich habe gerade nach der STUN-Unterstützung gesucht und dabei vergessen, dass RB mir schon mal bei einer anderen Frage gesagt hat, dass das Telefon kein STUN unterstützt.

    D.h. ich muss einen Port forwarden. Weisst Du, ob 1&1 noch andere Ports ausser 5060 hat?

    Grüsse
    Card
     
  19. tjobbe

    tjobbe Mitglied

    Registriert seit:
    5 Mai 2005
    Beiträge:
    404
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Beruf:
    IT Consultant (B2B)
  20. Card

    Card Mitglied

    Registriert seit:
    11 Apr. 2005
    Beiträge:
    214
    Zustimmungen:
    0
    Punkte für Erfolge:
    0
    Danke, die anderen Ports haben geklappt! :)