Zitat:
Zitat von Kl3riker  Das mit der DMZ bei mir ist auf zwei Weisen regelbar. Einmal kann ich die DMZ für eine spezielle IP zuweisen oder ich kann sie direkt für alle Rechner im Netzwerk schalten. und das habe ich auch gemacht. |
Ja aber was passiert dann mit diesen Rechnern, wie werden Verbindungen zu und von diesen behandelt...
Aber ich denke, daß ist jetzt eher nebensächlich. Wenn es das ist, was ich denke, dann ist die Einstellung "Für alle" schon richtig.
Zitat:
|
Irgendwie kommt mir das jetzt spanisch vor. Also ein Router bietet nur minimalen Schutz, weil es als "minimale Filterimplementierung" durchgeht?
|
Das kannst du so nicht sehen. Das Masquerading funktioniert ja so, daß dein PC eine Verbindung, zum Beispiel beim Surfen auf eine Websseite, nach draußen aufbaut. Der Router merkt sich das nun. Wenn die Antwort kommt, schaut er in seiner Tabelle nach, zu welcher Verbindung jetzt diese Antwort gehört und schickt das Antwortpaket an deinen Rechner.
Wenn dein Rechner nach draußen keine Anforderung gesendet hat und es kommt nun von Außen ein Paket, dann findet der Router keine zugehörige Verbindung und droppt das Paket. Somit hast du dadurch nach außen hin keinen offenen Port und bist dadurch geschützt.
Schlaue Marketingleute haben sich gedacht, daß man das ja als Firewall anpreisen könnte. Aber eine "richtige" Firewall kann mehr.
Zitat:
|
e: Wie siehts denn dann mit der Sicherheit aus, wenn ich Port Forwarding machen. Denn wenn die FW geshclosen ist muss ich ja bestimmt Ports freischalten.
|
So sachen wie PortForwarding z.B. meinte ich mit Filtern...
Das kommt darauf an, was du machen willst.
Ein normaler Nutzer, der nach außen hin keinen aktiven Dienste anbieten will, der braucht auch keine Ports weiterzuleiten, weil durch das Masquerading/NAT weiss der Router ja, wo die Antwortpakete hinsollen.
Willst du jetzt einen aktiven Dienst, wie Mail-, FTP-, Spiele
SERVER nach außen hin verfügbar machen, so daß andere darauf zugreifen können, dann musst du die entsprechenden Ports auf den Rechner, auf dem der Dienst läuft weiterleiten.
Da du hier die Ports nun direkt auf einen Rechner weiterleitest, ist der Dienst, den du anbietest natürlich erreichbar, damit ist er aber auch eventuellen Angriffen ausgesetzt. Daher sollte man immer die nötigen Sicherheitspatches für diesen Dienst installieren. Darum kommt auch keiner rum, denn wenn man einen Dienst erreichbar macht, macht man ihn damit auch angreifbar. Da führt kein Weg dran vorbei. Da würde dir auch keine PFW helfen, weil du diese ja auch freischalten würdest.