Re^2: DMZ Funktion von Routern
Als DMZ-Host kann normalerweise nur eine IP-Adresse
konfiguriert werden. Das hat zur Folge, dass nun alle
eingehenden Pakete zum DMZ-Host gesendet werden.
Bei welchem Router ist das denn so? Bei Meinen: Cisco bzw. Netgear ist es so: Die Pakete eingehender Verbindungen werden zum DMZ-Host geroutet, eingehende Pakete als "Antwort" auf ausgehende Verbindungen werden zu dem rechner geroutet der die Verbindung aufgebaut hat. Übrigens bei meinen beiden "semi-professionellen" Firewalls Smoothwall 0.9.9 und Staro 3.x ist das nicht wesentlich anders.
Wie danach
mit den Paketen zu verfahren ist, ist Sache der DMZ. Wenn Du
hier einen Host einträgst, ist auch zugleich die relative
Sicherheit der Network-Address-Translation dahin. Ohne weitere
Filter ist Dein Host dann genau so ungeschützt wie bei einer
lokalen DFÜ-Verbindung. Es sind alle offenen Ports erreichbar
(Port 8080 und 21 allerdings nur bei gestartetem FTP- und
Webserver).
Letzteres ist allerdings trotz o.g. Einwände richtig und vor allem die Ports < 1024 dürften bei den meisten Rechnern potentielle Sicherheitsrisiken bergen.
Dadurch, dass alle eingehenden Pakete zur DMZ geleitet werden,
bekommen Deine anderen Systeme Probleme ins Internet zu kommen
(genauer gesagt, auch eine Antwort aus dem Internet zu
erhalten).
Wie gesagt, s.o. ist das bei meinen Routern nicht der Fall.
In Deinem Fall würde ich also von einer
DMZ-Konfiguration abraten.
Dieses Fazit kann ich allerdings nur unterschreiben, es sei denn Du willst tatsächlich mehrere vom Internet z.B. als Webserver erreichbare Rechner einrichten (für solche nämlich ist eine DMZ normalerweise gedacht). Wenn Du mehrere Webserver (physische Rechner) auf dem selben Port (also z.B. dem Standardport 80) erreichbar machen wolltest bräuchtest Du dafür aber auch mehr als eine "offizielle" IP-Adresse. Alles andere geht nur mit Port-Forwarding, oder Weiterleitung durch z.B. den Apache einer bestimmten Maschine.
Die Fraeg ist also, warum, wilst Du mehrere Rechner aus dem Internet erreichbar machen.
Gruß
Micha
Hi,
ich mach es mal kurz... also:
3 PC´s wollen ins internet (gleichzeitig). Besitze Router
(d-link 604). DSL Flatrate
1:Da ich aber von jedem Rechner vollzugriff auf das internet
möchte, würde ich gerne die DMZ Funktion für alle Rechner
nutzen. Frage, geht das überhaupt, oder kann nur 1 Pc als DMZ
Host fungieren ?
2:Apropo Sicherheitsaspekt: Wenn ich mich ohne Router direkt
einlogge ins internet, dann sind ja so einige Ports auf meinem
PC offen (z.B Port 8080, 21, und noch ein Paar mehr)... Sagen
wir mal so 10 Stück (windows hat ja so einige Ports die offen
sind). All diese Ports sind ja Sicherheitslücken. Wenn ich
jetzt mit diesem PC über den Router (bei dem ich ja als DMZ
Host) angemledet bin, einlogge, ist das dann gefährlicher ?
also ich meine damit, bei dmz werden ja alle ports freigegen
und alles auf meinen rechner gelassen. blockt mein rechner
aber dann trotzdem noch sachen, die über ein auf meinem pc
geschlossenem post ankommen ?
-- ich frage dass, da ja alle immer vor dmz waren ---