Pc Rechner Server router Ports Routern DMZ

DMZ Funktion von Routern

Von: , Frage gestellt am Fr, 3. Jan 2003

Hi,
ich mach es mal kurz... also:
3 PC´s wollen ins internet (gleichzeitig). Besitze Router (d-link 604). DSL Flatrate

1:Da ich aber von jedem Rechner vollzugriff auf das internet möchte, würde ich gerne die DMZ Funktion für alle Rechner nutzen. Frage, geht das überhaupt, oder kann nur 1 Pc als DMZ Host fungieren ?

2:Apropo Sicherheitsaspekt: Wenn ich mich ohne Router direkt einlogge ins internet, dann sind ja so einige Ports auf meinem PC offen (z.B Port 8080, 21, und noch ein Paar mehr)... Sagen wir mal so 10 Stück (windows hat ja so einige Ports die offen sind). All diese Ports sind ja Sicherheitslücken. Wenn ich jetzt mit diesem PC über den Router (bei dem ich ja als DMZ Host) angemledet bin, einlogge, ist das dann gefährlicher ? also ich meine damit, bei dmz werden ja alle ports freigegen und alles auf meinen rechner gelassen. blockt mein rechner aber dann trotzdem noch sachen, die über ein auf meinem pc geschlossenem post ankommen ?
-- ich frage dass, da ja alle immer vor dmz waren ---

7 Antworten zu dieser Frage

Antwort von nach 3 Stunden 0 hilfreich

Re: DMZ Funktion von Routern

Als DMZ-Host kann normalerweise nur eine IP-Adresse konfiguriert werden. Das hat zur Folge, dass nun alle eingehenden Pakete zum DMZ-Host gesendet werden. Wie danach mit den Paketen zu verfahren ist, ist Sache der DMZ. Wenn Du hier einen Host einträgst, ist auch zugleich die relative Sicherheit der Network-Address-Translation dahin. Ohne weitere Filter ist Dein Host dann genau so ungeschützt wie bei einer lokalen DFÜ-Verbindung. Es sind alle offenen Ports erreichbar (Port 8080 und 21 allerdings nur bei gestartetem FTP- und Webserver).

Dadurch, dass alle eingehenden Pakete zur DMZ geleitet werden, bekommen Deine anderen Systeme Probleme ins Internet zu kommen (genauer gesagt, auch eine Antwort aus dem Internet zu erhalten). In Deinem Fall würde ich also von einer DMZ-Konfiguration abraten.

Gruß Chris [Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]
- Antwort von nach einem Tag 0 hilfreich
  
  Re^2: DMZ Funktion von Routern
  
  Als DMZ-Host kann normalerweise nur eine IP-Adresse
  konfiguriert werden. Das hat zur Folge, dass nun alle
  eingehenden Pakete zum DMZ-Host gesendet werden.
  Bei welchem Router ist das denn so? Bei Meinen: Cisco bzw. Netgear ist es so: Die Pakete eingehender Verbindungen werden zum DMZ-Host geroutet, eingehende Pakete als "Antwort" auf ausgehende Verbindungen werden zu dem rechner geroutet der die Verbindung aufgebaut hat. Übrigens bei meinen beiden "semi-professionellen" Firewalls Smoothwall 0.9.9 und Staro 3.x ist das nicht wesentlich anders. Wie danach
  mit den Paketen zu verfahren ist, ist Sache der DMZ. Wenn Du
  hier einen Host einträgst, ist auch zugleich die relative
  Sicherheit der Network-Address-Translation dahin. Ohne weitere
  Filter ist Dein Host dann genau so ungeschützt wie bei einer
  lokalen DFÜ-Verbindung. Es sind alle offenen Ports erreichbar
  (Port 8080 und 21 allerdings nur bei gestartetem FTP- und
  Webserver).
  Letzteres ist allerdings trotz o.g. Einwände richtig und vor allem die Ports < 1024 dürften bei den meisten Rechnern potentielle Sicherheitsrisiken bergen. Dadurch, dass alle eingehenden Pakete zur DMZ geleitet werden,
  bekommen Deine anderen Systeme Probleme ins Internet zu kommen
  (genauer gesagt, auch eine Antwort aus dem Internet zu
  erhalten).
  Wie gesagt, s.o. ist das bei meinen Routern nicht der Fall. In Deinem Fall würde ich also von einer
  DMZ-Konfiguration abraten.
  Dieses Fazit kann ich allerdings nur unterschreiben, es sei denn Du willst tatsächlich mehrere vom Internet z.B. als Webserver erreichbare Rechner einrichten (für solche nämlich ist eine DMZ normalerweise gedacht). Wenn Du mehrere Webserver (physische Rechner) auf dem selben Port (also z.B. dem Standardport 80) erreichbar machen wolltest bräuchtest Du dafür aber auch mehr als eine "offizielle" IP-Adresse. Alles andere geht nur mit Port-Forwarding, oder Weiterleitung durch z.B. den Apache einer bestimmten Maschine.
  
  Die Fraeg ist also, warum, wilst Du mehrere Rechner aus dem Internet erreichbar machen.
  
  Gruß
  Micha Hi,
  ich mach es mal kurz... also:
  3 PC´s wollen ins internet (gleichzeitig). Besitze Router
  (d-link 604). DSL Flatrate
  
  1:Da ich aber von jedem Rechner vollzugriff auf das internet
  möchte, würde ich gerne die DMZ Funktion für alle Rechner
  nutzen. Frage, geht das überhaupt, oder kann nur 1 Pc als DMZ
  Host fungieren ?
  
  2:Apropo Sicherheitsaspekt: Wenn ich mich ohne Router direkt
  einlogge ins internet, dann sind ja so einige Ports auf meinem
  PC offen (z.B Port 8080, 21, und noch ein Paar mehr)... Sagen
  wir mal so 10 Stück (windows hat ja so einige Ports die offen
  sind). All diese Ports sind ja Sicherheitslücken. Wenn ich
  jetzt mit diesem PC über den Router (bei dem ich ja als DMZ
  Host) angemledet bin, einlogge, ist das dann gefährlicher ?
  also ich meine damit, bei dmz werden ja alle ports freigegen
  und alles auf meinen rechner gelassen. blockt mein rechner
  aber dann trotzdem noch sachen, die über ein auf meinem pc
  geschlossenem post ankommen ?
  -- ich frage dass, da ja alle immer vor dmz waren ---
  - Antwort von nach einem Tag 0 hilfreich
    
    Re^3: DMZ Funktion von Routern
    
    Bei welchem Router ist das denn so? Bei Meinen: Cisco bzw.
    Netgear ist es so: Die Pakete eingehender Verbindungen werden
    zum DMZ-Host geroutet, eingehende Pakete als "Antwort" auf
    ausgehende Verbindungen werden zu dem rechner geroutet der die
    Verbindung aufgebaut hat. Übrigens bei meinen beiden
    "semi-professionellen" Firewalls Smoothwall 0.9.9 und Staro
    3.x ist das nicht wesentlich anders.
    Korrekt so sollte es sein, das Cisco es so macht ist bekannt. Auch andere professionelle Gerätschaften verhalten sich so.
    
    Allerdings verhielt sich mein erster NetGear (vor einigen Jahren, damals noch Bay/Nortel) anders, der schickte generell alles in die DMZ. Für die Cisco Hardliner:..ich weiss..Nortel konnte noch nie Router bauen :-)
    Hab es seit dem bei diesen SO-Routern nie wieder getestet. Zumal auch heute die ein oder anderen Funktionen im Vergleich zu den "großen Brüdern" erhelblich eingeschränkt sind.
    Aber in der Tat, hab es gerade nochmal getestet, ausgehende Connections werden korrekt geroutet.
    
    Also, mein Fehler und diese SO-Router sind nun in meinem Ansehen annähernd rehabilitiert.
    
    Chris Hi,
    ich mach es mal kurz... also:
    3 PC´s wollen ins internet (gleichzeitig). Besitze Router
    (d-link 604). DSL Flatrate
    
    1:Da ich aber von jedem Rechner vollzugriff auf das internet
    möchte, würde ich gerne die DMZ Funktion für alle Rechner
    nutzen. Frage, geht das überhaupt, oder kann nur 1 Pc als DMZ
    Host fungieren ?
    
    2:Apropo Sicherheitsaspekt: Wenn ich mich ohne Router direkt
    einlogge ins internet, dann sind ja so einige Ports auf meinem
    PC offen (z.B Port 8080, 21, und noch ein Paar mehr)... Sagen
    wir mal so 10 Stück (windows hat ja so einige Ports die offen
    sind). All diese Ports sind ja Sicherheitslücken. Wenn ich
    jetzt mit diesem PC über den Router (bei dem ich ja als DMZ
    Host) angemledet bin, einlogge, ist das dann gefährlicher ?
    also ich meine damit, bei dmz werden ja alle ports freigegen
    und alles auf meinen rechner gelassen. blockt mein rechner
    aber dann trotzdem noch sachen, die über ein auf meinem pc
    geschlossenem post ankommen ?
    -- ich frage dass, da ja alle immer vor dmz waren ---
    - Antwort von nach einem Tag 0 hilfreich
      
      Re^4: DMZ Funktion von Routern
      
      hi,
      ich wollte eigentlich allen pc´s eben einen richtige internet connection gewähren.
      bei freunden von mir ist es so, dass dann meist eineige dinge nicht gehen. z.B icq, irc, netmeeting, online spiele (die über zig verschieden ports laufen), oder ähnliches.
      
      oder kann ich das auch locker über nat realisieren.
      
      also z.B onlinespiel läuft über port 7777. kann ich dann dem router sagen, dass er für pc xy den port 7777 freigibt ?
      - Antwort von nach einem Tag 0 hilfreich
        
        Re^5: DMZ Funktion von Routern
        
        achja, aber das hätte ja auch den nachteil, dass ich den port immer kennen muss. bei manchen programmen find ich das ja nie raus. und vorallem muss man dann ja (bsp unreal tournament 2003, welches unter zig verschiedenen ports läuft) ständig den port umstellen.
        
        dann würde ja doch nur dmz gehen.
      - Antwort von nach einem Tag 0 hilfreich
        
        Re^5: DMZ Funktion von Routern
        
        hi,
        ich wollte eigentlich allen pc´s eben einen richtige internet
        connection gewähren.
        Leider schreibst Du immer noch nicht welche Hardware Du im Einsatz hast. Bei der von mir verwendeten (s.v.P) ist es so, dass jeder PC "alles" darf, so lange er die Verbindung aufgebaut hat. bei freunden von mir ist es so, dass dann meist eineige dinge
        nicht gehen. z.B icq, irc, netmeeting, online spiele (die über
        zig verschieden ports laufen), oder ähnliches.
        Probier es mit Deiner Hardware aus. Vielleicht ahben die freunde selbstkonfigurierte Router z.B. auf basis eines alten 486ers mit Linux (z.B. http://www.Smoothwall.org) im Einsatz. Da kann es schon mal sein, dass die Rechte was restrektiv gehandhabt werden und das eine oder andere nicht funzt (besonders z.B. bei den Voice/Video Optionen von Netmeeting kriegt man Stress, weil der Serevr von sich aus ne UTP Verbindung auf einem dynamisch vom Server gewählten Port aufbaut (is bei MS eigentlich ziemlich gut dokumenitiert)... Aber ich will nicht zu weit oT geraten, also wenn Du Deine Hardware ausprobiert hast und was nicht funzt frag einfach noch mal nach. oder kann ich das auch locker über nat realisieren.
        
        also z.B onlinespiel läuft über port 7777. kann ich dann dem
        router sagen, dass er für pc xy den port 7777 freigibt ?
      - Antwort von nach einem Tag 0 hilfreich
        
        Re^5: DMZ Funktion von Routern
        
        hi,
        ich wollte eigentlich allen pc´s eben einen richtige internet
        connection gewähren.
        Die hast Du aber nicht. Es scheitert tatsächlich an der einen einzigen öffentlichen IP-Adresse. bei freunden von mir ist es so, dass dann meist eineige dinge
        nicht gehen.
        Das liegt fast immer am Benutzer. Fast.
        
        z.B icq,
        
        Läuft mit Sicherheit problemlos, lediglich beim (Incoming) File Transfer gibt's Probleme, evtl. auch beim Chat. Die Kernfunktion "Instant Messaging" klappt aber ganz hervorragend.
        
        irc,
        
        Auch hier: Beim File Transfer könntest Du Probleme bekommen, der Rest dürfte funzen.
        
        netmeeting,
        
        Netmeeting ist (trotz guter Doku) eklig zu routen, weil eine ganze Reihe verschiedener Protokolle resp. Ports verwendet werden. Smoothwall hat z.B. AFAIK _keine_ Möglichkeit, H.323 zu forwarden, http://www.fli4l.de/ kann das hingegen. Dir bleibt, daß Du dann eben die Verbindung initiieren musst.
        
        online spiele (die über zig verschieden ports laufen), oder ähnliches.
        Onlinespiele sind eh doof ;-) Nein, kann schon sein, daß es da schwierig wird - wenn die verwendeten Ports nicht im Spiel einstellbar sind, kann nur einer Deiner beiden Rechner zur Zeit spielen. Und Du musst die Ports kennen, aber das sollte machbar sein. also z.B onlinespiel läuft über port 7777. kann ich dann dem
        router sagen, dass er für pc xy den port 7777 freigibt ?
        Ja. Dann aber auch nur für diesen einen PC. Bei meinem Longshine-Not-Router heisst die Funktion "Local Server", man kann auch einfach port forwarding sagen.
        
        Zur DMZ Lösung würde ich nur raten, wenn Du Dich mit dem System gut genug auskennst, um es sicher zu machen, oder wenn anders ein arbeiten wirklich nicht möglich ist. Dann musst Du halt das Risiko eingehen - Sicherheit und Komfort sind halt gegenläufig.
        
        Gruß,
        
        Doc.

Keine passende Antwort gefunden? Jetzt eigene Frage stellen!