DMZ Funktion von Routern

Anonym · 3. Januar 2003 um 20:34

Hi,
ich mach es mal kurz… also:
3 PC´s wollen ins internet (gleichzeitig). Besitze Router (d-link 604). DSL Flatrate

1:smiley:a ich aber von jedem Rechner vollzugriff auf das internet möchte, würde ich gerne die DMZ Funktion für alle Rechner nutzen. Frage, geht das überhaupt, oder kann nur 1 Pc als DMZ Host fungieren ?

2:Apropo Sicherheitsaspekt: Wenn ich mich ohne Router direkt einlogge ins internet, dann sind ja so einige Ports auf meinem PC offen (z.B Port 8080, 21, und noch ein Paar mehr)… Sagen wir mal so 10 Stück (windows hat ja so einige Ports die offen sind). All diese Ports sind ja Sicherheitslücken. Wenn ich jetzt mit diesem PC über den Router (bei dem ich ja als DMZ Host) angemledet bin, einlogge, ist das dann gefährlicher ? also ich meine damit, bei dmz werden ja alle ports freigegen und alles auf meinen rechner gelassen. blockt mein rechner aber dann trotzdem noch sachen, die über ein auf meinem pc geschlossenem post ankommen ?
– ich frage dass, da ja alle immer vor dmz waren —

C_S_fa6cf5 · 4. Januar 2003 um 00:23

Als DMZ-Host kann normalerweise nur eine IP-Adresse konfiguriert werden. Das hat zur Folge, dass nun alle eingehenden Pakete zum DMZ-Host gesendet werden. Wie danach mit den Paketen zu verfahren ist, ist Sache der DMZ. Wenn Du hier einen Host einträgst, ist auch zugleich die relative Sicherheit der Network-Address-Translation dahin. Ohne weitere Filter ist Dein Host dann genau so ungeschützt wie bei einer lokalen DFÜ-Verbindung. Es sind alle offenen Ports erreichbar (Port 8080 und 21 allerdings nur bei gestartetem FTP- und Webserver).

Dadurch, dass alle eingehenden Pakete zur DMZ geleitet werden, bekommen Deine anderen Systeme Probleme ins Internet zu kommen (genauer gesagt, auch eine Antwort aus dem Internet zu erhalten). In Deinem Fall würde ich also von einer DMZ-Konfiguration abraten.

Gruß Chris

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Anonym · 5. Januar 2003 um 13:30

Als DMZ-Host kann normalerweise nur eine IP-Adresse
konfiguriert werden. Das hat zur Folge, dass nun alle
eingehenden Pakete zum DMZ-Host gesendet werden.

Bei welchem Router ist das denn so? Bei Meinen: Cisco bzw. Netgear ist es so: Die Pakete eingehender Verbindungen werden zum DMZ-Host geroutet, eingehende Pakete als „Antwort“ auf ausgehende Verbindungen werden zu dem rechner geroutet der die Verbindung aufgebaut hat. Übrigens bei meinen beiden „semi-professionellen“ Firewalls Smoothwall 0.9.9 und Staro 3.x ist das nicht wesentlich anders.

Wie danach
mit den Paketen zu verfahren ist, ist Sache der DMZ. Wenn Du
hier einen Host einträgst, ist auch zugleich die relative
Sicherheit der Network-Address-Translation dahin. Ohne weitere
Filter ist Dein Host dann genau so ungeschützt wie bei einer
lokalen DFÜ-Verbindung. Es sind alle offenen Ports erreichbar
(Port 8080 und 21 allerdings nur bei gestartetem FTP- und
Webserver).

Letzteres ist allerdings trotz o.g. Einwände richtig und vor allem die Ports

C_S_fa6cf5 · 5. Januar 2003 um 15:13

Bei welchem Router ist das denn so? Bei Meinen: Cisco bzw.
Netgear ist es so: Die Pakete eingehender Verbindungen werden
zum DMZ-Host geroutet, eingehende Pakete als „Antwort“ auf
ausgehende Verbindungen werden zu dem rechner geroutet der die
Verbindung aufgebaut hat. Übrigens bei meinen beiden
„semi-professionellen“ Firewalls Smoothwall 0.9.9 und Staro
3.x ist das nicht wesentlich anders.

Korrekt so sollte es sein, das Cisco es so macht ist bekannt. Auch andere professionelle Gerätschaften verhalten sich so.

Allerdings verhielt sich mein erster NetGear (vor einigen Jahren, damals noch Bay/Nortel) anders, der schickte generell alles in die DMZ. Für die Cisco Hardliner:…ich weiss…Nortel konnte noch nie Router bauen
Hab es seit dem bei diesen SO-Routern nie wieder getestet. Zumal auch heute die ein oder anderen Funktionen im Vergleich zu den „großen Brüdern“ erhelblich eingeschränkt sind.
Aber in der Tat, hab es gerade nochmal getestet, ausgehende Connections werden korrekt geroutet.

Also, mein Fehler und diese SO-Router sind nun in meinem Ansehen annähernd rehabilitiert.

Chris

Hi,
ich mach es mal kurz… also:
3 PC´s wollen ins internet (gleichzeitig). Besitze Router
(d-link 604). DSL Flatrate

1:smiley:a ich aber von jedem Rechner vollzugriff auf das internet
möchte, würde ich gerne die DMZ Funktion für alle Rechner
nutzen. Frage, geht das überhaupt, oder kann nur 1 Pc als DMZ
Host fungieren ?

2:Apropo Sicherheitsaspekt: Wenn ich mich ohne Router direkt
einlogge ins internet, dann sind ja so einige Ports auf meinem
PC offen (z.B Port 8080, 21, und noch ein Paar mehr)… Sagen
wir mal so 10 Stück (windows hat ja so einige Ports die offen
sind). All diese Ports sind ja Sicherheitslücken. Wenn ich
jetzt mit diesem PC über den Router (bei dem ich ja als DMZ
Host) angemledet bin, einlogge, ist das dann gefährlicher ?
also ich meine damit, bei dmz werden ja alle ports freigegen
und alles auf meinen rechner gelassen. blockt mein rechner
aber dann trotzdem noch sachen, die über ein auf meinem pc
geschlossenem post ankommen ?
– ich frage dass, da ja alle immer vor dmz waren —

Anonym · 5. Januar 2003 um 16:26

hi,
ich wollte eigentlich allen pc´s eben einen richtige internet connection gewähren.
bei freunden von mir ist es so, dass dann meist eineige dinge nicht gehen. z.B icq, irc, netmeeting, online spiele (die über zig verschieden ports laufen), oder ähnliches.

oder kann ich das auch locker über nat realisieren.

also z.B onlinespiel läuft über port 7777. kann ich dann dem router sagen, dass er für pc xy den port 7777 freigibt ?

Anonym · 5. Januar 2003 um 16:28

achja, aber das hätte ja auch den nachteil, dass ich den port immer kennen muss. bei manchen programmen find ich das ja nie raus. und vorallem muss man dann ja (bsp unreal tournament 2003, welches unter zig verschiedenen ports läuft) ständig den port umstellen.

dann würde ja doch nur dmz gehen.

Anonym · 5. Januar 2003 um 18:15

hi,
ich wollte eigentlich allen pc´s eben einen richtige internet
connection gewähren.

Leider schreibst Du immer noch nicht welche Hardware Du im Einsatz hast. Bei der von mir verwendeten (s.v.P) ist es so, dass jeder PC „alles“ darf, so lange er die Verbindung aufgebaut hat.

bei freunden von mir ist es so, dass dann meist eineige dinge
nicht gehen. z.B icq, irc, netmeeting, online spiele (die über
zig verschieden ports laufen), oder ähnliches.

Probier es mit Deiner Hardware aus. Vielleicht ahben die freunde selbstkonfigurierte Router z.B. auf basis eines alten 486ers mit Linux (z.B. http://www.Smoothwall.org) im Einsatz. Da kann es schon mal sein, dass die Rechte was restrektiv gehandhabt werden und das eine oder andere nicht funzt (besonders z.B. bei den Voice/Video Optionen von Netmeeting kriegt man Stress, weil der Serevr von sich aus ne UTP Verbindung auf einem dynamisch vom Server gewählten Port aufbaut (is bei MS eigentlich ziemlich gut dokumenitiert)… Aber ich will nicht zu weit oT geraten, also wenn Du Deine Hardware ausprobiert hast und was nicht funzt frag einfach noch mal nach.

oder kann ich das auch locker über nat realisieren.

also z.B onlinespiel läuft über port 7777. kann ich dann dem
router sagen, dass er für pc xy den port 7777 freigibt ?

Malte_4b1c84 · 5. Januar 2003 um 20:07

hi,
ich wollte eigentlich allen pc´s eben einen richtige internet
connection gewähren.

Die hast Du aber nicht. Es scheitert tatsächlich an der einen einzigen öffentlichen IP-Adresse.

bei freunden von mir ist es so, dass dann meist eineige dinge
nicht gehen.

Das liegt fast immer am Benutzer. Fast.

z.B icq,

Läuft mit Sicherheit problemlos, lediglich beim (Incoming) File Transfer gibt’s Probleme, evtl. auch beim Chat. Die Kernfunktion „Instant Messaging“ klappt aber ganz hervorragend.

irc,

Auch hier: Beim File Transfer könntest Du Probleme bekommen, der Rest dürfte funzen.

netmeeting,

Netmeeting ist (trotz guter Doku) eklig zu routen, weil eine ganze Reihe verschiedener Protokolle resp. Ports verwendet werden. Smoothwall hat z.B. AFAIK _keine_ Möglichkeit, H.323 zu forwarden, http://www.fli4l.de/ kann das hingegen. Dir bleibt, daß Du dann eben die Verbindung initiieren musst.

online spiele (die über

zig verschieden ports laufen), oder ähnliches.

Onlinespiele sind eh doof Nein, kann schon sein, daß es da schwierig wird - wenn die verwendeten Ports nicht im Spiel einstellbar sind, kann nur einer Deiner beiden Rechner zur Zeit spielen. Und Du musst die Ports kennen, aber das sollte machbar sein.

also z.B onlinespiel läuft über port 7777. kann ich dann dem
router sagen, dass er für pc xy den port 7777 freigibt ?

Ja. Dann aber auch nur für diesen einen PC. Bei meinem Longshine-Not-Router heisst die Funktion „Local Server“, man kann auch einfach port forwarding sagen.

Zur DMZ Lösung würde ich nur raten, wenn Du Dich mit dem System gut genug auskennst, um es sicher zu machen, oder wenn anders ein arbeiten wirklich nicht möglich ist. Dann musst Du halt das Risiko eingehen - Sicherheit und Komfort sind halt gegenläufig.

Gruß,

Doc.