Hallo,
ich suche nach einem DSL Router, der nicht nur über eine DMZ verfügt, sondern bei dem ich auch regeln kann, welche Ports sowohl aus dem Inet als auch aus dem LAN an die DMZ weitergeleitet werden. Alle, die ich mir bisher angeschaut habe machen ein Portforwarding ALLER Ports an die DMZ, das brauche ich genau nicht.
Kann mir da Jemand ein Produkt empfehlen?
Mit freundlichen Grüßen aus Osnabrück
Markus Pawlak
Hallo,
habe machen ein Portforwarding ALLER Ports an die DMZ, das
Ist denn nicht genau das der Sinn einer DMZ?
Wenn du Portforwarding willst: T-Sinus 130 DSL. Ist aber schon mit integriertem DSL-Modem und WLan
Ciao! Bjoern
Hi
Ist denn nicht genau das der Sinn einer DMZ?
Nicht unbedingt. Man kann eine DMZ auch so aufbauen, dass eben nur benötigte Ports ankommen lässt (für mailserver etwa 25 & 110). Man hätte also eine interne und eine externe Firewall zur DMZ.
Ein Portforwarding sowohl für die LAN- wie auch für die WAN-Schnittstelle an die DMZ wäre das was ich suche.
Markus
habe machen ein Portforwarding ALLER Ports an die DMZ, das
Ist denn nicht genau das der Sinn einer DMZ?
Nö, das was viele Routerhersteller als DMZ bezeichnen (abschalten der Firewall) hat mit einer solchen nicht das geringste zu tun. Das was Paddel sucht, kommt der DMZ schon weitaus näher, nämlich die Trennung Internet zu demilitarisierter Zone und demilitarisierte Zone zu LAN. Üblicherweise benötigt man hierfür aber zwei Firewalls; um das mit einem Router bzw. dessen integrierten Paketfilter zu realisieren, müsste dieser mit drei getrennten Netzwerkinterfaces ausgestattet sein (DSL/ISDN, DMZ, LAN). Dass es aber solche Geräte für den Consumermarkt gibt, bezweifle ich stark.
Abhilfe schaffen könnte die Anschaffung eines PC (ruhig ältere Bauart) mit drei Netzwerkkarten und entspr. Firewalling-Software unter Linux.
Gruss
Schorsch
Hallo,
ja, genau so, mit drei NICs (WAN, LAN, DMZ), hätte ich mir das auch vorgestellt. Ich würde allerdings eine Hardwarelösung bevorzugen.
Ich suche diese Lösung für einen Kunden, der möchte mit der Administration einer zusätzlichen Linux Rechners nichts zu tun haben und auch nich in Auftrag geben müssen. Der Aufwand hierfür ist doch erheblich...
Das es einen solchen Router nicht für 35€ gibt, hab ich mir schon gedacht aber ich bin schon der Hoffnung, dass es sowas gibt...!
Markus
ja, genau so, mit drei NICs (WAN, LAN, DMZ), hätte ich mir das
auch vorgestellt. Ich würde allerdings eine Hardwarelösung
bevorzugen.
Ich suche diese Lösung für einen Kunden, der möchte mit der
Administration einer zusätzlichen Linux Rechners nichts zu tun
haben und auch nich in Auftrag geben müssen. Der Aufwand
hierfür ist doch erheblich...
Hardwareappliances gibt's wohl unter diversen Betriebssystemen (BSD wäre hier wohl das geeignetste), allerdings wüsste ich auf Anhieb kaum Hersteller zu nennen. In der iX 12/04 war ein Bericht über den MS ISA Server, welcher z. B. von Pyramid http://www.pyramid.de/d/produkte/server/isa.php vertrieben wird.
Der Aufwand, eine DMZ zu betreiben, dürfte aber vom BS weitgehend unabhängig sein, mir persönlich jagt die Vorstellung, ein Sicherheitsdevice mittels Microsofts Management Console konfigurieren und betreiben zu müssen, jedoch Schreckensschauer über den Rücken.
Gruss
Schorsch
Hallo,
Hi,
ja, genau so, mit drei NICs (WAN, LAN, DMZ), hätte ich mir das
auch vorgestellt. Ich würde allerdings eine Hardwarelösung
bevorzugen.
Was unterscheidet jetzt ein fertig gekauftes device von einem PC mit Linux drauf? Abgesehen von der Architektur sind die IMHO sogar sehr aehnlich.
Das es einen solchen Router nicht für 35€ gibt, hab ich mir
schon gedacht aber ich bin schon der Hoffnung, dass es sowas
gibt...!
Ich hab sowas in der Kueche stehen: fuer 627EUR verkauf ich Dir das, fertig installiert, spielt automatisch updates ein, schickt mails, wenn's ihm schlecht geht. Webfrontend zum konfigurieren gibt's dazu und Du darfst selbst mitbestimmen, was das alles koennen soll.
Gruss vom Frank.
Was unterscheidet jetzt ein fertig gekauftes device von einem
PC mit Linux drauf? Abgesehen von der Architektur sind die
IMHO sogar sehr aehnlich.
In einem Fall hast du Eingabemasken oder gar Assistenten für die Konfiguration, im anderen Fall einen einfachen Texteditor. Aber dank der IchSchiessMirInsKnie-Direktive[*1] benötigt man heutzutage in beiden Fällen praktisch kein Wissen und keinen Plan mehr, ein solches Gerät narrensicher zu konfigurieren
SCNR
Schorsch
[*1] shorewall.conf: ADMINISABSENTMINDED=Yes
Hi
Was unterscheidet jetzt ein fertig gekauftes device von einem
PC mit Linux drauf? Abgesehen von der Architektur sind die
IMHO sogar sehr aehnlich.
zum beispiel die Fehleranfälligkeit. Ich gebe dir recht, die Architektur wird in der Tat sehr ähnlich sein. Ein Router hat aber keine Festplatte, die Kaputt geht, keine beweglichen Teile und ist schlicht sicherer. An jedem Linux (egal welche Version und Distribution, bei Win32 genauso) tauchen immer wieder kleine Lücken und Fehler auf, die Jemand gehackt hat. Die müssen geschlossen werden, ergo administrativer Aufwand, sonst Sicherheitslücke.
Ich hab sowas in der Kueche stehen: fuer 627EUR verkauf ich
Dir das, fertig installiert, spielt automatisch updates ein,
schickt mails, wenn's ihm schlecht geht. Webfrontend zum
konfigurieren gibt's dazu und Du darfst selbst mitbestimmen,
was das alles koennen soll.
Bin grad fündig geworden, ich denke ein LanCom DSL/I 10+ hat genau die Features die ich gesucht hab, eine in beide Richtungen administrierbare DMZ. Liegt bei 300 € mit drei Jahren Garantie. Noch ein Vorteil gegenüber einem extra PC, oder?
Gruß, Markus
An jedem Linux (egal welche
Version und Distribution, bei Win32 genauso) tauchen immer
wieder kleine Lücken und Fehler auf, die Jemand gehackt hat.
Die müssen geschlossen werden, ergo administrativer Aufwand,
sonst Sicherheitslücke.
Also, da begibst du dich auf extrem dünnes Eis. Wenn du mir irgendeine Appliance zeigst, auf der diese kleinen (oder dicke und fette) Lücken und Fehler nicht auftauchen, und die keine konsequente Wartung benötigt, zeige ich dir im Spiegel ein hochgradig unsichere, weil offenbar von ihrem Hersteller in keiner Weise supportete Appliance.
Der von dir genannte Hardwareaspekt - Verzicht auf mechanische Teile, geringe Abwärme - ist allerdings tatsächlich nicht zu unterschätzen.
Gruss
Schorsch
