DMZ og routing

[hauard]

Hei.

 

Jeg har noen spørsmål ang. Nettverk (pussig nok.). Håper noen kan svare:

 

1. Hvordan fungerer DMZ? Er det slik at man bare kan "kontakte" en PC på et LAN fra inett hvis det er enabled?

 

2. Hva er fordeler/bakdeler med NAT og "ikke-NAT?"

 

3. Jeg har en D-Link DI-604, og det virker som om den slutter og fungere etter at den har stått påslått konstant i 40-50 dager, slik at jeg må ta ut og sette inn igjen strømmen til den. Har noen hatt dette samme problemet, og klart og fikse det med hell? Hvis det ikke er D-Link'en som detter ut, så er det NIC'et i Slackware serveren som detter etter 40-50 dager.

 

 

Noen som har peiling på ting rundt dette?

[Franken]

Heisann!

 

1) En DMZ er i utgangspunktet ikke noe man bare "enabler". DMZ står for Demilitarized Zone. En DMZ som oftest en egen "del" av nettverket ditt, som er uten brannvegg, eller med en betydelig begrenset brannvegg. La meg forklare nærmere.

 

La oss si du har en bedrift med 3 servere (mail server, web server og en database server) som skal være 100 % operativ mot Internett. I samme lokale har du 20 ansatte som jobber med datamaskiner. Her du selvsagt ha bak en brannmur slik at inntrengere ikke skal få innpass på dine ansattes datamaskiner. Du setter da gjerne opp en rimelig sikker brannvegg, som gjør at de i utgangspunktet kun har tilgang til å surfe på nettet, og sjekke e-post feks.

 

Derimot vil du ha ett problem med serverne dine. Fordi de da trenger mer åpning mot Internett for å fungere skikkelig. Om du åpner for alt dette i brannveggen, blir plutselig dine ansattes datamaskiner mindre trygg. Derfor settes serverne i stedenfor i en DMZ'en. I praksis fungerer dette gjerne med at routeren/brannveggen din har to nettverkskort, e.l. At den ene porten er konfigurert mot den sikre sonen. Altså med full brannvegg konfigurering. Mens den andre porten gjerne ikke har noe som helst konfigurering, og er dermed "wide open".

 

Konklusjon; har du datamaskiner/servere du ønsker fri tilgang til, mens andre datamaskiner skal være sikret. Plasser datamaskinene du ønsker fri tilgang til, i DMZ'en. For deretter å konfigurere brannveggen etter behov med tanke på datamaskinene som skal være sikret.

 

2) Fordelen med NAT er at den fungerer som en slags brannvegg, og du kan klare deg med en IP adresse, men samtidig ha mange datamaskiner koblet mot Internett. Ulempen er at du kun har en IP adresse mot "alle" datamaskinene bak NAT routeren. Det er derfor vanskelig å kontakte disse datamaskinene fra utsiden. Om de skal kontaktes fra "utsiden" kreves det et relativt irriterende og komplisert oppsett.

 

3) Det er helt vanlig at Dlink routeren "går i stå", og at du må ta strømmen på dem etter en stund. Samtidig skal det nevnes at dette også er vanlig på andre "billig merker". Har ikke hatt noe særlig hell med å "fjerne" dette problemet. Mitt stalltips er å oppgradere firmwaren. Det viser seg ofte at dette, om ikke fjerner, gjør problemet mindre.

 

 

 

-Frank

[hauard]

Hei Frank; svarene dine var til stor hjelp her i huset, men som det sies: Med gode svar, kommer flere spørsmål. Så da lurer jeg: Hvordan fungerer DMZ, portforwarding, NAT og brannmur sammen? Evt. i forskjellige kombinasjoner?

 

Ang. porter, har jeg hørt/fått fortalt at i brannmurer trenger man bare åpne porter for program som lytter på den og den porten, mens bak NAT, må man forwarde? Jeg er litt usikker rundt dette, selv om jeg har brukt begge deler, spesielt NAT, en god stund nå.

 

Det jeg også har fått fortalt, er at når man setter maskiner i DMZ, vil dette gjør dem som om alle porter var åpne, og program som lyttet på porter (apache, OpenSSH etc.), ville få "tilgang" og virke på disse portene. Men dette ser ut til og virke dårlig til meg akkurat nå.

 

Edit [1]: Hvis man fra før har hele nettverket bak NAT, og setter én av disse PC'ene i DMZ, vil så denne komme "rett på nett?" Silk at den får inett IP, og ikke noen LAN-IP?

 

Edit [2]: Jeg prøvde nå og sette IP på serveren min til inett IP, med korrekt nettmaske og bcast, men det så dårlig ut. Mista kontakten over SSH.

Endret 2. april 2005 av hauard