irc og router

[^Zenit^]

Pokker... stemmer det! Sorry, huska feil her gitt. Men men, hvis du har firewall på maskina er jo det ikke et problem. Men noe av pointet med routeren er jo at du skal slippe å ha firewall på maskina, så hvis du ikke kan leve med programvarebasert firewall må du jo selvsagt få en annen løsning på problemet. Selv så kjører jeg IKKE DMZ, og har ingen problemer med hverken irc eller andre program som bruker internett. Skriv en mail til SMC og spør, eller så har SMC et telefonnummer som du også kan ringe til for å få support. Det er 800 15639, og siden det er et 800 nummer er det (utrolig nok) gratis=).

[Instigator]

Quote:

Den 2002-07-29 21:43, laaknor skrev: Bare så dere vet det så må dere sette "report IP" under DCC eller noe sånt i mIRC. Er ikke helt sikker for jeg bruker ikke mIRC noe særlig ennå. Hvis du ikke rapporterer en IP, setter den ipadressen til maskina du sitter på; og den er vel gjerne en privat IP. Sett IP'en til den adressen som er på den externe interfacet på router'n

 

Regner med at han ikke har et subnett, og kun en ip. Da må nødvendigvis ruteren nat'e trafikken. Virker veldig rart hvis man må sette noen report ip. Men jeg kan heller tenke meg at det er feil i nat tabellen, så ruteren ikke nat'er inn men ut, eller omvendt dcc pakker.

[^Zenit^]

Hmmm...har ikke report ip selv, så jeg har egentlig ikke peiling på hva han babler om=)

[inaktiv000]

tror dcc fungerer slik at når pc1 skal sende fil til pc2, åpner pc2 en socket til pc1.. dvs. må maskinen som sender ha åpne porter inn.

[Instigator]

Det kan nok være meget mulig. Det er også vanlig for firewall'er å sperre slik at andre maskiner ikke kan sende syn (som starter en forbindelse) pakker inn til din maskin. Jeg er ganske sikker på at dette er et firewall problem.

[DanteUseless]

DMZ (DeMilitarized Zone): Dvs en sone som er "ingenmannsland" (ifra vanlig krigføring. Da firewall og internet er en konstant krig!)

 

Dette er en zone som er utenfor det beskyttede nettverket man vanligvis vil beskytte. (Ofte LAN'et). Her setter man det man vil ha av public servere o.l. Disse BURDE være sikret gjennom egen firewall, patcher osv. Av den enkle grunn at disse blir ikke tilstrekkelig beskyttet av firewall'en. Nok en gang.. denne sonen er ikke tilstrekkelig beskyttet av firewall'en.

 

På grunn av NAT'ens natur. (Mange til en NAT. n:1) Så vil endel services bli litt amputert. En av disse er IRC. (For guuuuuds skyld.. Heter ikke mIRC, det er klienten). Spesielt i sammenheng med sending og mottak av filer.

Forståelig nok så kan ikke innkommende dcc nå den maskinen den ønsker pga firewallen. Det er derfor avhengig å ha en "irc-connection-tracker" innebygd i firewallen. (For de som er kjent med linux så blir dette ip_conntrack_irc i 2.4-kernelene og ip_masq_irc i 2.2-kernelene. Lignende moduler finnes for icq og ftp.)

Denne følger med hva slags maskiner på det beskyttede nettverket som er koblet ut på IRC-servere, og vil da gjenkjenne de innkommende DCC'ene, og sende disse direkte til den maskinen det gjelder. Uten denne vil de innkommende DCC'ene bli droppet på flekken.

Når det gjelder sending av filer, kommer NAT'en nok en gang inn å plager maskineriet. MEN det kan fungere hvis IRC-klienten er riktig satt opp i forhold til firewall'en/NAT'en.

Hvis jeg ikke husker feil så blir DCC gjennomført ved at den sendende part sender beskjed gjennom irc-nettverket hva slags porter den sender fra, samt hva slags ip den sender ifra. Problemet er at hvis IRC-klienten er satt opp feil vil den gi ifra seg den interne ip'en (noe som maskinen i andre enden ikke skjønner NOE av), eller den eksterne ip'en som kanskje ikke fungere i sammeheng med firewall'en/NAT'en.

For å sumere opp... Les/finn dokumentasjon på ditt eget spesialtilfelle og les.. les.. les.. og forstå.

 

Edit: Fiksa litt på skrivefeils o.l. som jeg så. (Altfor tidlig til dette =) )

-Dante

 

[ Denne Melding var redigert av: 4-Dante på 2002-08-03 08:37 ]

[Milla]

Quote:

Den 2002-08-03 08:28, 4-Dante skrev: DMZ (DeMilitarized Zone): Dvs en sone som er "ingenmannsland" (ifra vanlig krigføring. Da firewall og internet er en konstant krig!) Dette er en zone som er utenfor det beskyttede nettverket man vanligvis vil beskytte. (Ofte LAN'et). Her setter man det man vil ha av public servere o.l. Disse BURDE være sikret gjennom egen firewall, patcher osv. Av den enkle grunn at disse blir ikke tilstrekkelig beskyttet av firewall'en. Nok en gang.. denne sonen er ikke tilstrekkelig beskyttet av firewall'en.

Hele cluet med DMZ er dobbel brannmur og den sonen som blir mellom disse to. Jeg vil påstå at med bare en brannmur så har en i grunnen ikke opprettet noen DMZ.

[DanteUseless]

Nå skal ikke jeg påstå at du tar helt feil, men ta for eksempel EN firewall med f.eks 3 NIC's. Hvor en er i-nett, en er LAN og den tredje er DMZ. Denne tredje nettverkskortet vil da bli ansett som "gateway" for den DMZ'en.

 

Et lite forsøk på ascii-art:

 

LAN

|

FW <-- INET --->

|

DMZ

 

Og av påstander ifra de som kan dette EKSTREMT godt, så er dette den mest benytta strukturen for DMZ i nettverks design for privatpersoner, mindre og mellomstore bedrifter.

 

Men jeg mener også at DMZ er et begrep, som blir gjennomført/satt i praksis gjennom reglene i firewall'en(e). (Noe som er vist ved at de i tidligere poster henviser til konfigureringer)

 

Edit: ascii arten ble ikke som forventet =) *fixet*

 

-Dante

 

[ Denne Melding var redigert av: 4-Dante på 2002-08-03 10:00 ]

[Milla]

4-Dante:

 

Du har rett i at det du viser over her også er DMZ, men sikkerheten er ikke akkurat ivaretatt på beste måte. Der går jo tilgangen til servere i DMZ gjennom samme maskin som også gir tilgang til det lokale nettverket. Men for en privatperson eller en liten bedrift der sikkerheten ikke har så stor betydning er det jo et greit og rimelig oppsett.

 

For høy sikkerhet vil oppsettet under fungere bedre, med to HW Firewalls som er fysisk adskilt.:

 

Internett

|

Firewall

|

|--- DMZ

|

Firewall

|

LAN

[DanteUseless]

Jeg skjønte poenget, og jeg er enig i oppsettet, men ikke at en 3-delt firewall gir mindre sikkerhet enn en slik løsning som tegnet.

Snarere tvert imot. Det betyr at trafikken til LAN'et må gjennom (eller tett inntil) DMZ'en. Promiscius mode, ARP spoofing/attacs og slikt gjør dette skummelt.

Jeg mener også at EN firewall er enklere å vedlikeholde enn to =)

(Singel point of entry, IDS, osv)

 

På en slik "en-firewall"-løsning så vil trafikken som skal til DMZ blir routet dit, og de som skal til LAN'et routet dithen. (Forutsatt ikke NAT, for å gjøre dette enklere og ikke unødvendig kompilsert).

Et godt planlagt nettverk ifra utgangspunktet vil gjøre det enklere.

 

Menneh.. tror vi er laaaaangt utenfor topic nå =)

 

-Dante

[Milla]

Quote:

Menneh.. tror vi er laaaaangt utenfor topic nå =) -Dante

Yess.. langt utenfor :smile:

 

Men så må jeg legge til likevel: I oppsettet mitt er det ikke meningen at noen form for trafikk fra internett skal gå inn på LAN'et. Alt som skal nåes utenfra settes opp i DMZ.

[DanteUseless]

Trafikken går begge veier, dvs ut av LAN'et også. Dette er minst like viktig å beskytte.

 

=)

 

Men jeg gir meg nå.. får heller lage en ny topic hvis vi skal diskutere.

Jeg mener det er overkill med to slike firewall's, da en kan gjøre jobben like greit, og minst like sikkert.

 

(Selv om din tankegang mer passer til DMZ-tanken ifra krigføring =)

 

-Dante

[Dj_Offset]

sensur

[DanteUseless]

Det nærmeste du kommer er å bestemme hvilken port-range dcc'en skal bruke i mIRC, Option->DCC->Options "DCC ports".

Hvis jeg ikke husker feil.

(Endrer her for å få mIRC til fungere med ip_masq_irc modulen til 2.2-linux-kernel)

 

-Dante