netzwerk ICS und Router
-
Hallo,
ich habe folgendes Problem:
Es existiert ein Netzwerk mit vier Rechnern.
Auf allen PC's läuft Windows XP.
Alle PC's sehen sich und die Internetfreigabe
mit ICS funktioniert auch. jeder Client kann
sich ins Internet selbst einwählen und auch wieder trennen. (Haken
bei gemeinsame Internetverbindung steuern erlaubt.)
Soweit, sogut.
Aus veschiedenen Gründen möchte ich zwischen den Internet PC
und den anderen PC's einen Router schalten.
Das heißt PC4 hat eine andere Netznummer (192.168.0.1)Der rest hängt an 192.168.10.1 ....192.168.10..10
Alles funktioniert wie bisher ausser die Steuerung der Verbindung
ist nicht mehr möglich. Ich muß also die verbindung direkt am
Gatewayrechner herstellen und auch trennen.Wer weiß, wie ich meine Steuerung zurückbekomme ?
Ich habe ein Tool - ICShangup - ausprobiert, damit kann ich von
jedem Client die Verbindung trennen. Das heißt, prinzipiell
funktionierts.
Kann es sein das verschiedene dienste freigeschalten werden müssen?Gruß Fabian
-
@hotblack, benutzt du Modem oder DSL? Wenn du DSL verwendest, könntest du ja auch alle Rechner hinter den Router hängen. Ich verstehe nicht so ganz, warum die Verbindung von allen Rechnern unbedingt getrennt werden muss. Wenn einer die Verbindung trennt, haben alle anderen doch auch kein Netz mehr oder?
-
jo ist schon richtig, aber es will ja jeder bei uns im Haus selbstständig sich ins Internet (analog Modem) wählen und ausloggen, ohne Admin im Haus.
Ich hoffe ihr könnt mich verstehen!
Edit: da hat sich der Fehlerteufel eingeschlichen
-
@hotblack, wenn du etwas Geld übrig hast, gibt es von Netgear zwei DSL-Router (nicht meckern, ich weiß, dass du Analoger bist). Diese zwei Modelle haben die Möglichkeit sich analog einzuwählen...sozusagen als Reserveleitung in Unternehmen. Für die Nutzer im Netz wäre das ganze vollkommen transparent. Auf Anfrage wählt sich der Router ein und trennt nach einer gewissen Pause wieder automatisch.
http://www.netgear.com/products/details/FR328S.php
http://www.netgear.com/products/details/FVS328.php
-
hallo,
danke für die Antwort. Ich habe jetzt mal geschaut was das Ding kostet, st mir aber doch etwas zu kostenintensiv. Das ganze soll eine Demilitarisierte Zone DMZ darstellen, sagt mein Vater. Ist es prinzipiell anders nicht möglich oder weiß das "bloß" keiner???
Wäre schade, ich hoffe ihr könnt mir eine Antwort geben.
-
Eine DMZ kannst Du auch dadurch schaffen, indem Du zwei Netze hinter dem Router schaltest.
Vorraussetzung hierfür wäre, daß Dein Router die Clients in verschiedenen Netzen verwalten kann. Eines von diesen Netzen (im Bsp. unten Netz A) konfigurierst Du dann als DMZ.
Das Einwählen bei Bedarf und Auflegen nach einem Timeout sollten alle gängigen Router unterstützen.+--Netz A--+ |Rechner A0|---+ +----------+ | +---+------+ |Router|--- Internet +--Netz B--+ +---+------+ |Rechner B0| | |Rechner B1|---+ |Rechner B2| +----------+
PS: Wofür eigentlich die DMZ?
[edit]
Der Netzwerkverkehr zwischen einer DMZ und dem restlichen LAN gehört ebenfalls gefiltert. Siehe auch: http://de.wikipedia.org/wiki/DMZ
[/edit]
-
Hallo,
Herzlichen dank an alle für die Antworten.
In der zwischenzeit habe ich ein Tool gefunden ---GetRas-- das genau meine gewünschten Dinge tut.
Aber auch gerade deshalb- bin ich überzeugt ,daß es auch mit der "normalen Freigabe " ICS gehen müßte.Ein Netz A und ein Netz B hinter einem Router stellt meiner Meinung nach keine DMZ dar. Hier ist bei Einbruchsversuch nur der Router zu überwinden. Da spielt es keine Rolle mehr, ob ich ein oder zwei netze parallel liegen.
Bei der DMZ liegen zwei Router hintereinander, um ins LAN einzubrechen wird erheblich schwieriger.
Warum das Ganze?Es geht hier einfach um die Prinzipien, die mal praktisch dargestellt werden sollen.
Desweiteren kann ich mit dem vorhandenden Router im Netzwerk unerwünschte Seiten klar sperren. Ist bei einer einfachen ICS Freigabe nicht möglich.mfg
Fabian
-
hotblack schrieb:
Ein Netz A und ein Netz B hinter einem Router stellt meiner Meinung nach keine DMZ dar. Hier ist bei Einbruchsversuch nur der Router zu überwinden. Da spielt es keine Rolle mehr, ob ich ein oder zwei netze parallel liegen.
Bei der DMZ liegen zwei Router hintereinander, um ins LAN einzubrechen wird erheblich schwieriger.
Ich glaube Du verwechselst da was...
Eine DMZ (Demilitarisierte Zone = Zone ohne Militär / Überwachung) ist eben eine Zone (ein Bereich eines Netzwerks = Subnetz, tlw. auch ein einzelner PC) wo es BESONDERS EINFACH ist, "einzubrechen"!!!
Der Sinn liegt nunmal darin, daß Dienste, auf die sowieso immer Zugriff zugelassen wird und es auch gar nicht anders möglich ist (Web-Server z.B. oder Game-Server), keinen besonderen Firewall-Schutz benötigen (der hilft bei einem Apache exploit auch nicht) bzw. dieser einfach zuviel Ressourcen schlucken würde.
Üblicherweise leitet ein Router / NAT dann ALLE anfragenden Ports, die nicht vom internen Netz ausgingen, an diese DMZ weiter. D.h. auch Trojaner, SQL-Sicherheitsattacken, blablablup landet da.Das wichtige (zu schützende) Netz wird dann nochmal über eine Firewall / Gateway von der DMZ getrennt.
-
@Sgt.Nukem
Was Du meinst, nennt sich "exposed host". Viele Marketing-Leute bezeichnen es zwar als DMZ, aber, wie Du bereits sagtest, ist es in diesem Falle um die Sicherheit nicht so gut bestellt.
Der Sinn einer DMZ ist aber ein Netzwerk trotz Zugriff aus dem Internet zuschützen und gleichzeitig von diesem das eigene Netzwerk zuschützen.@hotblack
Wenn ich den Traffic zwischen Netz A und Netz B filtere, so geht der Traffic ja logisch durch "zwei" Router/Firewalls. Es handelt sich bei diesen "zwei" Routern halt nur um den physikalisch gleichen Rechner.
Wenn man die Netze durch zwei physikalische Gateways trennen würde, wie Du es propagierst, hätte das wohl sicherheitstechnische Vorteile. Definitionsmäßig sollte Netz A aus meinem Beispiel ebenfalls eine DMZ darstellen.
Kann aber gut sein, daß ich eine etwas schwammigere Definition erwischt habe. Gibt es eigentlich eine "offizielle" Definition von DMZ?PS: Laut dieser "Definition" darf es für eine DMZ keinen direkten Traffic zwischen LAN und Internet geben, sondern muß alles z.B. via Proxys über die DMZ gehen.
-
Hallo,
einen guten Beitrag zur dmz habe ich in der ct gelesen,Heft 5
dieses Jahres. das war mein Ausgangspunkt.
Ansonsten ist es schon so, daß natürlich nur die freigegebenen dinge in der DMZ
erreichbar sein sollten. Alles andere ist "Einbruch".gruß Wolfgang