LAN 'absichern' gegen internen PC

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15878

04.01.2011 - 14:46

dann steck den rechner von deinem bruder in die DMZ, somit kann er ohne weitere einstellungen von dir einmal nirgends hin
laut http://www.netgear.de/Produkte/Rout...datenblatt.html beherrscht er das "feature" und das ganze sollt in 2 minuten erledigt sein
alles andere is dann imho übertrieben

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

04.01.2011 - 14:50

musst mir genauer erklären....

ich hab als dmz-server die ip vom demo-webserver eingestellt, dort kommt alles an was nicht geroutet ist.
das wäre dann ja das gegenteil von dem was du meinst, oder?

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

04.01.2011 - 14:51

Also das "einfachste" ist ja eigentlich, dass er seinen Bruder direkt an den Inode Router hängt. Rein physisch wahrscheinlich nicht so einfach

.

Zitat von Bogus
musst mir genauer erklären....

ich hab als dmz-server die ip vom demo-webserver eingestellt, dort kommt alles an was nicht geroutet ist.
das wäre dann ja das gegenteil von dem was du meinst, oder?

Alle Anfragen werden an die Hosts in der DMZ weitergeleitet ja. Aber das ist für dich nicht relevant (außer eben, dass du dich nicht um port forwardings für deinen Bruder kümmern musst

). Was für dich wichtig ist, dass (normalerweise) Hosts in der DMZ keinen Zugriff auf die restlichen PCs im LAN haben. Das müsstest du einfach selbst testen, ob das bei deinem Netgear Router auch tatsächlich so ist.

Bearbeitet von Spikx am 04.01.2011, 14:55

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

04.01.2011 - 14:59

das ist nicht der fall. von dem dmz-rechner komm ich (passender benutzer und rechte vorausgesetzt) überall hin im lan.

wegen 'direkt an den router' hängen: du meinst an den inode-router? dann kommt er nicht in's restliche lan?
wir haben nämlich vor ein 30m cat5 kabel zu legen. wlan ist zu stressig wegen entfernung (auch indoor).

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

04.01.2011 - 15:07

Zitat von Bogus
das ist nicht der fall. von dem dmz-rechner komm ich (passender benutzer und rechte vorausgesetzt) überall hin im lan.

Ja, dann kommt DMZ bei dem Netgear Router auf jeden Fall nicht in Frage. Ich denke das ist bei allen "billig" Routern so. Da steht "DMZ" einfach nur für "easy cheesy port forwarding".

Zitat von Bogus
wegen 'direkt an den router' hängen: du meinst an den inode-router? dann kommt er nicht in's restliche lan?
wir haben nämlich vor ein 30m cat5 kabel zu legen. wlan ist zu stressig wegen entfernung (auch indoor).

Ja, dann ist er nämlich im LAN des Inode Routers und nicht mehr im selben LAN wo du bist. Auf die Hosts in "deinem" LAN kann er (und der Rest der Welt, wenn sich dein Netgear Router in der DMZ des Inode Routers befindet bzw. wenn alle Ports am Inode Router auf den Netgear Router weitergeleitet werden) dann nur mehr über die Ports zugreifen, die du im Netgear weitergeleitet hast.

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3919

04.01.2011 - 15:07

Hast dein inode VDSL-Modem/Router überhaupt mehrere Ports?

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15878

04.01.2011 - 15:15

Zitat von EvilGohan
Hast dein inode VDSL-Modem/Router überhaupt mehrere Ports?

sollt eigentlich wurscht sein
wenn nicht nimmt er einen günstigen switch, hängt den an das vdsl modem
an den switch kommt dann sein netgear router und sein bruder direkt ran (oder per extra für ihn gekauften router, kostet ja keine 40€)
vorrausgesetzt er hat noch nicht alle IP-Adressen belegt was ich nicht glaube da das wahrscheinlich der netgear eh wieder ned kann

EG

thinking with portals

Registered: May 2004
Location: 11**
Posts: 3919

04.01.2011 - 15:22

Ahso klar...durch die Business Leitung hat er mehrere öffentliche IPs...an die Möglichkeit hab ich noch garned gedacht!

Das machts natürlich einfach...2 Router für 2 öffentliche IP-Adressen...schön sauber getrennt!

Spikx

My Little Pwny

Registered: Jan 2002
Location: Scotland
Posts: 13496

04.01.2011 - 15:28

Aber vergiss nicht, dass du deinem Bruder dann auf jeden Fall raten solltest zumindest die Windows Firewall in Betrieb zu lassen

.

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3820

04.01.2011 - 15:29

Es geht doch laut 1. Post nur um einen einzelnen Rechner. Falls nur 1 Port vorhanden ist einen Switch vor das VDSL Modem, an einen Port den Netgear Router und an einen anderen das 30M Kabel. Die öffentliche IP kann er direkt aufs LAN Interface binden.

Sollte er doch mal mehrere Endgeräte haben ist es wohl gescheiter den Router bei ihm aufzubauen, zwecks WLAN z.B.

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15878

04.01.2011 - 15:32

@nexus: ich hab nix anderes behauptet

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

04.01.2011 - 15:39

super. das vdsl-modem/router hat insgesamt 4 ports, und ich hab 6 nutzbare ip's. fein, fein.

wenn er mal mehr als einen pc (gerät) will, dann kann man ja weiter denken. aber vorerst würde sogar ein 1/4er rechner reichen *G*

firewall und av ist klar. ohne das teil wäre er ja ne waffe im web

danke erstmal an alle

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12822

04.01.2011 - 17:19

mit einem 2ten router für die externe ip vom bruder wärs halt die schönste lösung weil dann der pc von deinem bruder besser abgeschirmt ist und keine software firewall mehr braucht. und router bekommst eben wie schon erwähnt ab 30€.

Bogus

C64 Generation

Registered: Mar 2006
Location: Graz
Posts: 3171

05.01.2011 - 10:06

danke für den tipp. dann soll er gleich wlan machen und braucht haus-intern nicht verkabeln (sonst hätte er eh nen switch kaufen müssen)

userohnenamen

leider kein name

Registered: Feb 2004
Location: -
Posts: 15878

05.01.2011 - 10:08

dann kann ich dir gleich den hier empfehlen: http://geizhals.at/a486889.html

userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15878	04.01.2011 - 14:46 dann steck den rechner von deinem bruder in die DMZ, somit kann er ohne weitere einstellungen von dir einmal nirgends hin laut http://www.netgear.de/Produkte/Rout...datenblatt.html beherrscht er das "feature" und das ganze sollt in 2 minuten erledigt sein alles andere is dann imho übertrieben
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	04.01.2011 - 14:50 musst mir genauer erklären.... ich hab als dmz-server die ip vom demo-webserver eingestellt, dort kommt alles an was nicht geroutet ist. das wäre dann ja das gegenteil von dem was du meinst, oder?
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	04.01.2011 - 14:51 Also das "einfachste" ist ja eigentlich, dass er seinen Bruder direkt an den Inode Router hängt. Rein physisch wahrscheinlich nicht so einfach . Zitat von Bogus musst mir genauer erklären.... ich hab als dmz-server die ip vom demo-webserver eingestellt, dort kommt alles an was nicht geroutet ist. das wäre dann ja das gegenteil von dem was du meinst, oder? Alle Anfragen werden an die Hosts in der DMZ weitergeleitet ja. Aber das ist für dich nicht relevant (außer eben, dass du dich nicht um port forwardings für deinen Bruder kümmern musst ). Was für dich wichtig ist, dass (normalerweise) Hosts in der DMZ keinen Zugriff auf die restlichen PCs im LAN haben. Das müsstest du einfach selbst testen, ob das bei deinem Netgear Router auch tatsächlich so ist. Bearbeitet von Spikx am 04.01.2011, 14:55
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	04.01.2011 - 14:59 das ist nicht der fall. von dem dmz-rechner komm ich (passender benutzer und rechte vorausgesetzt) überall hin im lan. wegen 'direkt an den router' hängen: du meinst an den inode-router? dann kommt er nicht in's restliche lan? wir haben nämlich vor ein 30m cat5 kabel zu legen. wlan ist zu stressig wegen entfernung (auch indoor).
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	04.01.2011 - 15:07 Zitat von Bogus das ist nicht der fall. von dem dmz-rechner komm ich (passender benutzer und rechte vorausgesetzt) überall hin im lan. Ja, dann kommt DMZ bei dem Netgear Router auf jeden Fall nicht in Frage. Ich denke das ist bei allen "billig" Routern so. Da steht "DMZ" einfach nur für "easy cheesy port forwarding". Zitat von Bogus wegen 'direkt an den router' hängen: du meinst an den inode-router? dann kommt er nicht in's restliche lan? wir haben nämlich vor ein 30m cat5 kabel zu legen. wlan ist zu stressig wegen entfernung (auch indoor). Ja, dann ist er nämlich im LAN des Inode Routers und nicht mehr im selben LAN wo du bist. Auf die Hosts in "deinem" LAN kann er (und der Rest der Welt, wenn sich dein Netgear Router in der DMZ des Inode Routers befindet bzw. wenn alle Ports am Inode Router auf den Netgear Router weitergeleitet werden) dann nur mehr über die Ports zugreifen, die du im Netgear weitergeleitet hast.
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3919	04.01.2011 - 15:07 Hast dein inode VDSL-Modem/Router überhaupt mehrere Ports?
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15878	04.01.2011 - 15:15 Zitat von EvilGohan Hast dein inode VDSL-Modem/Router überhaupt mehrere Ports? sollt eigentlich wurscht sein wenn nicht nimmt er einen günstigen switch, hängt den an das vdsl modem an den switch kommt dann sein netgear router und sein bruder direkt ran (oder per extra für ihn gekauften router, kostet ja keine 40€) vorrausgesetzt er hat noch nicht alle IP-Adressen belegt was ich nicht glaube da das wahrscheinlich der netgear eh wieder ned kann
EG thinking with portals Registered: May 2004 Location: 11** Posts: 3919	04.01.2011 - 15:22 Ahso klar...durch die Business Leitung hat er mehrere öffentliche IPs...an die Möglichkeit hab ich noch garned gedacht! Das machts natürlich einfach...2 Router für 2 öffentliche IP-Adressen...schön sauber getrennt!
Spikx My Little Pwny Registered: Jan 2002 Location: Scotland Posts: 13496	04.01.2011 - 15:28 Aber vergiss nicht, dass du deinem Bruder dann auf jeden Fall raten solltest zumindest die Windows Firewall in Betrieb zu lassen .
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3820	04.01.2011 - 15:29 Es geht doch laut 1. Post nur um einen einzelnen Rechner. Falls nur 1 Port vorhanden ist einen Switch vor das VDSL Modem, an einen Port den Netgear Router und an einen anderen das 30M Kabel. Die öffentliche IP kann er direkt aufs LAN Interface binden. Sollte er doch mal mehrere Endgeräte haben ist es wohl gescheiter den Router bei ihm aufzubauen, zwecks WLAN z.B.
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15878	04.01.2011 - 15:32 @nexus: ich hab nix anderes behauptet
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	04.01.2011 - 15:39 super. das vdsl-modem/router hat insgesamt 4 ports, und ich hab 6 nutzbare ip's. fein, fein. wenn er mal mehr als einen pc (gerät) will, dann kann man ja weiter denken. aber vorerst würde sogar ein 1/4er rechner reichen G firewall und av ist klar. ohne das teil wäre er ja ne waffe im web danke erstmal an alle
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12822	04.01.2011 - 17:19 mit einem 2ten router für die externe ip vom bruder wärs halt die schönste lösung weil dann der pc von deinem bruder besser abgeschirmt ist und keine software firewall mehr braucht. und router bekommst eben wie schon erwähnt ab 30€.
Bogus C64 Generation Registered: Mar 2006 Location: Graz Posts: 3171	05.01.2011 - 10:06 danke für den tipp. dann soll er gleich wlan machen und braucht haus-intern nicht verkabeln (sonst hätte er eh nen switch kaufen müssen)
userohnenamen leider kein name Registered: Feb 2004 Location: - Posts: 15878	05.01.2011 - 10:08 dann kann ich dir gleich den hier empfehlen: http://geizhals.at/a486889.html

LAN 'absichern' gegen internen PC

Forum Index > Hardware > Peripherie > Netzwerktechnik

userohnenamen

Bogus

Spikx

Bogus

Spikx

EG

userohnenamen

EG

Spikx

nexus_VI

userohnenamen

Bogus

davebastard

Bogus

userohnenamen