PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : CS406 an DMZ



falcone
02.10.2007, 10:46
Was mich bislang immer störte war, dass mein Datentransfer, der per Downloadservice oder FTP stattfand, nie auf Schädlinge geprüft wurde. Deshalb hatte ich mir einen Router mit Virenschutz zugelegt: ALL7007. Soweit, so gut. Allerdings habe ich da noch Schwierigkeiten mit der Einrichtung.

Intern läuft alles bestens. Surfen kann ich auch. Nur meine CS kommt nicht mehr ins Internet. Von außen kann ich mich auch nicht mehr anpingen. Nun meine Frage:

Es gibt einen DMZ-Bereich. Allerdings habe ich da so meine Bedenken. Kennt sich jemand mit DMZ aus? Welche Auswirkungen hat es, wenn ich meine CS an diesen Port anschließe?

James
02.10.2007, 12:20
Hi,

also was eine DMZ ist sollte man schon Wissen. Bzw. kann man es ja nachlesen.http://de.wikipedia.org/wiki/Demilitarized_Zone

Wenn du deine Station in die DMZ stellst, was ich persönlich sowieso besser finde, dann kannst du die Zugriffe auf die DMZ bzw. von der DMZ in dein LAN und umgekehrt mit Firewall regeln schützen. Vorraus gesetzt dein Router unterstützt diese Funktion. Nachteil: bei vielen Routern wird der gesamt internet Traffic an die DMZ Standard mäßig weiter geroutet.

Warum dein Zugriff aber auf die Station nicht funktioniert, hängt denk ich mal von deinem Router ab.

Wenn du die station in die DMZ stellst werden alle Ports dort hin automatisch geöffnet. Probier es aus. Aber las mal für den Zugriff ein Log mit laufen. Damit kann man dann auch sehen welche Ports, wirklich benutzt werden.

James

falcone
02.10.2007, 14:05
Den Bericht von WiKi kenne ich. Leider sind meine Kenntnisse (noch) nicht ausreichend, um abschätzen zu können, welche Auswirkung es haben könnte, wenn ich meine Daten in die DMZ hänge - immerhin sind dort auch persönliche und z.T. vertrauliche Dinge enthalten.

Der Router hat Möglichkeiten Policies zwischen LAN-DMZ, DMZ-LAN, WAN-DMZ und DMZ-WAN einzurichten.

Ich nehme ja auch an, dass die IDP Firewall alles dicht macht. Wie man dort die Ports frei gibt ist mir aus der Doku noch nicht klar geworden. Bei meiner FB war es sehr einfach.

Aber vielen Dank James!

James
02.10.2007, 14:33
eine DMZ sollte man auch nur benutzen wenn es keine persönlichen Daten gibt. Ansonsten wenn du damit kein Problem hast ist es auch ok. Schliesslich kannst du ja in alle RIchtungen die Firewall einrichten. Scheint ja echt ein tolles Gerät zusein. mein ich ernst.
Also falls du irgentwelche Hilfe bei Firewallregeln brauchst lass es mich wissen.

Gruß James

falcone
02.10.2007, 15:21
Ja, das Gerät ist (wohl) nicht schlecht, wenn man sich mit der Materie auskennen würde. Wie gesagt, wollte unbedingt einen Virenscanner auch für die CS haben. Habe das Gerät recht günstig bekommen. Nun muss man sich nur noch damit beschäftigen.

http://www.allnet.de/product_info_allnet.php?cPath=_&products_id=99956

Tja, ich würde ja auch gerne die CS im LAN lassen, doch funktionieren weder FTP noch sonstige Dienste über die CS, da die ALL7007 wohl alles dicht macht. Portkonfiguration ist in meinen Augen auch nicht so einfach - zumindest im Bezug auf eine FritzBox. Und sehr viel über den Allnet steht auch nicht im Netz. Zudem bin ich kein Netzwerkadministrator, wodurch die Sache noch schwieriger wird. Aber - in der Ruhe liegt die Kraft.

Dir vielen Dank!!!:)

James
02.10.2007, 15:25
Was heißt denn bei dir Günstig. Ich würde mich auch für das ding interessieren.
Ich geb dir mal nen tip die ports die du raus lässt mussen auch wieder rein. Und an das Log nicht vergessen. dann sollte auch dieses gerät für einen nicht Admin konfigurierbar sein.

James

falcone
03.10.2007, 13:12
Also, nochmals vielen Dank für die Infos.
Gestern bin ich nach vielen, vielen, viiiiiielen Stunden genervt gescheitert. DMZ kann man nur nutzen, wenn man eine feste IP-Adresse vom DSL-Provider bekommt. Deshalb kann ich es schon mal nicht nutzen.

Heute hatte ich dann erneut angefangen. Einen Schritt bin ich schon weiter. Von innen, also aus dem eigenen LAN heraus geht alles. Die CS downloadet sogar wieder selbstständig. DynDNS funktioniert. Über einen Virtuellen Server kann man die Weiterleitung von WAN an die interne IP einrichten. Nur mit den Policies bezüglich der Dienste ping, FTP und HTTP funktioniert irgendwie nicht. Nun dachte ich, dass man über die IDP-Einstellungen, die wohl die Firewall darstellen, Freigaben einstellen muss. Funktioniert auch nicht.

Anpingen kann ich mich, von innen. Aber nicht von außen. Was mache ich falsch?

James
03.10.2007, 18:38
Hi,
Ich werd mir mal die Doku von deiner Firewall runterladen. Da kann ich dir besser hilfe stellung geben.
Wird aber bestimmt erst im laufes des nächsten Tages.

Schönen Abend noch.

Gruß James:)

falcone
04.10.2007, 09:32
Moin James, vielen Dank für Deine Hilfe. Gestern Abend gegen 21 Uhr hat es irgendwie funktioniert. Nach diversen Resets und mehreren Litern Kaffee funktionierte es schließlich. Allerdings habe ich nur zwei Policies mit jeweils allen Diensten eingestellt.

Falls Du eine Doku speziell zur Firewall findest, dann sage mal Bescheid. Ich habe lediglich das große Handbuch (englisch) mit 12MB.

Ich halte Dich auf dem Laufenden. Nochmals ... vielen Dank.

James
04.10.2007, 14:18
Sorry aber ich hab auch nur das Dicke Handbuch mit 400Seiten gefunden. Aber wie du schreibst scheint es ja zu funktionieren. Wie teuer war denn nun die ALL7007????

Gruß James

falcone
04.10.2007, 14:30
Habe ich bei ebay erstanden: 300 EUR. Kann man nichts zu sagen, oder?! Kostet neu noch immer fast 600 EUR.

James
04.10.2007, 14:56
Da hast du recht. ein echtes Schnäppchen was du da gerissen hast. Und funktioniert es jetzt so wie du es dir Vorstellst???

elektrolurch
05.10.2007, 00:14
Hi,

schon ein tolles Teil, aber verlasst Euch nicht blind drauf:

http://www.heise.de/security/news/meldung/94763/ClamAV-behebt-DoS-Luecken-Update

Leider ist das letzte FW-Update vom Feb. 2007.....

Und für DAS Geld bekommt man auch einen anständigen Lancom.

Was bringt dir denn der Virenschutz vor der DS? Die Ziele der Viren (nämlich die PC im Netz) wirst Du ja hoffentlich individuell schützen.

falcone
05.10.2007, 08:20
Lancom – ja, sind schon tolle Geräte. Hätte ich 600 EUR ausgegeben, so hätte ich auch ganz bestimmt einen Lancom genommen. Am Allnet hatte mich gereizt, dass dort ein Virenscanner integriert ist. Aber genau der macht mir gerade etwas zu schaffen.

Meine CS ist als Virtueller Server eingerichtet. Dazu eine Policy, die Port für bestimmte Dienste freigibt, z.B. http, ftp usw. In dieser Policy habe ich nun auch IDP aktiviert.

Damit IDP funktioniert muss ich im Allnet unter dem Menüpunkt IDP unter Settings den gesamten Dienst auf „Enable“ setzen. Mache ich das, so habe ich von außen auf meine CS keinen Zugriff mehr.

Man … das Ding kann einem aber auch den letzten Nerv rauben. Die Anleitung ist auch mehr schlecht als recht. Bin halt nur Privatanwender und habe keine Serverlandschaft zu Hause. Hoffentlich funktioniert wenigstens die Sache mit dem VPN einwandfrei.

Supaman
07.10.2007, 09:16
ein DMZ ist ein separater bereich in deinem netzwerk. hat primär den sinn, wenn sich einer auf den rechner/nas whatever reinhackt, das LAN nicht kompromittiert ist. ein firewall DMZ router ermöglicht es dir, genau fest zu legen, wie der datenverkehr zwischen LAN-DMZ-WAN fliessen darf. per default läuft da erstmal gar nichts, das wäre vom hersteller grob fahrlässig.

du musst für LAN und DMZ unterschiedliche IP adressen benutzen. dann musst du statische routen einrichten, damit beim zugriff vom LAN die synology gefunden wird. die dienste auf welche du vom WAN auf die DMZ zugreifen musst du freischalten, ebenso die ports für windows-dateizugriff vom LAN->DMZ und zu guterletzt WAN->LAN.


Bin halt nur Privatanwender und habe keine Serverlandschaft zu Hause.
das ist auch nicht für zu hause gedacht, sondern für firmennetzwerke und leute die ´sich damit auskennen:)

btw: ein netgear fvx-538 hat einen ähnlichen funktionsumfang und kostet *neu* ~300 euro.

falcone
12.10.2007, 19:52
... ist auch nicht für zu hause gedacht, sondern für firmennetzwerke und leute die ´sich damit auskennen ...

Tja, Supaman, da hast Du Recht. Ich bin gescheitert und werde deshalb das Gerät wieder verkaufen. Habe nun viele Stunden und Tage versucht diesen Apparillo einzustellen - bekomme es einfach nicht hin. Grundsätzlich wohl ein super Gerät, aber auch nur in den richtigen Händen.

Ich danke Euch trotzdem!!!