---

Hej til alle eksperterne.

Bolignet med PPPoE og almindelig NAT router, en WEB/FTP og mailserver og een
almindelig PC1.

Ind imellem har jeg brug for at sætte en kundemaskine til Internettet, og
vil havde den *fuldstændig* adskilt fra de to andre maskiner, så orme og
virus ikke kan brede sig. Jeg har een gang dummet mig og sat en inficeret
maskine på nettet, fordi jeg troede, at det var en ramfejl, med det var
altså virus/orme, og i samme sekund blev min egen maskine inficeret, selvom
deling endda var slået fra..

Så hvordan gør man det billigst muligt, og uden at installere antivirus på
server og PC1, og uden at sætte en ekstra maskine op?

Kan jeg lave noget med nogle ekstra NAT routere efter hinanden eller hvad?

Det eneste kundemaskinen skal have adgang til, er Internettet. Intet andet.

Claus

---

Claus Tersgov typed:

> Hej til alle eksperterne.

Skulle der ikke blot have stået hej alle, eller hej alle i gruppen? Eller er
der kun plads til en ekspertdiskussion?

JAF

---

"J.A.F. Pedersen" <freshair@mail.dk> skrev

> Skulle der ikke blot have stået hej alle, eller hej alle i gruppen? Eller
er
> der kun plads til en ekspertdiskussion?

Ville du bidrage med noget fornuftigt, eller vil du bare spille dum?

Claus

---

"Claus Tersgov"
> Ind imellem har jeg brug for at sætte en kundemaskine til Internettet, og
> vil havde den *fuldstændig* adskilt fra de to andre maskiner, så orme og
> virus ikke kan brede sig. Jeg har een gang dummet mig og sat en inficeret
> maskine på nettet, fordi jeg troede, at det var en ramfejl, med det var
> altså virus/orme, og i samme sekund blev min egen maskine inficeret,
> selvom
> deling endda var slået fra..

Personligt ville jeg jo nok foretrække at lave en ekstra DMZ zone på min
firewall, og køre maskinerne på der. Så har du kontrol med hvad de laver, og
du kan eventuelt åbne op for fjernstyring af maskinen fra din egen...

Ved ikke om det er den billigste løsning for dig dog...

--
/Stoltze
Har du husket at klippe i dit indlæg? Og læst det igennem en ekstra gang?
Husk at læse http://www.usenet.dk/netikette/citatteknik.html
Kig forbi http://blomstertid.dk

---

"Niels Stoltze" <niels_detunderligea_stoltzemail_punktum_dk> skrev

> Personligt ville jeg jo nok foretrække at lave en ekstra DMZ zone på min
> firewall, og køre maskinerne på der. Så har du kontrol med hvad de laver,
og
> du kan eventuelt åbne op for fjernstyring af maskinen fra din egen...
> Ved ikke om det er den billigste løsning for dig dog...

Jeg har intet behov for hverken fjernstyring eller fildeling eller andet.
Det eneste jeg har behov for, er at jeg kan tilslutte en kundemaskine til
Internettet, så jeg kan opdatere osv, uden at skulle tænke på, at mine egne
maskiner kan bliver inficeret på nogen måde. Hvis jeg skal overføre filer
bruger jeg enten en USB pen eller downloader fra min webserver, hvor det
meste alligevel ligger i forevejen.

Jeg skal bare være 500% sikker på, at en kundemaskine ikke på nogen måde kan
inficere mine egne maskiner.

Derfor tænkte jeg på, om det ikke er muligt at sætte en ekstra NAT router
lige efter min normale router, og så på een eller anden måde sikere, at den
ekstra router kun kan se adgangen til Internettet og ikke min eget
lokalnetværk.

Jeg ville hels have en hardwarebaseret løsning, så både server og egen PC
ikke bliver belastet yderligere, og så det samtidig er så simpelt som
muligt.

Desværre er jeg ingen ørn til den slags opsætninger..

Claus

---

On Sat, 10 Sep 2005 10:45:41 +0200, "Claus Tersgov"
<nospamnews@tersgov.dk> wrote:

>
>Hej til alle eksperterne.
>
>Bolignet med PPPoE og almindelig NAT router, en WEB/FTP og mailserver og een
>almindelig PC1.
>
>Ind imellem har jeg brug for at sætte en kundemaskine til Internettet, og
>vil havde den *fuldstændig* adskilt fra de to andre maskiner, så orme og
>virus ikke kan brede sig. Jeg har een gang dummet mig og sat en inficeret
>maskine på nettet, fordi jeg troede, at det var en ramfejl, med det var
>altså virus/orme, og i samme sekund blev min egen maskine inficeret, selvom
>deling endda var slået fra..
>
>Så hvordan gør man det billigst muligt, og uden at installere antivirus på
>server og PC1, og uden at sætte en ekstra maskine op?
>
>Kan jeg lave noget med nogle ekstra NAT routere efter hinanden eller hvad?

Det kan du nok godt (alt efter hvilken en du bruger), men det vil ikke
være 112% sikkert.

>Det eneste kundemaskinen skal have adgang til, er Internettet. Intet andet.

Den bedste løsning vil være en firewall fx en Cisco PIX 501
http://edbpriser.dk/Listprices.asp?ID=71135

Peter

---

"Peter Rongsted"
> Den bedste løsning vil være en firewall fx en Cisco PIX 501
> http://edbpriser.dk/Listprices.asp?ID=71135

Hmm, mon ikke vi bare skal sige, at en dedikeret firewall vil være bedst?

En PIX 501 har intet som skulle gøre den bedre i denne sammenhæng, end så
mange andre hardwarebaserede firewalls.. Faktisk har den jo den ulempe, at
den kun har 2 interfaces.. Så Claus vil være nødt til at bruge VLAN for at
få delt sit net op...

Claus, en firewall med 3 eller flere interfaces vil være det bedste for
dig..

--
/Stoltze
Har du husket at klippe i dit indlæg? Og læst det igennem en ekstra gang?
Husk at læse http://www.usenet.dk/netikette/citatteknik.html
Kig forbi http://blomstertid.dk

---

On Sun, 11 Sep 2005 22:11:43 +0200, "Niels Stoltze"
<niels_detunderligea_stoltzemail_punktum_dk> wrote:

>"Peter Rongsted"
>> Den bedste løsning vil være en firewall fx en Cisco PIX 501
>> http://edbpriser.dk/Listprices.asp?ID=71135
>
>Hmm, mon ikke vi bare skal sige, at en dedikeret firewall vil være bedst?

Det kan vi godt sige.

>En PIX 501 har intet som skulle gøre den bedre i denne sammenhæng, end så
>mange andre hardwarebaserede firewalls.. Faktisk har den jo den ulempe, at
>den kun har 2 interfaces.. Så Claus vil være nødt til at bruge VLAN for at
>få delt sit net op...
>
>Claus, en firewall med 3 eller flere interfaces vil være det bedste for
>dig..

Jeg mente en 501 havde 3 interfaces derfor brugte jeg den som
eksempel. Hvis den kun har 2, så er det ikke den bedste.

Jeg arbejder næsten kun med Checkpoint Firewall-1, så jeg huskede galt
- men godt det blev rettet.

Peter