/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Firewall mod virus og orme på lokalnetværk~
Fra : Claus Tersgov


Dato : 10-09-05 09:46


Hej til alle eksperterne.

Bolignet med PPPoE og almindelig NAT router, en WEB/FTP og mailserver og een
almindelig PC1.

Ind imellem har jeg brug for at sætte en kundemaskine til Internettet, og
vil havde den *fuldstændig* adskilt fra de to andre maskiner, så orme og
virus ikke kan brede sig. Jeg har een gang dummet mig og sat en inficeret
maskine på nettet, fordi jeg troede, at det var en ramfejl, med det var
altså virus/orme, og i samme sekund blev min egen maskine inficeret, selvom
deling endda var slået fra..

Så hvordan gør man det billigst muligt, og uden at installere antivirus på
server og PC1, og uden at sætte en ekstra maskine op?

Kan jeg lave noget med nogle ekstra NAT routere efter hinanden eller hvad?

Det eneste kundemaskinen skal have adgang til, er Internettet. Intet andet.

Claus



 
 
J.A.F. Pedersen (10-09-2005)
Kommentar
Fra : J.A.F. Pedersen


Dato : 10-09-05 10:16

Claus Tersgov typed:

> Hej til alle eksperterne.

Skulle der ikke blot have stået hej alle, eller hej alle i gruppen? Eller er
der kun plads til en ekspertdiskussion?

JAF


Claus Tersgov (10-09-2005)
Kommentar
Fra : Claus Tersgov


Dato : 10-09-05 10:56


"J.A.F. Pedersen" <freshair@mail.dk> skrev

> Skulle der ikke blot have stået hej alle, eller hej alle i gruppen? Eller
er
> der kun plads til en ekspertdiskussion?

Ville du bidrage med noget fornuftigt, eller vil du bare spille dum?

Claus



Ukendt (11-09-2005)
Kommentar
Fra : Ukendt


Dato : 11-09-05 12:56

"Claus Tersgov"
> Ind imellem har jeg brug for at sætte en kundemaskine til Internettet, og
> vil havde den *fuldstændig* adskilt fra de to andre maskiner, så orme og
> virus ikke kan brede sig. Jeg har een gang dummet mig og sat en inficeret
> maskine på nettet, fordi jeg troede, at det var en ramfejl, med det var
> altså virus/orme, og i samme sekund blev min egen maskine inficeret,
> selvom
> deling endda var slået fra..

Personligt ville jeg jo nok foretrække at lave en ekstra DMZ zone på min
firewall, og køre maskinerne på der. Så har du kontrol med hvad de laver, og
du kan eventuelt åbne op for fjernstyring af maskinen fra din egen...

Ved ikke om det er den billigste løsning for dig dog...

--
/Stoltze
Har du husket at klippe i dit indlæg? Og læst det igennem en ekstra gang?
Husk at læse http://www.usenet.dk/netikette/citatteknik.html
Kig forbi http://blomstertid.dk



Claus Tersgov (11-09-2005)
Kommentar
Fra : Claus Tersgov


Dato : 11-09-05 14:13


"Niels Stoltze" <niels_detunderligea_stoltzemail_punktum_dk> skrev

> Personligt ville jeg jo nok foretrække at lave en ekstra DMZ zone på min
> firewall, og køre maskinerne på der. Så har du kontrol med hvad de laver,
og
> du kan eventuelt åbne op for fjernstyring af maskinen fra din egen...
> Ved ikke om det er den billigste løsning for dig dog...

Jeg har intet behov for hverken fjernstyring eller fildeling eller andet.
Det eneste jeg har behov for, er at jeg kan tilslutte en kundemaskine til
Internettet, så jeg kan opdatere osv, uden at skulle tænke på, at mine egne
maskiner kan bliver inficeret på nogen måde. Hvis jeg skal overføre filer
bruger jeg enten en USB pen eller downloader fra min webserver, hvor det
meste alligevel ligger i forevejen.

Jeg skal bare være 500% sikker på, at en kundemaskine ikke på nogen måde kan
inficere mine egne maskiner.

Derfor tænkte jeg på, om det ikke er muligt at sætte en ekstra NAT router
lige efter min normale router, og så på een eller anden måde sikere, at den
ekstra router kun kan se adgangen til Internettet og ikke min eget
lokalnetværk.

Jeg ville hels have en hardwarebaseret løsning, så både server og egen PC
ikke bliver belastet yderligere, og så det samtidig er så simpelt som
muligt.

Desværre er jeg ingen ørn til den slags opsætninger..

Claus



Peter Rongsted (11-09-2005)
Kommentar
Fra : Peter Rongsted


Dato : 11-09-05 16:08

On Sat, 10 Sep 2005 10:45:41 +0200, "Claus Tersgov"
<nospamnews@tersgov.dk> wrote:

>
>Hej til alle eksperterne.
>
>Bolignet med PPPoE og almindelig NAT router, en WEB/FTP og mailserver og een
>almindelig PC1.
>
>Ind imellem har jeg brug for at sætte en kundemaskine til Internettet, og
>vil havde den *fuldstændig* adskilt fra de to andre maskiner, så orme og
>virus ikke kan brede sig. Jeg har een gang dummet mig og sat en inficeret
>maskine på nettet, fordi jeg troede, at det var en ramfejl, med det var
>altså virus/orme, og i samme sekund blev min egen maskine inficeret, selvom
>deling endda var slået fra..
>
>Så hvordan gør man det billigst muligt, og uden at installere antivirus på
>server og PC1, og uden at sætte en ekstra maskine op?
>
>Kan jeg lave noget med nogle ekstra NAT routere efter hinanden eller hvad?

Det kan du nok godt (alt efter hvilken en du bruger), men det vil ikke
være 112% sikkert.

>Det eneste kundemaskinen skal have adgang til, er Internettet. Intet andet.

Den bedste løsning vil være en firewall fx en Cisco PIX 501
http://edbpriser.dk/Listprices.asp?ID=71135

Peter

Ukendt (11-09-2005)
Kommentar
Fra : Ukendt


Dato : 11-09-05 21:12

"Peter Rongsted"
> Den bedste løsning vil være en firewall fx en Cisco PIX 501
> http://edbpriser.dk/Listprices.asp?ID=71135

Hmm, mon ikke vi bare skal sige, at en dedikeret firewall vil være bedst?

En PIX 501 har intet som skulle gøre den bedre i denne sammenhæng, end så
mange andre hardwarebaserede firewalls.. Faktisk har den jo den ulempe, at
den kun har 2 interfaces.. Så Claus vil være nødt til at bruge VLAN for at
få delt sit net op...

Claus, en firewall med 3 eller flere interfaces vil være det bedste for
dig..

--
/Stoltze
Har du husket at klippe i dit indlæg? Og læst det igennem en ekstra gang?
Husk at læse http://www.usenet.dk/netikette/citatteknik.html
Kig forbi http://blomstertid.dk



Peter Rongsted (11-09-2005)
Kommentar
Fra : Peter Rongsted


Dato : 11-09-05 23:59

On Sun, 11 Sep 2005 22:11:43 +0200, "Niels Stoltze"
<niels_detunderligea_stoltzemail_punktum_dk> wrote:

>"Peter Rongsted"
>> Den bedste løsning vil være en firewall fx en Cisco PIX 501
>> http://edbpriser.dk/Listprices.asp?ID=71135
>
>Hmm, mon ikke vi bare skal sige, at en dedikeret firewall vil være bedst?

Det kan vi godt sige.

>En PIX 501 har intet som skulle gøre den bedre i denne sammenhæng, end så
>mange andre hardwarebaserede firewalls.. Faktisk har den jo den ulempe, at
>den kun har 2 interfaces.. Så Claus vil være nødt til at bruge VLAN for at
>få delt sit net op...
>
>Claus, en firewall med 3 eller flere interfaces vil være det bedste for
>dig..

Jeg mente en 501 havde 3 interfaces derfor brugte jeg den som
eksempel. Hvis den kun har 2, så er det ikke den bedste.

Jeg arbejder næsten kun med Checkpoint Firewall-1, så jeg huskede galt
- men godt det blev rettet.

Peter

Søg
Reklame
Statistik
Spørgsmål : 177552
Tips : 31968
Nyheder : 719565
Indlæg : 6408849
Brugere : 218887

Månedens bedste
Årets bedste
Sidste års bedste