Jens Gyldenkærne Clausen wrote:
> Johnny Winther Ronnenberg skrev:
>
>> Netop adresser der starter med 198 er interne
>
> Muligvis bare en skrivefejl, men det er 192.168.x.x der er
> reserveret til interne ip-numre (sammen med 10.x.x.x og 172.16/12).
> Se evt. <
http://www.net-faq.dk/faq.pl?get=priv-ip>.
>
Skrivefejl
>> Hvis du ikke kan adresse en lokal webserver via den eksterne
>> IP så har routeren en indbygget firewall
>
> Det er ikke nødvendigt med en firewall. Et internt ipnummer (som fx
> 192.161.x.x kan ikke ses af netværket uden for routeren (herunder
> validatoren), og dermed kan man ikke tilgå en server på indersiden.
> Man kan sætte NAT op på routeren, og på denne måde gøre en intern
> adresse tilgængelig for omverdenen, men det er ikke noget routeren
> gør af sig selv.
>
Så langt er vi enige
>> og det er der mange routere der har idag.
>
> Det har du ret i. Min netudbyders router har som standard en
> aktiveret firewall der blandt meget andet blokerer for indgående
> kald til port 80. Den router jeg lige selv har sat op, indeholder
> også en firewall, men den er ikke slået til som standard.
>
Lyder meget sandsynligt.
>
>>> Det lyder mærkeligt - så vidt jeg ved blokerer alle
>>> almindelige firewalls som standard for indgående
>>> forespørgsler på port 80.
>
>> Der tager du fejl almindelig forespørgsler via http blokeres
>> ikke, hvis der er en webserver installeret
>
> Det er muligt at installationsprocessen for webserveren sørger for
> at slå blokeringen fra. Det virker bare mærkeligt hvis det foregår
> uden at brugeren informeres.
>
Det tvivler jeg på den gør men kan ikke udelukke det, for jeg installerer
normalt webserveren sammen med windows i unattended mode. Så når maskinen
kommer op første gang så er den installeret og på XP er der åbent for
indgående kald til og med SP2 en af opdateringer herefter vil lukke delvist,
nemlig for https kald, hvilken er jeg ikke helt klar over.
Dernæst kan der også
> godt være fri adgang for kald fra samme maskine (så man kan benytte
> en webserver lokalt på maskinen). Men alle kald udefra er som
> standard blokeret.
Da jeg efter at have installeret Windows og Office og satte maskinen online
for at hente de opdateringer der ikke allerede var prepatched testede jeg om
webserveren virkede med min eksterne IP adresse og der var hul i første
forsøg. Så der var altså ingen blokering af indgående HTTP kald på port 80.
Men jeg vil ikke udelukke at det er fordi jeg installerer ISS sammen med
Windows.
Selv om XP's Firewall tilsyneladende er rimeligt efffektiv, så er den
samtidig også værdiløs, i den forstand, at den blot blokerer uden at sige et
kvæk. Alle andre jeg har prøvet giver en, en advarsel når der sker noget og
det tager normalt mellem to til fire uger inden man har sat grænserne for
hvad man vil vide og hvad man ikke vil vide. Som standard, vil alle de
programmer jeg har haft lejlighed til at arbejde med, meget gerne fortælle
hvad de laver, hvilket kan være ret forstyrrende, til gengæld ved man, at de
virker efter hensigten
Men jeg tror vi taler forbi hinanden, interne adresser kan altid tilgåes,
selv om man har lukket for alle porte og kører i stealth mode. Eksterne
adresser kan tilgåes hvis der er åbnet for tcp/ip, udp, og http både ind og
udgående over port 80, alt andet kan godt være usynligt alligevel. Det
største hul i firewalls er brugerne
"Jeg skal bruge dette program, så
selvfølgelig må det alt." Og ladeporten er blevet åbnet, så man kan køre en
dobbeltdækker bus ind uden at slå sidespejlene ind
Hvis ikke Firewallen angiver andet, så får man ikke engang en fejlside, hvis
man forsøger at kalde en kendt side på en kendt adresse, når alt er lukket
og slukket, Fejlsider administres af webserveren og hvis den ligger bag
firewallen, så kan den logisk nok ikke svare, for der intet hul til den
Med venlig hilsen
Johnny Winther Ronnenberg