|
| Hjælp til config. Fra : Henrik Pedersen |
Dato : 15-01-06 10:14 |
|
Ja, så er det mig igen.
Nu har jeg fået hul igennem på min Cisco router - men nu skal jeg have sat
Firewall delen op.
Jeg har en Small Business Server 2003 som fungere som DC, Exchange Server,
FTP Server - ja, alt det der. Og før havde jeg bare ét netkort i og en
Linksys router på samme net, som var sat op til uPNP. Dette fungere fint med
at SBS'ens firewall-del og routerens portconfig. snakkede sammen.
Men nu, hvor der er kommet en (rigtig) Cisco router på, så kan jeg jo ikke
umiddelbart se noget med uPNP. Og jeg har læst mig til i Cisco's material,
at skal man have mail, http, ftp osv. kørende, så skal man lave en DMZ. Og
så er det mit spørgsmål kommer...skal jeg så have 2 netkort i min server -
ét til det lokale net (f.eks. 192.168.1.x) og ét til min DMZ (f.eks.
192.168.2.x)?
Og i givet fald - kan serveren så automatisk finde ud af, hvilket netkort
den skal køre de forskellige ting på?
--
Med venlig hilsen / Best regards
Henrik Pedersen
--------------------------------------------------
Fjern SPAM fra mailadresse /
Remove SPAM from mailadress
| |
Asbjorn Hojmark (15-01-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-01-06 11:06 |
|
On Sun, 15 Jan 2006 10:14:20 +0100, "Henrik Pedersen"
<hp@SPAMbeone.dk> wrote:
> Men nu, hvor der er kommet en (rigtig) Cisco router på, så kan jeg
> jo ikke umiddelbart se noget med uPNP.
Nej, den understøtter ikke uPNP. Der er ikke mange, der synes det er
en fin idé at 'tilfældige' maskiner konfigurerer om i ens sikkerheds-
udstyr (routere og firewalls).
> Og jeg har læst mig til i Cisco's material, at skal man have mail,
> http, ftp osv. kørende, så skal man lave en DMZ.
Man *skal* ikke, men det er god karma at gøre det. Så har man en
maskine stående der, som er 'expendable': Hvis den skulle blive
kompromiteret, går det i det mindste kun ud over den, og ikke de
maskiner, man har på det interne net.
Men man *kan* som sagt sagtens have serverne på det interne net.
> Og så er det mit spørgsmål kommer...skal jeg så have 2 netkort i
> min server - ét til det lokale net (f.eks. 192.168.1.x) og ét til
> min DMZ (f.eks. 192.168.2.x)?
Det bliver at gå over åen efter vand. Det bliver ikke mere sikkert af
at bruge to netkort i samme server. (Det er ligegyldigt, om den bliver
kompromitteret via det ene eller det andet netkort). DMZ giver kun
rigtig mening med flere separate servere.
-A
| |
Henrik Pedersen (15-01-2006)
| Kommentar Fra : Henrik Pedersen |
Dato : 15-01-06 13:03 |
|
> Det bliver at gå over åen efter vand. Det bliver ikke mere sikkert af
> at bruge to netkort i samme server. (Det er ligegyldigt, om den bliver
> kompromitteret via det ene eller det andet netkort). DMZ giver kun
> rigtig mening med flere separate servere.
OK - og eftersom jeg p.t. kun har én server, så har jeg knoklet lidt med, at
få åbnet for de forskellige port i NAT'en og Firewallen. Det ser umiddelbart
ud til at virke nu - i hvert fald udefra....men ikke indefra....
....eller det vil sige, at det fungere fint nok, når man henvender sig til
eksterne sites, men prøver man at fange vores eget site, Intranet eller
andre ting som ligger internt, så får man bare login-tingen til Cisco
routeren. Det har virket fint før og jeg har ikke ændret noget i serverens
DNS efter den nye router er kommet på (den har iøvrigt samme IP som den
gamle router). Skal der sættes noget op i den nye router eller...???
Det andet problem jeg har - udefra - er, at jeg ikke kan komme ind på
https-sider mens http-sider virker fint. F.eks. vores egen webmail, som er
en https-side. Skal der også her åbnes for noget bestemt - og i givet fald
hvad?
Takker på forhånd for de gode svar - og ligeledes tak for hjælpen jeg
allerede har fået :)
--
Med venlig hilsen / Best regards
Henrik Pedersen
--------------------------------------------------
Fjern SPAM fra mailadresse /
Remove SPAM from mailadress
| |
Henrik Pedersen (15-01-2006)
| Kommentar Fra : Henrik Pedersen |
Dato : 15-01-06 13:12 |
|
> Det andet problem jeg har - udefra - er, at jeg ikke kan komme ind på
> https-sider mens http-sider virker fint. F.eks. vores egen webmail, som er
> en https-side. Skal der også her åbnes for noget bestemt - og i givet fald
> hvad?
Sorry - mig der lige havde glemt, at åbne for port 443 (SSL) :)
My bad...
--
Med venlig hilsen / Best regards
Henrik Pedersen
--------------------------------------------------
Fjern SPAM fra mailadresse /
Remove SPAM from mailadress
| |
Asbjorn Hojmark (15-01-2006)
| Kommentar Fra : Asbjorn Hojmark |
Dato : 15-01-06 13:59 |
|
On Sun, 15 Jan 2006 13:03:20 +0100, "Henrik Pedersen"
<hp@SPAMbeone.dk> wrote:
> OK - og eftersom jeg p.t. kun har én server, så har jeg knoklet lidt
> med, at få åbnet for de forskellige port i NAT'en og Firewallen. Det
> ser umiddelbart ud til at virke nu - i hvert fald udefra....men ikke
> indefra....
Når du connecter indefra, skal du bruge den interne adresse, ikke den
eksterne.
-A
| |
|
|