---

Hej

Hvordan lukker man for de 3 omtalte porte, og hvad er konsekvensen for min
printer som jo gerne skulle virke på mit netværk ?
Bruger WinXP på client maskinerne og Win98SE på min lille server med
Zonealarm Pro.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.

---

rea721 <leon@721.dk> wrote:
> Hvordan lukker man for de 3 omtalte porte, og hvad er konsekvensen for min
> printer som jo gerne skulle virke på mit netværk ?
> Bruger WinXP på client maskinerne og Win98SE på min lille server med
> Zonealarm Pro.

Det er netop i denne situation hvor en personlige firewall er nyttig.
Find een der ikke kun giver dig "hoej", "medium" og "lav" at vaelge
imellem, og fortael den, at den skal blokere trafik til de paagaeldende
porte, medmindre trafikken er fra din anden maskine.

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

Alex Holst wrote:

> Det er netop i denne situation hvor en personlige firewall er nyttig.

Er der nogen mulighed for at spære for disse porte uden en firewall ?


--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.

---

rea721 <leon@721.dk> wrote:
> Alex Holst wrote:
>
>> Det er netop i denne situation hvor en personlige firewall er nyttig.
>
> Er der nogen mulighed for at spære for disse porte uden en firewall ?

Ikke uden at din printer holder op med at virke. Hvis du har en router
fra din internet udbyder kan det vaere den kan filtre de rigtige porte
for dig.

Hvordan er maskinerne forbundet til nettet?

--
I prefer the dark of the night, after midnight and before four-thirty,
when it's more bare, more hollow. http://a.mongers.org

---

"Alex Holst" <a@mongers.org> wrote in message
news:eijrg-1ne.ln1@miracle.mongers.org...
> rea721 <leon@721.dk> wrote:
> > Alex Holst wrote:
> >
> >> Det er netop i denne situation hvor en personlige firewall er nyttig.
> >
> > Er der nogen mulighed for at spære for disse porte uden en firewall ?
>
> Ikke uden at din printer holder op med at virke. Hvis du har en router

Det gælder vel kun hvis der benyttes IP-print eller printershare med netbios
over IP.
Med et så lille net, som der her er tale om, kunne man vel blot blokere for
IP-portene og så lade de lokale shares kører over netbøvs.

vh
Jan

---

Alex Holst wrote:

> Ikke uden at din printer holder op med at virke. Hvis du har en router
> fra din internet udbyder kan det vaere den kan filtre de rigtige porte
> for dig.

Det har jeg ikke

Vil lige sige tak for alle svarene her indtil kl 14:00, og kan godt se at
der er noget stof man skal sætte sig godt ind i Som det nok fremgår er
jeg ikke en ørn til den slags...og slet ikke Linux

> Hvordan er maskinerne forbundet til nettet?

ADSL Netexpress med Atm kort på Win98SE med Zonealarm Pro hvor jeg bruger
Winroute pro, der er ligeledes en lille hub med mulighed for fem
tilslutninger. Udover økonomi bruger jeg kun Win98 på serveren fordi min
printer HP PSC 500 ikke kan køre under XP med Scanner delen, som jeg bruger
en del.

2 maskiner med Win XP , en bærbar med Win Xp Pro og en bærbar med Win
millenium er tilsluttet via hubben.

Alt virker perfekt..... lige bortset fra at jeg kunne se at Port 137+138 og
139 ser ud til at være piv åbne efter et check på sygates hjemmeside, og det
bekymre mig naturligvis.

Den løsning jeg søger efter er i første omgang at få lukket for disse porte
for adgang udefra, så jeg stadigvæk kan bruge printeren på lokal nettet.

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.

---

rea721 wrote:

> > Det er netop i denne situation hvor en personlige firewall er nyttig.
>
> Er der nogen mulighed for at spære for disse porte uden en firewall ?

Hvis du har en router kan du forwarde dem til et ipnummer du ikke
benytter. Hvis jeg en dag sætter en maskine op med ipnummer
10.0.0.123 så får den et seriøst sikkerhedsproblem..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

Den Sat, 01 Feb 2003 02:27:55 +0100 skrev Thomas Strandtoft:
>rea721 wrote:
>
>> > Det er netop i denne situation hvor en personlige firewall er nyttig.
>>
>> Er der nogen mulighed for at spære for disse porte uden en firewall ?
>
>Hvis du har en router kan du forwarde dem til et ipnummer du ikke
>benytter. Hvis jeg en dag sætter en maskine op med ipnummer
>10.0.0.123 så får den et seriøst sikkerhedsproblem..

Hvad med at få den til at holde op med at forware dem i stedet for?

Som det er nu, skal en angriber blot have chancen for at køre en enkelt
fil på din PC, som ændrer dit ip-nummer til .123, og så har du et
seriøst sikkerhedsproblem, helt uden at du opdager det.

Lukker du for trafikken, så er han nødt til at gå efter routeren. Der er
altså kun et (potentielt) svagt punkt i opsætningen.

Forwarder du trafikken som nu, kan han enten gå efter routeren - og
rette hvor trafikken bliver forwardet hen - eller gå efter PC'en, og
ændre ip-nummeret. To (potentielt) svage punkter i opsætningen.

Jo flere svage punkter du har i din opsætning, jo større risiko er der
for at nogen kommer igennem.

Mvh
Kent
--
You haven't seen _multitasking_ until you've seen Doom and
Quake run side by side

---

Kent Friis wrote:

> >Hvis du har en router kan du forwarde dem til et ipnummer du ikke
> >benytter. Hvis jeg en dag sætter en maskine op med ipnummer
> >10.0.0.123 så får den et seriøst sikkerhedsproblem..
>
> Hvad med at få den til at holde op med at forware dem i stedet for?

Du har helt ret. Mit problem lå i at min router syntes det var en
god ide at holde åbent for telnet udefra. Jeg fjernede NAT for
port 23, men alligevel kunne man nå porten. Til sidst sagde jeg
"hul i det" og lod port 23 ramme et fiktivt ipnummer.. En eller
anden dag skal jeg have hullet lukket korrekt..

> Jo flere svage punkter du har i din opsætning, jo større risiko er der
> for at nogen kommer igennem.

Enig..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

"rea721" <leon@721.dk> wrote in message
news:3e3b1dac$0$83846$edfadb0f@dtext01.news.tele.dk...

> Er der nogen mulighed for at spære for disse porte uden en firewall ?

W2K og XP: Ja.
Win98/95: Nej, ikke umiddelbart.

---

rea721 wrote:
> Alex Holst wrote:
>
>> Det er netop i denne situation hvor en personlige firewall er nyttig.
>
> Er der nogen mulighed for at spære for disse porte uden en firewall ?

I Win98 fjern "bindinger" under TCP, og svar nej til "du har ikke
bundet..., vil du angive en binding nu". Og så selvf. slå deling af
filer+printer fra.

Men så er det slået helt fra.

--
Don't waste space

---

Thomas Corell <intheNOSPAMnews@corell.dk> wrote:

>I Win98 fjern "bindinger" under TCP, og svar nej til "du har ikke
>bundet..., vil du angive en binding nu". Og så selvf. slå deling af
>filer+printer fra.

Fantastisk. En snes indlaeg i traaden og kun et enkelt af dem
indeholder dette simple, korrekte og velkendte svar.

>Men så er det slået helt fra.

Her hopper kaeden dog af. Rea har 2 netkort, et til lokalnet og
et til Internettet. Han skal naturligvis kun fjerne bindingen for
Internet-netkortet, og saa er der stadig adgang til at printe fra
lokalnettet.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Allan Olesen wrote:

> Her hopper kaeden dog af. Rea har 2 netkort, et til lokalnet og
> et til Internettet. Han skal naturligvis kun fjerne bindingen for
> Internet-netkortet, og saa er der stadig adgang til at printe fra
> lokalnettet.

Hvis man så har mere end en maskine på lokalnettet, skal man så
køre med to netkort i alle og dobbelt kabelføring?? Hvis man lader
en maskine varetage routerfunktionen til de øvrige er man jo lige
vidt..

--
Hygge..
Thomas

<http://www.carftp.com> - a library of car videos.

---

In article <3E3BE111.8E347664@anderledes.dk>, Thomas Strandtoft wrote:
> Allan Olesen wrote:
>
>> Her hopper kaeden dog af. Rea har 2 netkort, et til lokalnet og
>> et til Internettet. Han skal naturligvis kun fjerne bindingen for
>> Internet-netkortet, og saa er der stadig adgang til at printe fra
>> lokalnettet.
>
> Hvis man så har mere end en maskine på lokalnettet, skal man så
> køre med to netkort i alle og dobbelt kabelføring?? Hvis man lader
> en maskine varetage routerfunktionen til de øvrige er man jo lige
> vidt..

Det er kun routeren der bør have 2 netkort. Og det har den jo
da han kører ATM på ydersiden, og ethernet på indersiden.

Kan man fjerne bindinger fra et enkelt kort i Win95/98 ?
Kan ikke huste det, da jeg har brugt NT styresystemer til
de Windows servere jeg har haft multi-homed siden fordums
tid. Altså NT 3.51 og frem.

Alle disse ting er altså simplere med unix, uanset hvad
kommandoliniehadere synes.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

Povl H. Pedersen wrote:

> Kan man fjerne bindinger fra et enkelt kort i Win95/98 ?

Åbenbart ikke Jeg har liget fjernet bindinger fra Wan kortet, hvilket
resulterede i at kortet forsvandt efter reeboot... Så måtte jeg geninstalere
kortet, og fjernede fil og printerdeling, men den fjernede det fra alt...
godt nok var port 137,138 og 139 enten ikke eksisterende eller blokkerede,
men jeg kunne ikke printe eller får adgang til min servers HD fra de andre
computerer.

Så nu kikker jeg lidt på Winroute pro...om man kan Natte lidt den vej....
ellers er der jo nok kun den hårde vej

> Alle disse ting er altså simplere med unix, uanset hvad
> kommandoliniehadere synes.

Naaaa

--
Rea721 AKA Leon Andrea leon@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.

---

In article <3e3bfbda$0$83842$edfadb0f@dtext01.news.tele.dk>, rea721 wrote:
> Povl H. Pedersen wrote:
>
>> Kan man fjerne bindinger fra et enkelt kort i Win95/98 ?
>
> Åbenbart ikke Jeg har liget fjernet bindinger fra Wan kortet, hvilket
> resulterede i at kortet forsvandt efter reeboot... Så måtte jeg geninstalere
> kortet, og fjernede fil og printerdeling, men den fjernede det fra alt...
> godt nok var port 137,138 og 139 enten ikke eksisterende eller blokkerede,
> men jeg kunne ikke printe eller får adgang til min servers HD fra de andre
> computerer.
>
> Så nu kikker jeg lidt på Winroute pro...om man kan Natte lidt den vej....
> ellers er der jo nok kun den hårde vej

Personlige firewalls kan normalt konfigureres til at tillade
port 137-139 fra bestemte IP adresser, og ikke fra hele Internet.
Det er nok den simple løsning medmindre ....

>
>> Alle disse ting er altså simplere med unix, uanset hvad
>> kommandoliniehadere synes.
>
> Naaaa

Så skift til MacOS, der er det endnu lettere. Jeg forstår ikke
PC folk, først klager de over grafisk brugerinterface, siger man
ikke kan lave noget uden kommandolinie. Når de så får Windows,
så skælder de ud over noget andet. Det virker som en række af
dårlige undskyldninger for ikke at skifte til Mac.

MacOS X er en god unix. Og så er den mere brugervenlig end Windows.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local>
wrote:

>Kan man fjerne bindinger fra et enkelt kort i Win95/98 ?

Ja. IP-protokollen (som de af uransagelige aarsager kalder
TCP/IP) konfigureres saerskilt for hvert netkort. Hvorfor det
ikke vil lykkes for Rea, skal jeg ikke kunne sige.

Men Windows har efter sigende en uvane med at benytte enhver
lejlighed til at slaa bindingen til igen, fordi den simpelthen
ikke kan forstaa, at nogen kan finde paa at have et netkort uden
bindinger.

>Alle disse ting er altså simplere med unix

Ja. Hvis jeg ikke husker helt forkert, kraever det her desuden en
genstart af W98 (ligesom naar man foretager sig noget vildt
avanceret som at tilfoeje adressen paa en dns-server.)


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

Thomas Strandtoft <thomas.strandtoft@anderledes.dk> wrote:

>Hvis man så har mere end en maskine på lokalnettet, skal man så
>køre med to netkort i alle og dobbelt kabelføring?? Hvis man lader
>en maskine varetage routerfunktionen til de øvrige

Det goer Reas maskine allerede.

>er man jo lige vidt..

Lige saa vidt i forbindelse med adgang til port 137-139?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

In article <3e3aee6d$0$83832$edfadb0f@dtext01.news.tele.dk>, rea721 wrote:
> Hvordan lukker man for de 3 omtalte porte, og hvad er konsekvensen for min
> printer som jo gerne skulle virke på mit netværk ?

Du lukker de 3 omtalte porte ved at opgradere til Linux :)

Print kan køre på mange porte. Jeg har en lille printserver box
som bl.a. kører på port 9100.

> Bruger WinXP på client maskinerne og Win98SE på min lille server med
> Zonealarm Pro.

Jeg viulle normalt bruge XP fremfor Spillemaskine98 på en server.
Jeg kender ikke zonealarm, men kan du ikke sætte den op så kun
dine 2 klienter kan tilgå den på port 137-139 ?

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

Den Sat, 1 Feb 2003 09:43:18 +0000 (UTC) skrev Povl H. Pedersen:
>In article <3e3aee6d$0$83832$edfadb0f@dtext01.news.tele.dk>, rea721 wrote:
>> Hvordan lukker man for de 3 omtalte porte, og hvad er konsekvensen for min
>> printer som jo gerne skulle virke på mit netværk ?
>
>Du lukker de 3 omtalte porte ved at opgradere til Linux :)

Hvad skulle han lige få ud af det? Et system han ved endnu mindre om
hvordan man opsætter sikkert...

>Print kan køre på mange porte. Jeg har en lille printserver box
>som bl.a. kører på port 9100.

Og hvad hjælper det lige at ændre port-nummeret?

>> Bruger WinXP på client maskinerne og Win98SE på min lille server med
>> Zonealarm Pro.
>
>Jeg viulle normalt bruge XP fremfor Spillemaskine98 på en server.

RebootXP er da komplet uegnet til en server.

Windows 98 har ikke nær så mange services kørende i standard-
installationen som en windows XP har, og dermed er den også nemmere
at sikre (jeg mener det er cirka 3 krydser der skal fjernes for at
sikre en win98, på XP er det mange flere, incl. den berygtede UPNP).

Mvh
Kent
--
8:16pm up 2:37, 1 user, load average: 101.21, 95.46, 55.85
164 processes: 62 sleeping, 102 running, 0 zombie, 0 stopped

With XMMS tugging along nicely, playing Vivaldi...

---

In article <b1g5hm$qlq$1@sunsite.dk>, Kent Friis wrote:
> Den Sat, 1 Feb 2003 09:43:18 +0000 (UTC) skrev Povl H. Pedersen:
>>In article <3e3aee6d$0$83832$edfadb0f@dtext01.news.tele.dk>, rea721 wrote:
>>> Hvordan lukker man for de 3 omtalte porte, og hvad er konsekvensen for min
>>> printer som jo gerne skulle virke på mit netværk ?
>>
>>Du lukker de 3 omtalte porte ved at opgradere til Linux :)
>
> Hvad skulle han lige få ud af det? Et system han ved endnu mindre om
> hvordan man opsætter sikkert...
>
>>Print kan køre på mange porte. Jeg har en lille printserver box
>>som bl.a. kører på port 9100.
>
> Og hvad hjælper det lige at ændre port-nummeret?

Det var lige så meget for at sige at der er mange protokoller,
også til print. Port 9100 er alm. telnet style kommunikation
direkte med printeren.

>>> Bruger WinXP på client maskinerne og Win98SE på min lille server med
>>> Zonealarm Pro.
>>
>>Jeg viulle normalt bruge XP fremfor Spillemaskine98 på en server.
>
> RebootXP er da komplet uegnet til en server.
>
> Windows 98 har ikke nær så mange services kørende i standard-
> installationen som en windows XP har, og dermed er den også nemmere
> at sikre (jeg mener det er cirka 3 krydser der skal fjernes for at
> sikre en win98, på XP er det mange flere, incl. den berygtede UPNP).

XP starter du med at sige der ikke er nogen der har adgang = 1 kryds.

Win98 har ikke ordentlige adgangslister, ingen auditing etc, etc.

Og med XP over hele linien, så kunne han nøjes med at åbne op for
IPSec til serveren, og køre alt over IPSec.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

Den Sat, 1 Feb 2003 11:09:32 +0000 (UTC) skrev Povl H. Pedersen:
>In article <b1g5hm$qlq$1@sunsite.dk>, Kent Friis wrote:
>> Den Sat, 1 Feb 2003 09:43:18 +0000 (UTC) skrev Povl H. Pedersen:
>>>In article <3e3aee6d$0$83832$edfadb0f@dtext01.news.tele.dk>, rea721 wrote:
>>>> Hvordan lukker man for de 3 omtalte porte, og hvad er konsekvensen for min
>>>> printer som jo gerne skulle virke på mit netværk ?
>>>
>>>Du lukker de 3 omtalte porte ved at opgradere til Linux :)
>>
>> Hvad skulle han lige få ud af det? Et system han ved endnu mindre om
>> hvordan man opsætter sikkert...
>>
>>>Print kan køre på mange porte. Jeg har en lille printserver box
>>>som bl.a. kører på port 9100.
>>
>> Og hvad hjælper det lige at ændre port-nummeret?
>
>Det var lige så meget for at sige at der er mange protokoller,
>også til print. Port 9100 er alm. telnet style kommunikation
>direkte med printeren.

Alt hvad der kommer ind på port 9100 ryger direkte ud til printeren,
uden mulighed for nogen som helst form for sikkerhed.

>>>> Bruger WinXP på client maskinerne og Win98SE på min lille server med
>>>> Zonealarm Pro.
>>>
>>>Jeg viulle normalt bruge XP fremfor Spillemaskine98 på en server.
>>
>> RebootXP er da komplet uegnet til en server.
>>
>> Windows 98 har ikke nær så mange services kørende i standard-
>> installationen som en windows XP har, og dermed er den også nemmere
>> at sikre (jeg mener det er cirka 3 krydser der skal fjernes for at
>> sikre en win98, på XP er det mange flere, incl. den berygtede UPNP).
>
>XP starter du med at sige der ikke er nogen der har adgang = 1 kryds.

Og lukker det så også for UPNP og hvad der ellers er af underlige ting,
som man skal læse adskillige kb-artikler for overhovedet at finde ud
af hvordan man lukker for?

Eller lukker det kun for shares, som SVJH slet ikke er slået til på
win98?

>Win98 har ikke ordentlige adgangslister, ingen auditing etc, etc.

Hvad kan man bruge det til på en *lukket* maskine?

>Og med XP over hele linien, så kunne han nøjes med at åbne op for
>IPSec til serveren, og køre alt over IPSec.

Og så er vi ovre i noget man lige skal have en sikkerhedskonsulent til
at sætte op, til en høj timeløn oven i prisen for XP og en meget
kraftigere maskine.

Mvh
Kent
--
echo f 0:0 ffff 0 | debug

---

In article <b1gfmd$5oh$1@sunsite.dk>, Kent Friis wrote:
> Alt hvad der kommer ind på port 9100 ryger direkte ud til printeren,
> uden mulighed for nogen som helst form for sikkerhed.

Ikke korrekt. Det går til printerens fortolker. Du kan på
de fleste postscript printere smide kode på som sikrer at der
kun kommer ting ud der er sendt med et koorekt password.

>>XP starter du med at sige der ikke er nogen der har adgang = 1 kryds.
>
> Og lukker det så også for UPNP og hvad der ellers er af underlige ting,
> som man skal læse adskillige kb-artikler for overhovedet at finde ud
> af hvordan man lukker for?
>
> Eller lukker det kun for shares, som SVJH slet ikke er slået til på
> win98?

Næh, du kan lukke for al indkommende trafik, og dermed også
Universal-Pray-n-Pray

>>Win98 har ikke ordentlige adgangslister, ingen auditing etc, etc.
>
> Hvad kan man bruge det til på en *lukket* maskine?

Til at konstateret skadens omfang når den er sket eksepelvis.
Jeg tror ikke Win98 med en loaded TCP stack er lukket.

>>Og med XP over hele linien, så kunne han nøjes med at åbne op for
>>IPSec til serveren, og køre alt over IPSec.
>
> Og så er vi ovre i noget man lige skal have en sikkerhedskonsulent til
> at sætte op, til en høj timeløn oven i prisen for XP og en meget
> kraftigere maskine.

Nå. I XP er det lige ud ad landevejen.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

Den Sat, 1 Feb 2003 14:03:47 +0000 (UTC) skrev Povl H. Pedersen:
>In article <b1gfmd$5oh$1@sunsite.dk>, Kent Friis wrote:
>> Alt hvad der kommer ind på port 9100 ryger direkte ud til printeren,
>> uden mulighed for nogen som helst form for sikkerhed.
>
>Ikke korrekt. Det går til printerens fortolker. Du kan på
>de fleste postscript printere smide kode på som sikrer at der
>kun kommer ting ud der er sendt med et koorekt password.

Nu er postscript-printere et ret specielt tilfælde, idet de kan
programmeres til nærmest hvadsomhelst.

>>>XP starter du med at sige der ikke er nogen der har adgang = 1 kryds.
>>
>> Og lukker det så også for UPNP og hvad der ellers er af underlige ting,
>> som man skal læse adskillige kb-artikler for overhovedet at finde ud
>> af hvordan man lukker for?
>>
>> Eller lukker det kun for shares, som SVJH slet ikke er slået til på
>> win98?
>
>Næh, du kan lukke for al indkommende trafik, og dermed også
>Universal-Pray-n-Pray

Det lyder meget overraskende eftersom det tog lang tid fra XP kom ud
til folk kunne fortælle hvilke registry-keys man skulle ændre for at
slippe af med upnp.

>>>Win98 har ikke ordentlige adgangslister, ingen auditing etc, etc.
>>
>> Hvad kan man bruge det til på en *lukket* maskine?
>
>Til at konstateret skadens omfang når den er sket eksepelvis.

Ligesom forsikring frem for sikkerhedssele...

>Jeg tror ikke Win98 med en loaded TCP stack er lukket.

Hvis der ikke er noget der lytter, så er den lukket. Og lukker man
for netbios over tcp/ip så er der ikke noget der lytter - i modsætning
til NT-baserede systemer som XP, hvor der er en masse services der
lytter.

>>>Og med XP over hele linien, så kunne han nøjes med at åbne op for
>>>IPSec til serveren, og køre alt over IPSec.
>>
>> Og så er vi ovre i noget man lige skal have en sikkerhedskonsulent til
>> at sætte op, til en høj timeløn oven i prisen for XP og en meget
>> kraftigere maskine.
>
>Nå. I XP er det lige ud ad landevejen.

Det er muligt at du kan finde ud af det, men jeg går ud fra at manden
der havde problemet er en almindelig bruger, altså en der ved endnu
mindre end mig (har arbejdet 1 år som supporter og 3 år som programmør
på windows-platformen), og jeg kan ikke engang finde ud af det.

Mvh
Kent
--
Demokrati er lige som den 29. februar - begge dele forekommer
en gang hver fjerde år.

---

"rea721" <leon@721.dk> wrote in message
news:3e3aee6d$0$83832$edfadb0f@dtext01.news.tele.dk...

> Hvordan lukker man for de 3 omtalte porte, og hvad er konsekvensen for min
> printer som jo gerne skulle virke på mit netværk ?
> Bruger WinXP på client maskinerne og Win98SE på min lille server med
> Zonealarm Pro.

Win98+Zonealarm aner jeg ikke noget om.
På XP Pro kan du lukke ved at gå ind i egenskaber for
lokalnetværk->Egenskaber for
TCP/IP->Avanceret->Indstillinger->IP-filtrering, hvor du kan lukke/åbne for
porte.
Konsekvensen er at du ikke kan bruge netbios - dvs. shares for printere og
mapper mv. Det kan lade sig gøre, men nedsætter Windows funktionalitet på et
lokalnet gevaldigt.

Det er nok bedre at bruge en gateway, du kan beskytte end at lukke på de
enkelte maskiner.
Funktionelt er Smoothwall eller IPcop fine små firewalls, der kan køre på en
gammel udtjent maskine og kan downloades gratis. Her får du masser af
funktionalitet.
Alternativet kunne være en af de små HW-firewalls (egentligt noget vrøvl,
men det kaldes de), der IMHO væsentligst udmærker sig i forhold til
ovennævnte ved et mere moderat strømforbrug.
Hvis du er på ADSL kan du muligvis bruge din router til formålet.

vh
Jan

---

In article <3e3b9cfa$0$83847$edfadb0f@dtext01.news.tele.dk>, Jan Bøgh wrote:
> Alternativet kunne være en af de små HW-firewalls (egentligt noget vrøvl,
> men det kaldes de), der IMHO væsentligst udmærker sig i forhold til
> ovennævnte ved et mere moderat strømforbrug.

En HW-firewall er ikke noget vrøvl. Det er vel bare en dedikeret
æske som brugeren ikke kan se ind i.

Og der er ret billige, de starter vel under 500 kr ?

Selv Cisco PIX firewalls er jo bare x86 PC'ere med software.

> Hvis du er på ADSL kan du muligvis bruge din router til formålet.

Eller hvis du vil have wireless, så er der Wireless routers
som giver både firewall, 4-port switch og trådløst for omkring
en tusse.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnb3navk.q5.povlhp@povl-h-pedersens-computer.local...
> In article <3e3b9cfa$0$83847$edfadb0f@dtext01.news.tele.dk>, Jan Bøgh
wrote:
> > Alternativet kunne være en af de små HW-firewalls (egentligt noget
vrøvl,
> > men det kaldes de), der IMHO væsentligst udmærker sig i forhold til
> > ovennævnte ved et mere moderat strømforbrug.
>
> En HW-firewall er ikke noget vrøvl. Det er vel bare en dedikeret
> æske som brugeren ikke kan se ind i.

Og dermed er det stadigvæk noget vrøvl. Fordi jeg tager en PC og pakker den
ind uden tastatur og skærm, er det vel stadigvæk software, der er tale om.
Hvis man mener 'dedikeret' så kald det en dedikeret - HWfirewalls er IMHO
noget, der opføres i entrepenørbranchen.
Men diskussionen er vel primært semantisk og derfor næppe hjemme her.
Desværre støder jeg af og til på den opfattelse at det er substantielt bedre
at benytte en HW-FW - netop fordi den er lavet i HW 'og dermed er mere
sikker'.

> Selv Cisco PIX firewalls er jo bare x86 PC'ere med software.

Hvorved du IMHO bekræfter at talen om HW-FW er vrøvl.

> Eller hvis du vil have wireless, så er der Wireless routers
> som giver både firewall, 4-port switch og trådløst for omkring
> en tusse.

Er kommunikationen mellem router og netkort til den pris både sikker og
hurtig nok til at den er brugelig. I så fald vil jeg gerne vide hvilken
router, der er tale om. For jeg har ikke i sinde at levere internet til
naboer og forbifarende. Og når man nu åbenbart interesserer sig for
sikkerheden, må dette vel også omfatte kommunikation mellem PC og router.

vh
Jan

---

In article <3e3bbfc5$0$83824$edfadb0f@dtext01.news.tele.dk>, Jan Bøgh wrote:
>> Selv Cisco PIX firewalls er jo bare x86 PC'ere med software.
>
> Hvorved du IMHO bekræfter at talen om HW-FW er vrøvl.

Ordet appliance / appliance box er ikke rigtigt dansk.
Det er nok en af grundene til at man i Danmark har opfundet ordet
hardware FW.
>
>> Eller hvis du vil have wireless, så er der Wireless routers
>> som giver både firewall, 4-port switch og trådløst for omkring
>> en tusse.
>
> Er kommunikationen mellem router og netkort til den pris både sikker og
> hurtig nok til at den er brugelig. I så fald vil jeg gerne vide hvilken
> router, der er tale om. For jeg har ikke i sinde at levere internet til
> naboer og forbifarende. Og når man nu åbenbart interesserer sig for
> sikkerheden, må dette vel også omfatte kommunikation mellem PC og router.

En simpel test med en PC <-> Roter <-> PC, hvor routeren laver
port-forwarding af port 80 til serveren bag gav mig en
hastighed på ca. 890 - 900 kbyte/sek med 2 halvsløbe maskiner
(Server = 466 MHz Celeron med FreeBSD, Klient = 500MHz Apple iBook)
Samme test mellem 2 stk 100mbit porte i den indbyggede hub gav
en hastighed på 4.9 mbyte/s.

Det er ikke rocket science hastigheder, men vel hvad man kan
forvente af en halvsløv embedded ARM cpu. Og sammenlignet med
at en PIX 501 kun kan klare 10Mbit/s cleartext, så er det vel
OK at den er lige så hurtig :)

Boksen er en 3Com Wireless OfficeConnect Cable/DSL gateway, som
fik en del kritik af Toms Hardware. Jeg har ikke haft problemer,
og har noget højere hastighedere end han fik ud af den.

Den har dog den ulempe, at den kan konfigureres fra wireless siden,
og at wireless altid regnes som inderside. Men wireless kan
dog disables. Man kan også pille WLAN kortet ud af den :)

Prisen på denne boks er 1080 kr og op på edbpriser. Købte den
engang den var en hel del dyrere (næsten 2k).
--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
news:slrnb3nocc.r1.povlhp@povl-h-pedersens-computer.local...
> In article <3e3bbfc5$0$83824$edfadb0f@dtext01.news.tele.dk>, Jan Bøgh
wrote:

> > Er kommunikationen mellem router og netkort til den pris både sikker og
> > hurtig nok til at den er brugelig. I så fald vil jeg gerne vide hvilken
> > router, der er tale om. For jeg har ikke i sinde at levere internet til
> > naboer og forbifarende. Og når man nu åbenbart interesserer sig for
> > sikkerheden, må dette vel også omfatte kommunikation mellem PC og
router.

> at en PIX 501 kun kan klare 10Mbit/s cleartext, så er det vel
> OK at den er lige så hurtig :)

PIX'en bliver normalt kun anvendt ved adgang til WAN, hvor jeg ikke har mine
mappede drev, printere mv. Jeg vil ikke acceptere et LAN, der er så sløvt.
Og hvad sker der, når flere maskiner skal benytte wireless-accespointet?

Jeg mangler også lidt om sikkerhed - som sagt er jeg ikke indstillet på at
lukke naboens unge, der måske har en bærbar fra skolen med 802.11, direkte
ind på mit net. Og hvad sker der med hastigheden hvis man skal sikre
forbindelsen?


vh
Jan

---

In article <3e3cfdf4$0$83824$edfadb0f@dtext01.news.tele.dk>, Jan Bøgh wrote:
> "Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> wrote in message
> news:slrnb3nocc.r1.povlhp@povl-h-pedersens-computer.local...
>> In article <3e3bbfc5$0$83824$edfadb0f@dtext01.news.tele.dk>, Jan Bøgh
> wrote:
>
>> > Er kommunikationen mellem router og netkort til den pris både sikker og
>> > hurtig nok til at den er brugelig. I så fald vil jeg gerne vide hvilken
>> > router, der er tale om. For jeg har ikke i sinde at levere internet til
>> > naboer og forbifarende. Og når man nu åbenbart interesserer sig for
>> > sikkerheden, må dette vel også omfatte kommunikation mellem PC og
> router.
>
>> at en PIX 501 kun kan klare 10Mbit/s cleartext, så er det vel
>> OK at den er lige så hurtig :)
>
> PIX'en bliver normalt kun anvendt ved adgang til WAN, hvor jeg ikke har mine
> mappede drev, printere mv. Jeg vil ikke acceptere et LAN, der er så sløvt.
> Og hvad sker der, når flere maskiner skal benytte wireless-accespointet?
>
> Jeg mangler også lidt om sikkerhed - som sagt er jeg ikke indstillet på at
> lukke naboens unge, der måske har en bærbar fra skolen med 802.11, direkte
> ind på mit net. Og hvad sker der med hastigheden hvis man skal sikre
> forbindelsen?

Wireless delen er under alle omstændigheder langsom med 802.11b, der
er kun 5.5 mbit til rådighed i hver retning. En test med en wget fra
ethernet -> wlan viser i wget jævnligt hastigheder på 515-520 kbyte/s.

Men jeg konstaterede ved en 100 mbyte fil pauser ind imellem af
flere sekunders varighed. Ikke noget jeg har lagt mærke til før.

100 mbyte tager lige under 4 minutter i mine 3 tests. Så
100 * 1024 / 240 = ca. 430 kbyte/s.

Men med 20-30 Mbyte klumper uden pauserne hvor hastigheden derfor
var over 510 kbyte/s. Og det er en delhurtigere end Tom kunne opnå.

Ovenstående er alt med 128-bit WEP kryptering. Og en del bedre end
de maksimale 442 kbyte/s ukrypteret som Toms Hardware kunne presse ud af
den. Men det er muligt han har anvendt et kort der ikke var glad
med AP'et.

Jeg bruger primært wlan til Internet, og hvis jeg skal bruge en
100mbyte+ fil fra en af mine andre maskiner, så smider jeg lige
en ledning i.

--
To get blacklisted please mail to listme@listme.dsbl.org
Writing to the above address will blacklist your mailserver.
Hvis du skriver til ovenstående e-mail bliver din mailserver blacklistet.

---

"rea721" <leon@721.dk> wrote in message
news:3e3aee6d$0$83832$edfadb0f@dtext01.news.tele.dk...

Sikke mange svar uden at svare på problemet. Det er ganske simpelt, men det
er nok et eksempel på når folk bliver *for* meget eksperter =)

> Bruger WinXP på client maskinerne og Win98SE på min lille server med
> Zonealarm Pro.

Du har IKKE brug for at lukke portene på dine maskiner bag serveren. Du har
KUN brug for at lukke portene på din Win98 maskine (den er jo
serveren/routeren). Du har ZoneAlarm Pro på den maskine, og selvom det ikke
er et særligt godt program, så har det faktisk den funktion du skal bruge.
Under security settings kan du sætte *forskellige* settings for lokalt net
og Internet. Du vælger min. Medium sikkerhed under Internet og vælger
customize. Allernederst på den liste over options der kommer frem er
muligheden for at blokere specifikke UDP og TCP porte. Bloker de tre porte
her, og vupti så virker dit interne netværk, men der er ikke adgang til
NetBios udefra. Det er ikke smukt - men det er effektivt.

Håber det hjalp, hvis du stadig ikke har løst problemet (det er jo en gammel
tråd)

mvh
/Kasper
Som kun repræsenterer sig selv og ikke TDC

---

Kasper Bergh wrote:

> Sikke mange svar uden at svare på problemet. Det er ganske simpelt,
> men det er nok et eksempel på når folk bliver *for* meget eksperter =)

Ja, det er nok rigtigt.

> Håber det hjalp, hvis du stadig ikke har løst problemet (det er jo en
> gammel tråd)

Ja jeg havde ikke løst problemet, og nu er det delvist løst, for efter at
jeg lukkede (på serveren) for udgående UDP 137-139 var der ingen
forbindelse, men en scan fra http://scan.sygate.com fra client maskinen gik
lige igennem Har nu også instaleret ZA Pro på XP maskinen og leget lidt
med de instillinger....men uden held..der er stadig åbent for 137-139.

--
Rea721 AKA Leon Andrea rea@721.dk http://721.dk
Bevar Eskadrille 721 på Flyvestation Værløse
Den sidste operative Flyvestation på Sjælland.

---

"rea721" <leon@721.dk> wrote in message
news:3e4cfc81$0$11034$edfadb0f@dread12.news.tele.dk...
> Ja jeg havde ikke løst problemet, og nu er det delvist løst, for efter at
> jeg lukkede (på serveren) for udgående UDP 137-139 var der ingen
> forbindelse, men en scan fra http://scan.sygate.com fra client maskinen
gik
> lige igennem

Jeg vil skyde på at ZA er dybt forvirret og regner det netkort du bruger til
det interne net for dit internet kort, og omvendt. Har du prøvet at sætte
det op som jeg sagde, men bytte om så du stiller for det "interne" net i
stedet? Det er den eneste forklaring jeg kan se på de symptomer.

mvh
/Kasper
Som kun repræsenterer sig selv og ikke TDC

---

"Kasper Bergh" <kaz@want-no-spam-own.web.id> wrote in message
news:3e4cef07$0$139$edfadb0f@dtext02.news.tele.dk...
> "rea721" <leon@721.dk> wrote in message
> news:3e3aee6d$0$83832$edfadb0f@dtext01.news.tele.dk...
>
> Sikke mange svar uden at svare på problemet. Det er ganske simpelt, men
det
> er nok et eksempel på når folk bliver *for* meget eksperter =)

Næh, det er blot en bekræftelse på at usenet /ikke/ er en gratis
konsulenttjeneste, men et sted, hvor debatten foregår på de deltagenes
præmisser - ikke på spørgerens. Men derfor kan man jo godt ind imellem få
svar på det, der spørges om - oven i købet rigtig gode svar, selvom de af og
til kræver lidt af modtageren.
(Ja, jeg så godt den blinde smiley)

vh
Jan

---

"Jan Bøgh" <jan@boegh-dot-net> wrote in message
news:3e4d2b1d$0$148$edfadb0f@dtext01.news.tele.dk...
> Næh, det er blot en bekræftelse på at usenet /ikke/ er en gratis
> konsulenttjeneste, men et sted, hvor debatten foregår på de deltagenes
> præmisser - ikke på spørgerens. Men derfor kan man jo godt ind imellem få
> svar på det, der spørges om - oven i købet rigtig gode svar, selvom de af
og
> til kræver lidt af modtageren.

100% enig, og det er en af de bedste ting ved Usenet efter min mening -
nogen gange fører debatten til et meget bedre svar end det mest simple. Men
derfor er der jo ikke noget galt i at give det simple svar og så se om
debatten fører til noget bedre ;)

mvh
/Kasper
Som kun repræsenterer sig selv og ikke TDC

---

"Kasper Bergh" <kaz@want-no-spam-own.web.id> wrote:

>Men
>derfor er der jo ikke noget galt i at give det simple svar og så se om
>debatten fører til noget bedre ;)

Det simple og korrekte svar var for laengst givet af Thomas
Correl. Jeg ved ikke, hvorfor du havde overset det.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3e4f5179$0$150$edfadb0f@dtext01.news.tele.dk...
> Det simple og korrekte svar var for laengst givet af Thomas
> Correl. Jeg ved ikke, hvorfor du havde overset det.

Det eneste svar jeg kan se af den herre er:
news:slrnb3n8os.2iu5.intheNOSPAMnews@mail.corell.dk

Det forekommer mig ikke at løse det givne problem, idet fil- og
printerdeling bliver foreslået totalt fjernet, og da computeren netop skal
tjene som printserver er det jo - undskyld udtrykket - ret fjollet. Såfremt
TC har skrevet et andet indlæg i denne tråd kan jeg ikke se det.

mvh
/Kasper
Som kun repræsenterer sig selv og ikke TDC

---

"Kasper Bergh" <kaz@want-no-spam-own.web.id> wrote:

>Det forekommer mig ikke at løse det givne problem, idet fil- og
>printerdeling bliver foreslået totalt fjernet,

Ja, det bliver fjernet paa det interface, der vender ud mod
Internettet. Hvilket behov mener du da, man har for det der?


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.

---

"Allan Olesen" <aolesen@post3.tele.dk> wrote in message
news:3e4fa587$0$144$edfadb0f@dtext01.news.tele.dk...
> >Det forekommer mig ikke at løse det givne problem, idet fil- og
> >printerdeling bliver foreslået totalt fjernet,
>
> Ja, det bliver fjernet paa det interface, der vender ud mod
> Internettet. Hvilket behov mener du da, man har for det der?

Det var ikke det der fremgik af det pågældende indlæg, og desuden havde
dette været forsøgt uden held af den person der stillede det oprindelige
spørgsmål, plus som du selv påpeger kan det være et problem at Windows slår
disse bindinger til igen. Dermed er det jo ikke sikkerhedsmæssigt
forsvarligt, når man ikke kan regne med at det forbliver lukket. Jeg er klar
over det er den teoretisk "bedste" måde, men jeg vil fastholde at min
løsning er mere effektiv, omend mindre "køn".

mvh
/Kasper
Som kun repræsenterer sig selv og ikke TDC

---

"Kasper Bergh" <kaz@want-no-spam-own.web.id> wrote:

>Det var ikke det der fremgik af det pågældende indlæg,

Jeg havde ingen problemer med at forstaa, at det var det, der var
meningen.

>og desuden havde
>dette været forsøgt uden held af den person der stillede det oprindelige
>spørgsmål,

Saa har han gjort noget forkert.

>plus som du selv påpeger kan det være et problem at Windows slår
>disse bindinger til igen. Dermed er det jo ikke sikkerhedsmæssigt
>forsvarligt, når man ikke kan regne med at det forbliver lukket.

ZA har efter sigende haft mindst en sikkerhedsbrist, der kunne
udnyttes udefra. Intet er sikkert.

Men loeser man problemet med Thomas Correls metode, har man da i
det mindste selv lidt styr over, hvornaar man sidenhen
kompromitterer sin sikkerhed ved at pilleroderage.

>Jeg er klar
>over det er den teoretisk "bedste" måde, men jeg vil fastholde at min
>løsning er mere effektiv, omend mindre "køn".

Vi kan blive enige om foerste og sidste del af den saetning.


--
Allan Olesen, Lunderskov.
Danske musikere tjener penge ved ulovlig softwarekopiering.