Willkommen bei Willkommen im Support Forum von Wolfgang Utz
Search
Topics
  Email an den Sysop Home  ·  Login/Account  ·  Forums  ·  Treiber  
support.longshine.de :: Thema anzeigen - LCS-IR2114 Aufzucht unf Hege
  •  Gruppen  •  FAQ  •  Ränge  •  Regeln  •  Smilies Liste  •  Statistik  •  Unser team  •


  •  Hauptseite  •  Suche  •  Profil Bearbeiten  •  Mitglieder Liste  •  Private Nachrichten  •  Favorites  •  Login  •   

LCS-IR2114 Aufzucht unf Hege

 
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Printable Version
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
admin
admin
admin
Status: Offline

Dabei seit: Aug 18, 2005
Beiträge: 689
Wohnort: Hamburg

Level: 23
HP: 12 / 1225  
 1%
MP: 585 / 585  
 100%
EXP: 56 / 65  
 86%
BeitragVerfasst am: Mi Aug 24, 2005 10:31 am    Titel: LCS-IR2114 Aufzucht unf Hege Antworten mit Zitat

Diese Anleitung ist als Hilfestellung gedacht nicht als Bestseller zu verstehen.



Anleitung zum Einrichten eines Routers LCS-IR2114


Der LCS-IR-2114 wird in der Werkseinstellung mit der IP 192.168.1.254 ausgeliefert.

Login =
Pass =

Wenn das Passwort im Router geändert worden ist muss das "Login Eingabefeld" frei bleiben

Der LCS-IR-2114 ist ein Router der den meisten Anforderungen wohl genügen sollte. Beim einloggen kann links oben der Wizard benutzt werden. Auf den gehe ich nicht weiter ein.

Beim klicken auf den "Internet Port"


Zuerst das Protocol PPPoE wählten. Static ist für eine Standleitung. PPTP benutzen einige Provider als Protocol. Ist in Deutschland aber nicht sehr verbreitet.





Für alle die keine Flaterate haben ist der Router nicht die beste Wahl. Der Router kann nicht so eingerichtet werden das er "manuell" an oder aus gestellt werden kann. Dazu sollte der Netzstecker gezogen werden. Wer mit der"Idle Time" arbeitet sollte den Router am ersten Tag über den Browser beobachten ( Status ). Gemeint sind Volume oder Zeit-Tarife wo der router nicht permanent online sein soll. Die Betriebssysteme sind sehr gesprächig. Gleiches gibt für Virenscanner etc. Die machen bei einer Idle Time von 120 min. aus dem Router eine Standleitung.




Adapter Address braucht man nur zum Clonen der MAC-Adresse wenn es vom Provider vorgegeben worden ist.

Devicename und Domäne kann man angeben. birgt aber auch keine Vorteile. Ich lasse diese Felder immer leer.

Bei diesem Router können drei verschiedene Profile hinterlegt werden. Das macht sind bei dem berühmten Mitbenutzer Suffix von der Telecom.

Hat die Telecom überhaupt noch Kunden?

Jetzt Username und Passwort eintragen.

Als nächstes kommt jetzt das Login . Hier Beispiele...

Aufbau bei T-Online
Beispiel 1 (alte Teilnehmernummer - identisch mit Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer: 02415678941
Mitbenutzernummer: 0001
Ergebnis: 00056890123402415678941#0001@t-online.de

Beispiel 2 (neue Teilnehmernummer - nicht identisch mit Telefonnummer):
Anschlußkennung: 000568901234
Teilnehmernummer: 2345678901
Mitbenutzernummer: 0001
Ergebnis: 0005689012340123456789010001@t-online.de

Im Beispiel 2 besteht die neue Teilnehmernummer aus 12 Ziffern. In diesem Fall (Teilnehmernummer = 12 Ziffern) entfällt das Zeichen # (die Raute) zwischen Teilnehmernummer und Mitbenutzernummer.
Aber keine Regel ohne Ausnahme: Lt. einzelner Userberichte muß auch hier manchmal trotzdem die # eingefügt werden? Ich selber kann dies aber nicht bestätigen!

Wichtig: Nach 9 “Fehleinwahlversuchen” (durch z.B. eine fehlerhafte T-Online-Benutzerkennung) ist bei T-Online der Zugang bis zum automatischen/manuellen Zurücksetzen gesperrt!

Aufbau bei 1&1
Beispiel 1: 1und1/1234-567
Beispiel 2: 1und1/1234-56@online.de
Anmerkung: Beides soll funktionieren

Aufbau bei Netcologne
Bei Netcologne muß ein "Name" (adsl-private oder adsl-business) bei der Einwahl mit übergeben werden. Dafür gibt es bei Routern unterschiedliche Eingabefelder - z.B. "PPPoE Service Name", "Host Name", "Service Name", usw. Bei einzelnen Router-Modellen ist eine Eingabe dieses "Parameters" aber auch (noch) nicht möglich #> diese Router funktionieren nicht mit Netcologne.
Auch gibt es bei Netcologne wohl DSL-Verträge/-Zugänge bei denen dieser zusätzliche “Name” nicht benötigt wird.

Aufbau bei Telekom BusinessOnline
BusinessOnline-Zugangsdaten für Router:
Präfix: t-online-com/
Suffix: @t-online-com.de
Benutzerkennung: 123456789
Die kompl. Benutzerkennung lautet dann: t-online-com/123456789@t-online-com.de

DNS-Server Telekom/T-Online
Falls man IP’s der verschiedenen Telekom/T-Online DNS-Server braucht, so kann man diese auf folgender Webseite abfragen: http://www.atelier89.de/users/dirk/t-o/010.html

Das Login bei AOL sollte folgender Maßen aussehen:

Login = Name@de.aol.com
Pass = 35R6765BTH

MRU,MTU und MSS?
A: MRU: Max Receive Unit, : Maximale Größe einen PPP- Packetes inklusive Overhead
MTU: Max Transmission Unit, : Maximale Größe des IP-Packetes
MSS: Max Segment Size, : Maximale Nutzlast eines TCP-Packetes
Die Begriffe sollte man nicht verwechseln, und sich auch nicht davon irritieren lassen, dass es in einem Falle Receive und im anderen Transmit heisst. Sie gehören zu verschiedenen Protokollschichten.

Normalerweise ist es völlig egal was man einstellt, aber bei PPPOE gibt es ein Problem:

Die maximale Packetgröße auf dem Ethernet ist 1514 Bytes, inklusive des MAC-Headers. In die nach Abzug des MAC-Headers verbleibenden 1500 Bytes muß das IP-Packet inklusive des PPP und PPPOE Overheads passen, man muß die MTU Size so definieren, daß das auch geht.

1500 - 6 Byte PPP - 2 Byte PPPOE gibt eine MTU von maximal 1492.

Die MTU wird von den höheren Protokollschichten dazu verwendendet, die maximale Nutzlast zu bestimmem (bei TCP ist das die MSS). Wenn man Masquerading/Routing benutzen möchte gibt es jedoch ein Problem: Die anderen Rechner im lokalen Lan haben normalerweise alle eine MTU von 1500, d.h. sie verschicken zu große IP-Packete und teilen bei TCP Connections der anderen Seite mit was sie als größtes Packet empfangen können. Wenn ein Router ein zu großes Packet über eine Schnittstelle mit kleinerer
MTU versenden möchte, sollte er es fragmentieren und der Anwender merkt davon nichts (ausser vielleicht am etwas niedrigeren Durchsatzes auf Grund des Overheads). Der T-DSL Router der Telekom
unterläßt das jedoch, und schmeißt zu große Antwortpackete von der anderen Seite einfach weg

Es gibt 2 Möglichkeiten dem Problem beizukommen:

1. Man ändert auf allen Rechnern im lokalen LAN die MTU auf 1492.
2. Beim Aufbau einer TCP-Connection reduziert der Router die ausgehandelte MSS auf 1420. (Dafür dient die MSS Option)
Selbst wenn der Bug bei der Telekom behoben wird, ist das wegen des kleineren Overheads sinnvoll (keine Fragmentierung nötig).

Noch eine Bemerkung: Die MSS Option wirkt nur bei TCP-Connections, und nicht bei UDP oder anderen Protokollen. Bei manchen Anwendungen kann deshalb Methode 1 erforderlich sein.

Die Clients im LAN senden mit einer Standard-MTU von 1500 und der Router routet diese Pakete einfach an das PPP-Device weiter. Es gibt 2 Möglichkeiten, den Fehler zu beheben: 1. Die MTU auf allen Clients im LAN muss auf 1492 gesetzt werden.
2. Die eingehenden Pakete aus dem LAN werden auf dem Router zerschnitten und neu mit der korrekten MTU wieder zusammengesetzt. Dieses Vorgehen nennt man MSSClamping (MSS = MTU - 40 Bytes TCP/IP-Header).


Achtung! Es wird hier die MSS angegeben (1492-40 Bytes TCP/IP-Header = 1452).

Seit neuestem empfiehlt Arcor als richtigen MTU & MRU Wert 1488

Siehe auch hier:

http://www.speedcheck.arcor.de/

T-Online arbeitet mit 1492

Also sollte jeder bei seinem Provider nachfragen. Ein typischer Fehler wäre kein Seitenaufbau bei Ebay.

Static und DNS bleiben frei!!

Die "Idle Time" gibt an nach welcher Zeit der Router im Leerlauf die Verbindung unterbricht.

Auto-Reconnect entspricht einer Standleitung. Also Flaträte



Unter Local Port kann der Router in ein anderes Netzwerk wie z.B. 172.20.20.1 255.255.0.0 gebracht werden. Wie bei jedem Router wird natürlich auch hier wieder der DHCP Server eingestellt. Die Eingebe gestaltet sich sehr simple. Erst die IP eintragen ab wo der DHCP IP's verteilt. Dann nur noch die Angabe wieviel PS's im Netzwerk DHCP nutzen dürfen.

WINS (Windows Internet Name Service)-Dienst ist die veraltete Form vom heutigen DNS ( Domäne Name Services ).

Leer lassen



Unter Static conf. können IP's für Rechner reserviert werden. Das macht natürlich für Printserver,AP etc. Sinn.




Als erstes sollte man natürlich das "Admin Passwort" ändern. Bitte beachten dass das Passwort nicht länger als 6 Zeichen sein sollte!

Limit Managment Station = Hier kann man MAC-Adressen hinterlegen welche ausschliesslich nur den Router administrieren darf. Für Firmen ein guten Feature.

Block Internet Request. Damit lässt sich das Antworten auf PING unterdrücken. Der router ist quasi Unsichtbar im Internet.

Managment via Internet ist die Fernwartung. Beliebtes Tool für Systemhäuser die über die Fernwartung den Kunden Geld abknüpfen. Sollte der Router einen Webserver zur verfügung stellten sollte man ein Feld weiter den Port von 80 auf 81 legen.
Dann ist der Router wie folgt zu erreichen

http://192.168.1.254:81

FTP umrouten auf ein anderen Port sollte klar sein.




Firewall:


Port 139 ist der vermutlich in Suchmaschinen meist gesuchte und für Anwender von Firewalls gehasste Port, weil er bei Sicherheits-Scans geöffnet ist und scheinbar rätselhafte Dinge macht. Gefährlich ist er nicht, denn er gehört zur Gruppe der NetBIOS Ports, die durchaus sinnvolle Funktionen zur Verfügung stellen, allerdings auch für Angriffe genutzt werden können.

NetBIOS ist das 1981 für IBM entwickelte Net-Basic-Input-Output-System, mit dem Anwendungen die Möglichkeit des Aufbaus virtueller Transportverbindungen und der Verwaltung symbolischer Namen für Rechner im Netzwerk (so genannte NetBIOS-Namen) gegeben wird. Über das NetBIOS können zum Beispiel Ressourcen wie Drucker und Verzeichnisse für das Internet freigegeben werden. Abgewickelt wird dies über die Ports 135 bis 139. Was auf der einen Seite für interne Netzwerke hilfreich sein kann, öffnet Angreifern ein grosses Tor für Angriffe. Leichtsinnig für das Netz geöffnete Freigaben können also jederzeit auch ungebetene Gäste anlocken.

Die RPC- (Remote Procedure Call) -Endpunktzuordnung eröffnet dabei RPC-Clients über Port 135 die Möglichkeit, die Anschlussnummer zu ermitteln, die aktuell einem bestimmten RPC-Dienst zugeordnet ist. Der RPC ist ein Protokoll, das die Implementierung verteilter Anwendungen, also Netzwerkdienste vereinfachen soll. Ursprünglich von der Firma Xerox entwickelt, haben sich heute drei Standards etabliert:
ONC: Open Network Computing
NCA: Network Computing Architecture
DCE: Distributed Computing Environment

Wie der Name schon verdeutlicht, handelt es sich um eine Dienstleistung, die auf einem entfernten Rechner erbracht wird. Im Unterschied zu lokalen Prozeduraufrufen ergeben sich daraus zahlreiche Probleme:

Welcher Host bietet einen entsprechenden Dienst an?
Welches Transportprotokoll (TCP/UDP) soll verwendet werden?
Was ist bei Ausfall des Dienstanbieters (Server)?
Semantik des Aufrufs (genau, höchstens oder mindestens einmal)
Datendarstellung (Wortbreite, big endian, little endian)
Performance
Sicherheit

Neben den nützlichen Eigenschaften kann Port 135 aber auch von Angreifern benutzt werden, um vielleicht einen Rechner abstürzen zu lassen. Dazu kann der Angreifer zum Beispiel eine Verbindung über Telnet eine Verbindung zum RPC Dienst herstellen und einige Zeichen übergeben. 10 Zeichen reichen bereits aus, um die CPU auszulasten. Der Rechner ist dann nur noch mit einem Reboot zum Leben zu erwecken. Diese Attacke wird allgemein als RPC Attacke bezeichnet und spielt auch unter Windows2000 noch eine wesentliche Rolle, da die Funktionen weitestgehend von Version zu Version übernommen wurden.

Schließen lässt sich Port 135 sehr einfach, indem die Eigenschaften der DFÜ- und Netzwerkverbindungen geöffnet werden.

Dort wird das Internet Protokoll TCP/IP ausgewählt und die erweiterten Eigenschaften.

Im Register "WINS" wird das Häkchen an "NetBIOS über TCP/IP deaktivieren" gesetzt.

Die Ports 135 bis 139 sollten anschließend bei einem TCP Scan nicht mehr erscheinen beziehungsweise geschlossen sein.

Sinnvoll ist die Deaktivierung immer dann, wenn NetBIOS nicht benötigt wird. Neben einer Steigerung der Performance wird weniger Angriffsfläche für Datendiebstahl und Denial of Service Attacken gegeben, was den Rechner gesamt sicherer macht.

Wird NetBIOS benötigt, wenn zum Beispiel mehrere Rechner im LAN laufen und erhalten die LAN Rechner über das Internet Connection Sharing (ICS) Verbindung zum Internet, sollte die Netzstruktur neu überdacht und mit sicheren Komponenten aufgebaut werden. Möglich wird das zum Beispiel aus einer Kombination vom nicht routbaren NETBEUI Protokoll für die interne Rechner-Kommunikation und einem leistungsfähigen und kostenlosen Proxy-Server wie Jana Server. Die Einrichtung und Konfiguration ist auch nicht schwieriger als mit ICS, bietet dem Rechner aber weit mehr Sicherheit.

Denial of Service-Attacks
Eine der größten Gefahren im Internet stellen so genannte „Denial of Service-Attacks“ dar, bei diesen Attacken werden Rechner im Internet zu Absturz gebracht, die dann vorübergehend nicht zur Verfügung stehen, deshalb auch „Denial of Service“(Verweigerung des Dienstes). Eines haben fast alle Attacken gemein, sie nutzen die Löcher von schlecht programmierten TCP/IP- Protokollen aus. Hier sind die populärsten Attacken, wie sie Täglich im Netz vorkommen.
Email-Bombe
Der ältesten „Denial of Service-Attacks“ ist das inzwischen „klassische“ Email-Bombing. Hierzu wird ein Empfänger mit einer Vielzahl von gleichlautenden Emails regelrecht bombardiert, so daß das nächste Herunterladen der vorhandenen Emails zur Qual werden dürfte. Die Ausführung erzeugt aber noch ein anderes Opfer: Eine Mailbombe besteht im Prinzip aus einer einzigen Email, die an einen SMTP-Mailserver zur Ausführung geschickt wird. Diese Email hat jedoch die Besonderheit, dass sie die Email-Adresse des Opfers gleich mehrmals als Empfänger enthält. Der ausführende Mailserver hat bei entsprechend hoher Angabe von Empfängern ebenfalls entsprechend genug zu tun, diese Emails zu generieren und zu versenden.
Eine sehr unangenehme Variante des Email - Bombings ist die Anmeldung eines Opfers bei Unmengen von Mailinglisten. Das Opfer muss sich nämlich nach so einer Attacke mühsam aus allen angemeldeten Listen manuell wieder austragen.
Broadcast Storms
Broadcast Storms gehören ebenfalls schon zur älteren Generation von Denial of Service-Attacks. Sie richten besonders viel Schaden in lokalen Netzwerken an, in denen jeder Rechner als Gateway fungiert und die Netzwerktopologie nur mangelhaft gewartet wird.
An jeden Rechner wird bei einer Broadcast Storm-Attacke ein Strom an IP-Paketen geschickt, die allesamt an nichtexistierende Ziele adressiert sind. Wird dieser Datenstrom für mehrere Rechner innerhalb dieses Netzwerkes aufrechterhalten, ist das gesamte Netzwerk recht bald ziemlich lahmgelegt, da die Rechner die falsch adressierten Daten über die Gateways immer wieder in andere Subnetze verschieben.
Um die Problematik von Broadcast Storms zu vermeiden, ist eine ausgeklügelte und sorgfältige Planung des Netzwerks notwendig, um das Hängenbleiben von umherirrenden IP-Paketen von vornherein zu verhindern bzw. in kürzester Zeit zu eliminieren.
Out of Band-Packets (“das Nuken”)
Nahezu schon legendäre Denial of Service-Attacks sind das sogenannte „Nuken“. Hierzu werden spezielle IP-Pakete, die ein besonderes Merkmal haben, an einen Rechner geschickt. Entsprechend ungesicherte Betriebssysteme (Versionen von Windows und Linux) quittieren den Empfang solcher Pakete mit dem völligen Systemstillstand. Inzwischen existieren für (fast) alle betroffenen Betriebssysteme geeignete Patches, die diesen Fehler eliminieren.
Out of Band-Packets bestehen aus einem speziellen UDP-Paket, daß gewöhnlich an den Port 139 (NetBIOS-Port) gesendet wird, da dieser standardmäßig bei vielen Computern geöffnet ist. Prinzipiell funktioniert es aber auch mit allen anderen Ports, die für Datenempfang standardmäßig geöffnet sind. Die Wirkungsweise liegt nun darin, dass ein ungesichertes Betriebssystem mit Out of Band-Informationen nichts anfangen kann und in einer "panikartigen" Reaktion im ungünstigsten Fall die aktuelle Sitzung mit einem Systemabsturz beendet.
TCP Syn Flooding (“Land Attacks”)
Diese Attacke nutzt ein Feature von TCP aus: Bevor eine Verbindung zwischen zwei Rechnern aufgebaut wird, sendet der Absender spezielle IP-Pakete an den Empfänger, um eine Verbindung anzukündigen. Der Empfänger sendet dann ein Antwort-Paket zurück an den Absender und erwartet von ihm eine Empfangsbestätigung.
Führt nun ein Absender eine TCP Syn Flooding-Attacke aus, sendet er nicht, wie vom Empfänger erwartet, ein ACK-Paket aus, sondern bombardiert den Empfänger weiterhin mit SYN-Paketen. Der Empfänger quittiert wacker alle diese SYN-Pakete. Hier tritt nun der Fehler bei entsprechend fehlerhaften TCP-Implementierungen auf, die bei einem weiteren SYN-Paket nicht nur für das gerade empfangene SYN-Paket eine ACK-Anforderung verschicken, sondern auch für alle bisher empfangenen. Auf die Weise erzeugt der Empfänger-Rechner recht schnell eine hohe Datenflut und ist für die Zeit komplett ausgelastet.
Large Packet-Attacks (“der Ping of Death”)
Ein weiterer, besonders hinterhältiger Veteran der „Denial of Service-Attacks“ sind die „Large Packet-Attacks“, „der Ping of Death“ genannt (obwohl die Attacke nichts mit dem eigentlichen „Ping“ zu tun hat).
Die Wirkungsweise von „Large Packet-Attacks“ ist zugleich einfach und fatal: Das IP-Protokoll verpackt alle Daten beim Absender in 64 kB große Päckchen. Diese werden jedoch protokollintern vor der Übertragung in kleinere Päckchen zerlegt, um sie einfacher übertragen zu können (fragmentieren). Beim Empfängerrechner werden diese einzelnen Päckchen wieder zusammengefügt (reassemblieren), allerdings erst, wenn alle Einzelteile vorliegen. Ist das ankommende Paket am Ende größer als 64 kB, läuft ein interner Speicherpuffer über und bringt im ungünstigsten Fall den Rechner zum Absturz.
Ping Flooding
Das Ping Flooding gehört zu den Attacken, die keine Sicherheitslöcher ausnutzen. Pings werden benutzt, um die Erreichbarkeit von anderen Hosts im Netz zu prüfen. Ein “angepingter” Host quittiert hierzu einen Ping mit einer echoartigen Antwort.
Beim Ping Flooding wird ein Host jedoch mit unzähligen Ping-Anfragen bombardiert, die der Host dann natürlich alle bearbeitet (falls keine entsprechenden Mechanismen die Abarbeitung von rasch wiederholenden Ping-Anfragen verhindert) und entsprechend das eigene System und die Netzverbindung auslastet.
Ping Flooding ist einer der Attacken, die richtig teuer werden können: Wird eine Netzverbindung eines Hostes nämlich nach dem erzeugten Datenaufkommen abgerechnet, können teilweise horrende Summen entstehen.


Einführung
Wenn du versuchst, einen host (interface, eine Netzwerkschnittstelle) innerhalb eines Netzwerkes zu erreichen, kannst du drei verschiedene Arten von Adressen benutzen:
• unicast Adresse. Diese Art von Adresse bezieht sich auf einen alleinigen(es) host (interface) innerhalb eines Unternetzes. Ein Beispiel einer unicast Adresse ist 192.168.100.9. Ein Beispiel für eine unicast MAC Adresse ist, zum Beispiel, 80:C0:F6:A0:4A:B1.
• broadcast Adresse. Die Adresse erlaubt es, jeden host (jedes interface) innerhalb eines Unternetzes aufzurufen. Eine broadcast IP Adresse ist 192.168.100.255 und eine MAC broadcast ist FF:FF:FF:FF:FF:FF.
• multicast Adresse. Diese Art von Adresse erlaubt das Aufrufen einer speziellen Gruppe von hosts (interfaces) innerhalb des Unternetzes.

Multicast Adressen sind nützlich, wenn der Informationsempfänger nicht nur ein host ist und wir keinen Netzwerk-broadcast produzieren wollen. Dieses Szenario ist typisch in Situationen, die das Senden von Multimediainformationen (Echtzeitaudio oder -video, z.B.) zu einigen hosts erfordern. In Bandbreitenausdrücken gedacht, sind diese Fälle nicht das beste, um es als unicast zu jedem Client zu senden, der die Multimediaemmission empfangen möchte. Auch broadcast ist nicht die beste Lösung, hauptsächlich, wenn sich bestimmte Clienten außerhalb des lokalen Intranetzes befinden, von wo der Multicast seinen Ursprung hat.

Multicast Adresse
Wie der Leser wahrscheinlich weiß, ist der IP Adressenraum in drei Adressklassen unterteilt. A,B und C Adreßklassen. Es gibt eine vierte Klasse (D), die für multicast Adressen reserviert ist. IPv4 Adressen zwischen 224.0.0.0 und 239.255.255.255 gehören zur Klasse D.


Der Virtuell Server ist zum veröffendlichen von Diensten wie Webserver,FTP-Server oder aber das freischalten von Emule.

Angenehm ist hier das auch eine Portrange eingegeben werden kann.

Der Server der ins Internet soll sollte eine feste IP haben. Dann auf "By Port" klicken. Dann "TCP". Dann "Single" und die IP vom Rechner der den Web-Server bereitstellt.

Wie im Bild unten kann man den Web-Server auch aus vordefinierten Ports ins Internet stellen.



By Name = vordefiniert
My Port = Port selbst eintragen
Single = Port für extern frei machen ( z.B. Webserver = 80 )
Range = Port von bis ( Emule 4661 - 4662 )

DMZ:
DMZ (Demilitarized Zone) bietet eine zusätzliche Ethernet-Schnittstelle zur Bereitstellung öffentlicher Server in einem durch den Firewall geschützten Netzwerk, das jedoch vom Firmen-LAN isoliert ist.



Die DMZ Funktion sollte bei Multiport Programmen wie Netmeeting, Spielen u.ä. genutzt werden. Wer ein VPN-Server realisieren möchte muss auch auf jeden Fall den Rechner ( der ja eine feste IP hat ) unter DMZ eintragen. Der Rechner arbeitet dann mit der IP des Providers. Da ein VPN Tunnel mit der 128 Bit Verschlüsselung
arbeitet kann der Router die Pakete nicht auswerten. Somit kann der Router die Daten nicht durch die SPI auswerten. Der Rechner bleibt unerreichbar. Beim Router kann nur ein Rechner vor der Firewall ( DMZ ) arbeiten. Nur wenn eine Standleitung gemietet worden ist und mehrere IP’s reserviert sind können im Router auch mehrere Rechner unter DMZ eingetragen werden.




Über Paket Filter kann die Firewall über Mac Adreseen oder IP's in Kombination mit Ports manipoliert werden.

Beispiel wäre im ersten Felsd die Mac-Adresse einen Rechners einzugeben und ihm verbieten oder erlauben die Firewall zu passieren. Gleiches gilt für IP's oder IP-Ranges.

Filter = Sperren
Forward = durchlasssen




In dieser Konfiguration verbiete ich den Localen Rechnen 192.168.0.1 - 192.168.0.254 ( allen Rechnern im LAN )



alle Ports zwischen 21 -80 zu nuzten.

Vorsichtig!! Falscher Eintrag und man speert sich selber aus



Mit statischen Routen kann man Traffic ( IP'S ) umleiten auf andere Rechner etc. . Man könnte hier das Mailen auf einen Mailserver im localen Netzwerk umrouten

Da privat wohl kaum damit gearbeitet wird hole ich hier nicht weiter aus.




DDNS

DDNS ist ein dynamischer Service der es ermöglicht trotz wechselnder IP den Rechner namentlich erreichbar zu machen und das rund um die Uhr.
Der Router schaut in seiner NAT Tabelle nach der IP des WAN-Ports. Sobald sich die IP
ändert übermittelt der Router sofort ( und nicht in Interwallen ) die IP an den in der
Firmware vorgegebenen Anbieter. In unserem Fall DYNDNS . Dort wird im Server sofort
der registrierte Name mit der aktuellen IP im DNS-Server eingetragen.
Wie schon oben beschrieben kann der bei DYNDNS registrierte Server local nicht abgerufen werden. Es sei den man hat seine Hosts Datei gepflegt oder man testet es über einen zweiten Account.

Sorry, aber leider muss ich auch darauf noch mal hinweisen. Es langt nicht sich bei DYNDNS zu registrieren. Mit der Email bekommt man einen Link auf den man doppelt klickt ( Klick Klick ) Damit wird erst der Dienst bzw. der Account frei geschaltet.

Dann wird der Account wie im Bild zusehen eingetragen .



Im folgendem Bild ist .....



der Moni in arsch gegangen. Sorry Beschämt


Das folgende Bild erklärt sich wohl selbst....



Im folgendem Bild sieht man dann ob man Onliner ist oder nicht. WAN IP = 0.0.0.0 ist offline. Also es entstehen keine Kosten. alles andere ist Online!



In diesem Fenster kann man die Online Verbindungen einsehen.







Auch hier bedarf es keiner Erkläung denke ich.

1.) Factory Reset ist die Werkseinstellung. Also wieder eine Jungfrau

2.) Mit Save konfiguration kann man das Profil speichern bzw. eine andere Konfiguration in den Router laden.

3.) Der letzte Punkt ist für Hardware Junkies



Jetzt viel Spass mit dem Gerät
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen MSN Messenger
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    support.longshine.de Foren-Übersicht -> Hilfestellung / Printserver / Access Points / NAS etc. Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1
Favorites



 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum posten
Du kannst Dateien in diesem Forum herunterladen


Powered by PHPBB 2.0.18 © 2001, 2005 phpBB Group
Erstellung der Seite: 0.201869 Sekundens (PHP: 92% - SQL: 8%) Besuche SQL: 37

1. Disclaimer 2. Impressum