Router

[anoniem]

[quote:4a0ddff5df="micky.g"]helaas is het zo dat de meeste routers met iets als dmz pronken wat in werkelijkheid een "exposed host" is. [b:4a0ddff5df]Ook de draytek heeft geen DMZ zoals het zou moeten.... [/b:4a0ddff5df] Bij een goede DMZ zou het zo moeten zijn dat de pc's in het lan zonder problemen toegang tot de pc in de DMZ zouden moeten hebben, omgedraaid moet het echter onmogelijk zijn vanuit het dmz toegang tot het lan te krijgen. Daartoe moet de pc in de dmz in een ander ip-adres bereik gebruiken als het lan en zou ook in de router fysiek van de lanpoorten afgehouden moeten worden en niet op de lan-switch mogen zitten. Goede routers hebben een apparte aansluiting voor de DMZ. wat de meeste routers als dmz presenteren is in werkelijkheid een "exposed host" is. Met die instelling worden alle vanaf het internet komende verbindings-aanvragen naar deze pc gestuurd, deze hangt echter op dezelfde switch en in het zelfde adres bereik als het lan. In geval van een gelukte hack van de DMZ pc ligt meestal voor de kenner het complete lan al zo goed als open. Een echte DMZ is wel met een tweede (goedkope) router veilig te realiseren of met een router uit de hogere prijs categorie.[/quote:4a0ddff5df] Hmm...daar zeg je wat...en welke routers zouden dat wel hebben (vanaf prijsklasse) ? Want als ik jou goed begrijp is de DMZ die op veel routers wordt aangeboden een 'nep'-dmz of virtual-dmz is...kun je dat niet oplossen mbv de mac-tabel ? Dus met extra firewal regels op basis van de mac zodat de 'wannabee-dmz' geen uitgaande connecties naar de rest van je lan mag maken ? (Alhoewel ik mij dan toch afvraag hoe jij dan vanuit je eigen lan op de 'wannabee-dmz' komt.)

[anoniem]

[quote:630f61befd="Boerke87"]Sorry hoor kerel maar ik vind je antwoorden nogal lomp en kort door de bocht. Hij geeft hier een stukje informatie die wel es van wezelijk belang kan zijn en jij scheept het af als zijnde 'mekkeren'?? Slaat imo nergens op maargoed, back ontopic.[/quote:630f61befd] vond het onterrechte kritiek, en die corrigeer ik.

[anoniem]

[quote:6c0dc0a829="sdk"] vond het onterrechte kritiek, en die corrigeer ik.[/quote:6c0dc0a829] Ten 1e is het geen kritiek (in ieder geval daar lijkt het niet op), maar extra informatie. En als die nog klopt ook (en jij geeft geen enkel tegenbewijs) dan moet je dat alleen maar 'prijzen' maar zeker niet zo'n opmerking plaatsen. Ten 2e, als je zoiets dan toch zo nodig moet 'corrigeren' zijn daar een hele hoop andere, nettere manieren voor te bedenken. Dit was wel kritiek!

[anoniem]

[quote:704c737d20="Boerke87"][quote:704c737d20="sdk"] vond het onterrechte kritiek, en die corrigeer ik.[/quote:704c737d20] Ten 1e is het geen kritiek (in ieder geval daar lijkt het niet op), maar extra informatie. En als die nog klopt ook (en jij geeft geen enkel tegenbewijs) dan moet je dat alleen maar 'prijzen' maar zeker niet zo'n opmerking plaatsen. Ten 2e, als je zoiets dan toch zo nodig moet 'corrigeren' zijn daar een hele hoop andere, nettere manieren voor te bedenken. Dit was wel kritiek![/quote:704c737d20] hmm moeilijk he lezen (lol dat was flamen) [quote:704c737d20]zoals het zou moeten[/quote:704c737d20] noem ik toch echt kritiek. Stuur maar pb's met je onzinnige reply hierop want dat draagt weinig bij aan de rest van dit topic.

[anoniem]

Oké, maar heeft iemand een typenr. dat aan mijn boevengenoemde wensen voldoet? De bedoeling in eerste instantie is om een thuisnetwerkje op te zetten, maar ik wil wel graag eens kunnen experimenteren met servers en zo. Dus de wat professionelere functies zijn wel welkom, maar het moet niet te duur worden.

[anoniem]

[quote:06172b398e="Comp-Freak"]Oké, maar heeft iemand een typenr. dat aan mijn boevengenoemde wensen voldoet? De bedoeling in eerste instantie is om een thuisnetwerkje op te zetten, maar ik wil wel graag eens kunnen experimenteren met servers en zo. Dus de wat professionelere functies zijn wel welkom, maar het moet niet te duur worden.[/quote:06172b398e] [url=www.draytek.nl]draytek[/url] heeft zo'n beetje alles van die je net noemde alleen geen printserver. (volgens mij moet je die ook los kopen en dan op je router aansluiten). vigor 2900 is wel standaard http://www.draytek.nl/vigor.php?show=2900

[anoniem]

[url=http://www.d-link.com/products/?pid=63]Deze D-Link[/url] dacht ik ook, is voor jou de afweging maken, weet niet wat het prijsverschil is, maar dat is aan jou.

[anoniem]

Goed bedankt allemaal, ik denk dat het die draytek wordt, alleen nog even me verdiepen in de specs.

[anoniem]

Snap je reaktie inderdaad niet sdk, probeer alleen wat informatie te geven. Die bovendien op feiten berust, ook de draytek firewall (althans die van de goedkopere modellen) is geen echte DMZ in de eigenlijke zin. (wat wel weer redelijk eenvoudig te omgaan is door 2 routers achter elkaar te plaatsen) alleen bij het nieuwe 2900 model, daar kan je de dmz zover ik weet wel in een andere ip-range zetten die gescheiden is van die van het normale lan.... (niet hardwarematig van de switch!) Dat "zoals het zou moeten" had dan ook alleen betrekking op de draytek routers, (en op veel andere routers, die met een optie verkocht worden die er in feite niet is) niet op jouw antwoord! Het was dus geen kritiek op jouw in eerste instantie! Maar als je het zo wilt dan zie het maar als kritiek want in principe verkoop je gewoon een onwaarheid, waarschijnlijk uit onwetendheid....... bovendien kan je je inderdaad wat netter uitdrukken, zoals boven al aangegeven! p.s. als je een keuze moet maken tussen de D-link en de Draytek, dan zou ik inderdaad de draytek prefereren, de draytek is een (semi)Professioneel apparaat, dat uitgebreid te configureren is.

[anoniem]

[quote:f45a54606c="micky.g"]p.s. als je een keuze moet maken tussen de D-link en de Draytek, dan zou ik inderdaad de draytek prefereren, de draytek is een (semi)Professioneel apparaat, dat uitgebreid te configureren is.[/quote:f45a54606c] Dit is dus ook mijn reden, een apparaat met net dat beetje extra.

[anoniem]

[quote:145a4d6d82="micky.g"] alleen bij het nieuwe 2900 model, daar kan je de dmz zover ik weet wel in een andere ip-range zetten die gescheiden is van die van het normale lan.... (niet hardwarematig van de switch!) [/quote:145a4d6d82] Hoe bedoel je dit precies ? je kunt hem wel gescheiden zetten, maar dan zeg je 'niet hardwarematig van de switch' , verklaar je nader.

[anoniem]

[quote:f77983bc4f="yohanman"]Hoe bedoel je dit precies ? je kunt hem wel gescheiden zetten, maar dan zeg je 'niet hardwarematig van de switch' , verklaar je nader.[/quote:f77983bc4f] Ik bedoel hiermee dat je de dmz in een andere ip-range kunt zetten dan het normale lan, de dmz aansluiting is echter niet hardwarematig van de switch gescheiden zoals dit bij professionele routers in de bedrijfswereld is. Daar heeft de router een eigen dmz aansluiting (lees rj45 poort) die ook hardwarematig van de switch gescheiden is.

[anoniem]

[quote:1559d5ffeb="micky.g"][quote:1559d5ffeb="yohanman"]Hoe bedoel je dit precies ? je kunt hem wel gescheiden zetten, maar dan zeg je 'niet hardwarematig van de switch' , verklaar je nader.[/quote:1559d5ffeb] Ik bedoel hiermee dat je de dmz in een andere ip-range kunt zetten dan het normale lan, de dmz aansluiting is echter niet hardwarematig van de switch gescheiden zoals dit bij professionele routers in de bedrijfswereld is. Daar heeft de router een eigen dmz aansluiting (lees rj45 poort) die ook hardwarematig van de switch gescheiden is.[/quote:1559d5ffeb] Oh...dus eigenlijk hoort de DMZ-poort gescheiden te zijn van de switch, maar bij die draytek 2900 bijvoorbeeld, die kan hem wel gescheiden zetten, maar die heeft de dmz-poort gewoon in de switch zitten... Heb ik het zo goed ?

[anoniem]

[quote:6991a273b0="yohanman"]Heb ik het zo goed ?[/quote:6991a273b0] Precies! Ik moet erbij zeggen dat dit meestal bij duurdere routers zo is, bij de goedkopere helaas niet. (wel te realiseren door 2 routers achter elkaar te zetten). Wat dat betreft is de optie van de 2900 om de dmz in een aparte ip-range te zetten al een hele stap in de goede richting. Maar naar mijn mening hoort in een router die met de optie dmz verkocht wordt, (hiermee doel ik op een hele reeks goedkope routertjes en niet specifiek op draytek) dit ook op een veilige correcte manier geimplementeerd te zijn. En niet de klant iets verkopen dat er in werkelijkheid niet (correct) is. Zoals ik eerder al zei ligt op de manier waarop veel goedkope routers met dmz verkocht worden het lan voor een kenner zo goed als open als de dmz pc gehackt kan worden.....

[anoniem]

Maar je kunt m.b.v. goede firewall rules het risico toch wel beperken neem ik aan ? Bijvoorbeeld alleen connecties van de dmz-computer accepteren wanneer ze zijn aangevraagd door 1 van de andere lan-computers...

[anoniem]

[quote:1deee4bc31="yohanman"]Maar je kunt m.b.v. goede firewall rules het risico toch wel beperken neem ik aan ? Bijvoorbeeld alleen connecties van de dmz-computer accepteren wanneer ze zijn aangevraagd door 1 van de andere lan-computers...[/quote:1deee4bc31] Je kan het inderdaad met een firewall allemaal wat veiliger maken, maar dat was ook niet de discussie.... trouwens: Het nut van de dmz is met o.a. het erin zetten van een server die vanuit het internet toegankelijk is. Als een connectie alleen aanvaard wordt door de DMZ pc wanneer deze uit het lan komt (of omgekeerd) wat is dan nog het nut van een dmz?

[anoniem]

[quote:c2220c461f="micky.g"] Je kan het inderdaad met een firewall allemaal wat veiliger maken, maar dat was ook niet de discussie.... trouwens: Het nut van de dmz is met o.a. het erin zetten van een server die vanuit het internet toegankelijk is. Als een connectie alleen aanvaard wordt door de DMZ pc wanneer deze uit het lan komt (of omgekeerd) wat is dan nog het nut van een dmz?[/quote:c2220c461f] Ik bedoelde dat hij vanaf het internet wel volledig toegankelijk is. Alleen om te voorkomen dat er een 'ongeoorloofde' connectie wordt opgebouwd vanaf de dmz naar een andere computer in het lan (bv door hacker)...zou je kunnen instellen dat inkomende connecties afkomstig van de DMZ-computer richting het LAN moeten zijn aangevraagd door de bewuste LAN-computers. Daarmee kun je volgens mij al heel wat risico's vermijden, of is dit een ineffectieve maatregel :roll: .

[anoniem]

[quote:97f9090645="Comp-Freak"]Heb ik ook gelezen, maar geen van die had een printserver of ingebouwde modem. Nog een tweede dingetje: Een vriend van mij wil een E-Tech router kopen, zijn die goed?[/quote:97f9090645] Ik heb een etech en die werkt perfect. HEb er alleen veel teveel voor betaald :-? 70 Euro.Zag hem een dag later voor 30 euro staan.Vet balen dus!