Opsætning af netværk med og uden tråd

Jeg har selv en Linksys WRT54GL med DD-WRT firmware. Her skal du nok lige nævne, at personen selv skal til at opdatere firmware for at få det nævnte. Jeg bruger faktisk ikke længere min router, da min trunte har internet hos yousee og mit behov bliver fint dækket af deres med leverede router.

Jeg skal da gerne sælge den til dig. Den er opdateret med DD-WRT firmware, og jeg har kvitteringen på den. Den er købt hos midtdata 05.12.2007.

Held og lykke!

Her er et link til opsætning af PS3 og router.

AndersHP skrev: Jeg er dog i tvivl om én enkelt ting, netop vedrørende DMZ som du linker til. Min PS3 opnåede NAT 2 uden problemer, men min Xbox fik en fejlmelding med moderat NAT (begge maskiner tilsluttet routeren med kabel med hver deres IP - ingen portforwards eller noget). Derfor tildelte jeg Boxen IP adressen med DMZ. Men hvordan kan det være at der er forskel på de to?

Hvis du med 'forskel' mener hvorfor PS3 siger 'NAT 2' og XBoX siger 'moderat NAT', så er forklaringen ganske enkel: der er ikke noget som officielt hedder 'NAT 2' eller 'Moderat NAT'. Det er begreber som PS3 og XBoX opfinder.

Jeg kender ikke noget til PS3 og XBoX, så jeg skal ikke kunne sige hvorfor der er NAT problemer med disse enheder. Men generelt skyldes NAT problemer at enhederne (computer, spillekonsol, mediaplayer, eller whatever) har behov for at modtage ikke-inviteret trafik udefra. Hvis du eksempelvis kører fildeling (peer-to-peer) skal folk udefra kunne kontakte dig og modtage filer fra dig. En NAT router vil normalt afvise trafik udefra som ikke er relateret til en forbindelse som er startet indefra (stateful packet inspection). Når du læser forumindlæg på recordere.dk modtager du trafik fra recordere.dk via HTTP, men det er trafik som du selv har bedt om.

Hvis man har en NAT router, og vil modtage ikke-inviteret trafik udefra, skal man gøre en af følgende tre ting (alle vil ikke nødvendigvis virke)

1) Forwarde porte i routeren
Eksempel: hvis du har en webserver kørende på computeren med IP adresse 192.168.1.55, skal du forwarde port 80 til 192.168.1.55. Når folk udefra kontakter din IP adresse med en browser, ryger trafikken direkte videre til 192.168.1.55 hvor du har en webserver kørende.

2) Bruge UPnP i routeren
Du tilllader at klienter bag routeren kan åbne og forwarde porte efter for godt befindende. Jeg bryder mig ikke om UPnP, så jeg forwarder altid porte eksplicit til de services som jeg har kørende (BitTorrent, web server, ident til IRC og SSH).

3) Bruge DMZ
DMZ i en hjemmerouter betyder basalt set at al udefrakommende trafik, som du ikke har bedt om og som ikke bliver eksplicit portforwardet af andre årsager (punkt 1+2), bliver sendt til den private LAN IP adresse som du har angivet som DMZ. Hvis din router har en stateful packet inspection (SPI) firewall, bliver den de-aktiveret når du bruger DMZ. Man kan ikke både blæse og have mel i munden.

AndersHP skrev: Og hvis min PS3 kan få open NAT sådan uden videre, hvordan kan jeg så være sikker på at min PC (der tildeles dynamisk ip) er beskyttet når jeg bruger netbank osv?

En NAT routers primære opgave er at fordele trafikken mellem klienterne på dit lokalnetværk, så flere enheder kan bruge samme offentlige IP adresse.

Netbanker angribes med keyloggers på din PC (som du er blevet narret til at installere) eller ved man-in-the-middle angreb hvis der bruges one-time passwords (som Jyske Bank og den kommende DanID digital "signatur", som vi alle skal tvinges til at bruge). Den eneste reelle beskyttelse mod det er at bruge din sunde fornuft. En NAT router vil ikke gøre nogen forskel, og det samme gælder generelt for software firewalls og antivirus programmer. Når din computer først er kompromitteret, kan man ikke regne med noget som helst.

At din PS3 kan få 'open NAT' siger intet om sikkerheden, da det igen er et begreb som PS3 selv opfinder (jeg vil gætte på at du har UPnP aktiveret i routeren). Og det siger slet intet om sikkerheden på den computer som du bruger til netbank.

Redigeret af JesperLund - 17-Januar-2009 kl. 15:42

AndersHP skrev: Men SPI firewallen deaktiveres vel kun på den IP adresse, som er i DMZ, så der burde være "lukket" for min PC (der hverken kører med UPnP eller DMZ)?

Det er korrekt. Men i praksis gør det ikke den store forskel, da truslerne snarere er ting som keyloggers som du narres til at downloade.