جناب افظلان ، فرمایش شما درست ، ولی چون به یک کلاینت باید ریموت بشه ، DMZ بهتر نیست؟خب پس توی تنظیمات دنبال Port Forwarding یا Virtual Server بگردید. (پورت 3389 را forward کنید)
جناب افظلان ، فرمایش شما درست ، ولی چون به یک کلاینت باید ریموت بشه ، DMZ بهتر نیست؟خب پس توی تنظیمات دنبال Port Forwarding یا Virtual Server بگردید. (پورت 3389 را forward کنید)
درسته با DMZ هم میشه. ولی به نظرم اگر که هدف فقط ریموت باشه port forward راه حل بهتری باشه.
چون وقتی DMZ باشه، همه چیز بازه (از لحاظ امنیت و . . .) به هر حال فکر کنم با DMZ یکمی راحتر تر میشه به سیستم متصل شد (البته از دید یک هکر)
ولی اگر که تنظمیات امنیتی روی سیستم کاربر در سطح بالایی باشه DMZ هم خوبه.
راستی امنیت برای من مهم هست چون این سرور گردش مالی رو انجام می ده
را ه مطمئن تر را اگر با ذکر جزئایت بفرمایید ممنون میشم.
الان من مودم اصلی همراهم نیست
ولی مود لینکسیس دارم تو قسمت port forwardingدو قسمتExternal Port / Internal Portداره و یه آیپی هم داره
فکر کنم که آیپی که باید آیپی سرور باشه مگه نه؟
ولی در 2 قسمت مجزای External Portو Internal Port باید چه وارد کنم؟
ویرایش توسط moj14mja : 2011-03-29 در ساعت 02:17 PM
شاید این بحث خارج از بحث باشه ، ولی خواستم در مورد امنیت DMZ و port forwarding توضیحی بدم .
DMZ نسبت به PF ، امنیت بیشتری داره ،توجه داشته باشیم در بحث DMZ ، فقط یک پورت به سمت شبکه ی DMZ
باز هست. PF یک راه حل غیر استاندارد هست برای جایی که Inetr LAN Routing ندارند ، توجه داشته باشیم
Inetr LAN Routing ستون فقرات امنیت در شبکه ی DMZ هست . به عبارتی ، وقتی PF ست میکنیم ، از روتر اصلی
چندین پورت ،( بسته به تعداد کلاینت هایی که می خواهیم ریموت کنیم .) به سمت شبکه ی داخلی ( چه LAN و چه DMZ )
باز میشه . ولی در DMZ هر تعداد کلاینت که داشته باشیم ، فقط و فقط یک پورت باز میشه که تمام request ها به سمت روتر
داخلی در DMZ میرن , از اونجا دلیور می شوند. تصویر زیر :
که بهترین حالت کاربرد و کانفیگ DMZ هست. همانطور که دیده میشه ، به سمت شبکه DMZ فقط یک
پورت از فایروال بیرونی باز میشه.
ممنون از توضیحات.
مطالبتون در مورد مفاهیم DMZ کاملاً درسته البته با در نظر گرفتن شبکه ای با ساختار بالا.
حالا با توجه به ساختار شبکه و نیازهایی که آقای جوادی دارند شما کدوم راه را پیشنهاد میکنید؟
(برداشت من اینه که شبکه ساده ای دارند و بدون تقسیم بندی LAN و DMZ و فایروال و . . .، درسته؟)
استفاده از port forward و فقط باز کردن پورت 3389 ؟
استفاده از DMZ ؟
به شخصه port forward را ترجیح میدم. (برای شبکه دوستمون)
ویرایش توسط aliafzalan : 2011-03-29 در ساعت 03:15 PM
روی ویندوزها به طور پیش فرظ پورت مربوط به ریموت دسکتاپ 3389 میباشد ، در قسمتExternal Port / Internal Port تمام فیلدهای مربوط را 3389 تایپ کنید ، ipvalid خود را در قسمت service name وارد کنید و آی پی سیستم مورد نظرتون که میخواد ریموت بشه رو در Server IP Addresss وارد کنید. تمام.
اگر هم خواستی هر تعداد کلاینتی که میخوای میتونی جدا ریموت روش داشته باشی اونم بحسش جداست.
من DMZ رو پیشنهاد میکنم . توجه کنیم در PF ، حتما پورتی از بیرون باز میشه ولی ذات DMZحالا با توجه به ساختار شبکه و نیازهایی که آقای جوادی دارند شما کدوم راه را پیشنهاد میکنید؟
(برداشت من اینه که شبکه ساده ای دارند و بدون تقسیم بندی LAN و DMZ و فایروال و . . .، درسته؟)
استفاده از port forward و فقط باز کردن پورت 3389 ؟
استفاده از DMZ ؟
اینکه در هر request که به سمت مودم میاد ، مودم به سمت ای پی که در DMZ ست شده ، فروارد میشه.
خب شاید برداشت من از مفهوم DMZ در مودم ها اشتباه باشه.
من برداشت خودم را مینویسم، هر جا که اشتباه بود شما اصلاح کنید.
فرض کنیم آدرس مودم :8.8.8.8 باشه و هدف فقط Remote Desktop از طریق اینترنت به یک سرور خاص
حالا توی port forward: اگر که کسی از توی اینترنت برنامه Remote Desktop ویندوز را باز کنه و آدرس مودم (8.8.8.8) را بزنه، صفحه authentication سرور باز میشه.
و اگر که مثلا بخواهد با FTP و یا HTTP به سرور وصل بشه نمیتونه.
توی حالت DMZ: کاربر از توی اینترنت (برای هر ترافیکی) آدرس 8.8.8.8 را میزنه. توی این حالت مودم هر ترافیکی که به سمتش بیاد را به سمت سرور هدایت میکنه، حالا می خواهد RDP باشه، HTTP، FTP، SMTP، Telnet و . . .
اینجا مشکل داره ، ببینید ، مودم وقتی رو PF ست میشه ، حتما باید به همراه ای پی پورت هم بدی که رو اون پورت فوروارد کنه .حالا توی port forward: اگر که کسی از توی اینترنت برنامه Remote Desktop ویندوز را باز کنه و آدرس مودم (8.8.8.8) را بزنه، صفحه authentication سرور باز میشه.
طبق فرض شما ، اگه کسی 8.8.8.8 رو بزنه ، صفحه یوزر پس باز نمیشه. چون مودم نمی دونه کدوم پورت مد نظر شماست . برای
HTTP باید بصورت سوکت وارد کنین ، مثلا اگه پورت شما 2000 باشه ، باید بصورت 8.8.8.8:2000 وارد بشه که مودم بدونه کلاینت
متناظر با پورت 2000 مد نظر شما هست . برای ریموت هم باید پورت رو از دیفالت به 2000 ( در این مثال ) تغییر بدین .
فرضتون در مورد DMZ درسته جناب افضلان .
متاسفانه من هنوز دقیق متوجه نشدم که چرا شما توی این مسئله DMZ را به Port Forward ترجیح میدید.
اگه ممکنه بیشتر توضیح بدید.
به نظر من DMZ و Port Forward مثل هم هستند، با این فرق که توی Port Forward میگیم فقط یک پورت باز باشه به سمت سرور (همون 3389) ولی توی DMZ همه پورتها به سمت سرور باز هستند. (هر چی درخواست بیاد میره به سمت سرور)
توی خود داکیومنت dlink هم نوشته:
Adding a client to the DMZ may expose your local network to a variety of security risks, so only use this option as a last resort.
چرا؟ چون توی DMZ همه چیز به سمت سرور باز هست.
ببینین جناب افضلان ، در DMZ ، پوتی باز نمیشه. یک مودم رو با DMZ کانفیگ و اسکن کنین. ذات DMZ اینه که
تمام رکوئست ها رو به سمت هدف می فرسته، البته گفتم ، تا وقتی که Inter LAN Routing نیست ، ضعف امنیتی هست
اون متن dlink هم مربوط به ریسک هست که منظور اینه DMZ ریسک امنیتیه و باید مدیریت بشه. با تحلیل هایی که داشتیم
در پست های قبلی ، PF ریسک بیشتری داره .
خب این مشکل نیست ، در PF هم میتونین همه پکت ها رو به سمت سرور بفرستین ، چراکه هم پورت و هم ای پی رو داریم.چرا؟ چون توی DMZ همه چیز به سمت سرور باز هست.
همانطور که گفتم ، هم PF هم DMZ باید مدیریت بشن .
پورت مثل در ورودی هست به شبکه که هر نوع ترافیک رو میشه از اون در رد کرد . این منطق درست نیست ، توجه کنیم ، پورت 2000 روی سرور نیست ، روی مودم هست ،به نظر من DMZ و Port Forward مثل هم هستند، با این فرق که توی Port Forward میگیم فقط یک پورت باز باشه به سمت سرور (همون 3389) ولی توی DMZ همه پورتها به سمت سرور باز هستند
هر ترافیکی رو میشه به سمت سرور فرستاد ، برای مثال دستور telnet google.com 80 رو امتحان کنین.
دعوا چرا ؟ زیبایی این سایت به این بحث هاست .دعوا شد !!!
ویرایش توسط zamoova : 2011-03-29 در ساعت 04:21 PM
داره بحث قشنگ میشه، مرسی که ادامش دادید
خب یه سوال.
Port Forward چه خطری داره که DMZ نداره؟
Port Forwarding vs DMZ
A DMZ is far easier to set up than port forwarding but exposes your entire computer to the Internet. Sometimes TCP/IP applications require very specialized IP configurations that are difficult to set up or are not supported by your router. In this case, placing your computer in the DMZ is the only way to get the application working. Placing a computer in the DMZ should be considered ‘temporary’ because your firewall is no longer able to provide any security to it.
Port forwarding can sometimes be difficult to configure, but provides a relatively safe way of running a server from behind a firewall. Since only a single port (or small series of ports) is exposed to the Internet, the computer is easier to secure. Additionally, port forwarding allows you to run multiple kinds of servers from different computers on your lan. (see above diagram)
Many broadband routers have special port forwarding configuration screens for standard applications (FTP, WWW, Mail, etc) and special screens for custom applications.
port forwarding and dmz for home networking
ویرایش توسط th95 : 2011-03-29 در ساعت 06:18 PM
من که سه چراغم خاموش شد
الان نمی تونم همه پاسخ ها رو بخونم
ولی تا آخر امشب همه یه رو می خونم و از توش یه جواب برای سوال اول خودم پیدا می کنم
پیشاپیش از همتون متشکر
به نظر من هم pf بهتره هم دردسر کمتری داره هم میتونی پورت رو از 3389 به یک پورت دیگه تغییر بدی و فوروارد کنی
من هرجا آیپی ولید گرفتم و خواستم ریموت کنم با میکروتیک pf کردم تا الان هم خداروشکر مشکلی پیش نیومده :دی