Andre Tann wrote:
Jens Daniel Schmidt, Freitag, 3. Februar 2006 13:31:
Also die 3 D-Links die ich verbaut habe hatten das alle. siehe: www.dlink.de -> Produkte -> Router -> ohne Modem -> DI-604
Vielleicht kapier ich da was nicht. In den technischen Daten steht:
1 Port WAN 4 Ports LAN
Das heißt doch, daß ich die DMZ-Kisten im LAN hängen habe, oder zumindest am selben Switch. Aber das will ich doch grade nicht.
Ich stelle mir das so vor:
WAN ^ | Router ---> DMZ mit 192.168.0.0 | |------> LAN mit 192.168.1.0
Nun soll man vom LAN aus auf alle Rechner der DMZ kommen, und nach draußen natürlich auch. Aus der DMZ kommt man nur raus, nicht aber ins LAN. Von draußen sind nur die Kisten der DMZ sichtbar. Werden sie gehackt, dann sind die LAN-Kisten noch nicht in Gefahr. Damit bräuchte also der Router drei Ports: LAN, WAN und DMZ. Letzteren, damit der LAN-Verkehr nicht an den Kisten der DMZ vorbeikommt.
Hab ich da einen Denkfehler drin, oder kann der DLink das doch, oder wie?
Aha, ok. DAS kann der Di-604 nicht. Der würde nur NAT auf einen definierten internen Host machen. (Das kann man aber auch mittels Port-Forwarding mit fast allen anderen Routern auch.) Aber der D-Link DFL-200 kann das, der hat einen separaten Port für die DMZ. (http://www.kmshop.de/main_site/main.php?action=Product_Detail&ArtNr=6956&Shop=0) Ich hab auch mal einen gesehen (auch D-Link) mit 2 separaten WAN Ports, den müsste man dazu auch missbrauchen können (mit entsprechenden Routingeinträgen) - finde nur grade auf die schnelle nicht die Bezeichnung. Ciao, Daniel