Sta je DMZ port?
- Začetnik teme IGGSy
- Datum pokretanja
Ostoja
Čuven
- Učlanjen(a)
- 27.07.2004
- Poruke
- 3,465
- Poena
- 815
Moja oprema
- CPU & Cooler
- Ryzen 5600 + Scythe Mugen 5 B
- Matična ploča
- Gigabyte B550 Aorus Pro AC (AX210 mod)
- RAM
- 2x16GB Kingston Fury Beast 3200
- GPU
- Sapphire Pulse RX 6650 XT
- Storage
- Hynix PC711 512GB NVMe + WD Purple 4TB
- Zvuk
- Denon PMA-260 + Canton Fonum 601
- PSU
- EVGA Supernova P6 650W
- Kućište
- Black Widow + 3x Arctic P12 Silent
- Monitor
- AOC Q3279VWFD8
- Mobilni telefon
- Motorola G72
- Pristup internetu
- Optički internet
ДМЗ порт (демилитаризована зона) би требало да омогући директан приступ спољних (интернет) адреса ка рачунару који је на њега закачен. Значи, ако имаш неки Web или FTP сервер који би требало да се види "од споља" закачиш га на тај порт рутера. Обазриво само, пошто ти тај порт није ни под каквим фајерволом (сем евентуалног софтверског) за разлику од свих осталих рачурана у мрежи (закачених на "нормалне" портове) који се налазе иза тог рутера и не виде се директно са интернета...
Провери документацију за детаље.
Провери документацију за детаље.
Poslednja izmena:
ivica
Čuven
- Učlanjen(a)
- 23.09.2002
- Poruke
- 2,116
- Poena
- 680
Moja oprema
- CPU & Cooler
- Intel Core Ultra 5 245K cooled with BeQuiet! Dark Rock 5
- Matična ploča
- Gigabyte Z890 Eagle
- RAM
- 2x32GB Kingston Fury 6000Mhz@CL36
- GPU
- Gigabyte RTX 4060 Windforce 8GB OC
- Storage
- Kingston NV3 2TB + HDDs
- Zvuk
- onboard
- PSU
- BeQuiet! Pure Power 12 1000W
- Kućište
- Cooler Master 690 II Advanced.+ 5,25" 4x USB3.0 front panel
- Monitor
- Dell U2312HM
- Miš & tastatura
- Logitech K330, M705
- Pristup internetu
- Kablovski internet
DMZ forwarduje sve portove sa javne na privatnu adresu. Praktično nema zaštite tj. firewall-a.
NAT je i dalje uključen ali sve spolja prolazi na DMZ. U DMZ se obično stavljaju mašine (serveri) koje pokreću više servisa tipa FTP, Web ser.,itd i još dosta toga. U principu kad staviš mašinu u DMZ zaobiđeš muke oko otvaranja silnih portov-a. DMZ je po pravilu manje bezbedan od npr. Virtual Server opcije dok je Port trigering još bezbedniji, koji otvara portove samo u slučaju ako određena aplikacija to zatraži. Port forwarding ti prosleđuje ceo opseg portova a ne samo jedan port što je dobro za gaming npr.
U DMZ mozeš da staviš jedan komp (npr. 192.168.1.5/24) ili celu mrežu (npr. 192.168.1.0/24) ali nisam siguran da može opseg. ovo /24 je subnet maska 255.255.255.0
Ako si vičan za subneting onda možeš da podmrežiš 192.168.1.0 mrežu tako da npr. ako ti treba DMZ za dva kompa odradiš to sa 192.168.1.5/30 i 1.6/30 adresama, i ne baciš celu mrežu u vetar ,) , gde je 192.168.1.4/30 subnet a 1.7/30 broadcast. Naravno kad se podmezi mreza potrebno je izrutirati to sve jer npr kom sa aresom 192.168.1.9 neće videti komp 1.5 ako se ne izrutiraju mreže 1.4 i 1.8 a što možeš da uradish sa RIP v2 očas posla ili statičim rutama.
Mislim 192.168.0.0 mrezu podmrezavati i nije nešto sobzirom da mozeš da uzmeš i mreze tipa 192.168.1.0, 2.0 ... Mada onako usiguraš da u toj mreži budu samo ta dva kompa i ništa više.
***. maska /30 se obično koristi za ppp linkove ali i ovako može da posluži.
/30 je 255.255.255.252 za 2 korsine IP adrese, /29 za 6 korisnih,..itd.
NAT je i dalje uključen ali sve spolja prolazi na DMZ. U DMZ se obično stavljaju mašine (serveri) koje pokreću više servisa tipa FTP, Web ser.,itd i još dosta toga. U principu kad staviš mašinu u DMZ zaobiđeš muke oko otvaranja silnih portov-a. DMZ je po pravilu manje bezbedan od npr. Virtual Server opcije dok je Port trigering još bezbedniji, koji otvara portove samo u slučaju ako određena aplikacija to zatraži. Port forwarding ti prosleđuje ceo opseg portova a ne samo jedan port što je dobro za gaming npr.
U DMZ mozeš da staviš jedan komp (npr. 192.168.1.5/24) ili celu mrežu (npr. 192.168.1.0/24) ali nisam siguran da može opseg. ovo /24 je subnet maska 255.255.255.0
Ako si vičan za subneting onda možeš da podmrežiš 192.168.1.0 mrežu tako da npr. ako ti treba DMZ za dva kompa odradiš to sa 192.168.1.5/30 i 1.6/30 adresama, i ne baciš celu mrežu u vetar ,) , gde je 192.168.1.4/30 subnet a 1.7/30 broadcast. Naravno kad se podmezi mreza potrebno je izrutirati to sve jer npr kom sa aresom 192.168.1.9 neće videti komp 1.5 ako se ne izrutiraju mreže 1.4 i 1.8 a što možeš da uradish sa RIP v2 očas posla ili statičim rutama.
Mislim 192.168.0.0 mrezu podmrezavati i nije nešto sobzirom da mozeš da uzmeš i mreze tipa 192.168.1.0, 2.0 ... Mada onako usiguraš da u toj mreži budu samo ta dva kompa i ništa više.
***. maska /30 se obično koristi za ppp linkove ali i ovako može da posluži.
/30 je 255.255.255.252 za 2 korsine IP adrese, /29 za 6 korisnih,..itd.
OP
OP
IGGSy
Čuven
- Učlanjen(a)
- 23.11.2002
- Poruke
- 222
- Poena
- 619
A sta se desava kada ga disejblujem? Onda su sve masine iza firewalla?
Znash sta mi se josh desava dok pratim saobracaj?
Vidim da masine izlaze na net i da im stvari dolaze preko portova koji su nekada bili na UPNP a sada kada je UPNP iskljucen te masine i dalje idu preko tih portova?!?!
Takodje kada neku masinu stavim na DMZ vidim da sa nje pocne da pici saobracaj preko svih zivih portova a kada DMZ izkljucim pici saobracaj sa svih zivih adresa preko sih zivih portova.... Tako da mi nista nije jasno.
Probao sam da skneiram IP preko neta i rekao mi je da su otvoreni samo portovi za shttp i 80. Doduse dzrzimo neku prodaju preko neta pa mi to dodje normalno. Ali za ostale portove kaze da su stelth. Tako ni nije jasan saobracaj koji pici iako je sve iza nat-a isklucen UPNP ukljucen firewall, multicast...
ivica
Čuven
- Učlanjen(a)
- 23.09.2002
- Poruke
- 2,116
- Poena
- 680
Moja oprema
- CPU & Cooler
- Intel Core Ultra 5 245K cooled with BeQuiet! Dark Rock 5
- Matična ploča
- Gigabyte Z890 Eagle
- RAM
- 2x32GB Kingston Fury 6000Mhz@CL36
- GPU
- Gigabyte RTX 4060 Windforce 8GB OC
- Storage
- Kingston NV3 2TB + HDDs
- Zvuk
- onboard
- PSU
- BeQuiet! Pure Power 12 1000W
- Kućište
- Cooler Master 690 II Advanced.+ 5,25" 4x USB3.0 front panel
- Monitor
- Dell U2312HM
- Miš & tastatura
- Logitech K330, M705
- Pristup internetu
- Kablovski internet
:d Pa iskreno kad se pogleda iz odredjenog ugla i poruka uputi firewall-u i ispadne tako.
Ovo me podseti kada sam nekada bombardovao na mail jednog mog ortaka (takođe sada bench forumaša) sa porukom S.R.O.D. u hiljade primeraka.
Znači totalno je odlepio ali ne zbog hiljada poruka na mailu nego sto nije znao šta znači SROD.
Da pojasnim SROD = sta radis ovijeh dana.
Imash pravo posto se IGGSy totalno itripovao.
IGGSy je napisao(la):
Šta je ovde pisac hteo da kaže.
- Učlanjen(a)
- 30.06.2000
- Poruke
- 1,472
- Poena
- 660
ovo nece da moze. tj. nije bas najsrecnije definisano. ovo se odnosi na DMZ u sirem smislu. kad govorimo o kucnim mrezama i onome sto moze da se nadje u kucnim ruterima, onda govorimo o DMZ host-u. DMZ host funkcionise za jednu IP adresu.
"otvoren" i "zatvoren" port nisu merilo da li ce se preko nekog od tih portova vrsiti neki saobracaj. prvo treba imati predstavu o inbound i outbound konekcijama tj. o tome ko i kad inicira neku komunikaciju
"otvoren port" je staticko pravilo o redirekciji i primenjuje se za dolazni saobracaj (klijent sa spoljne strane pristupa serveru u lokalu). kad neki komp sa interneta pokusa da inicira konekciju preko tvoje javne IP adrese na portu koji je "forwardovan" ruter ce taj saobracaj da automatski prosledi na adresu koja je definisana u pravilu o redirekciji. (Npr. imas Web server u lokalu i forwardujes port 80 na njegovu IP adresu.)
Kada se saobracaj inicira sa "unutrasnje" strane, desava se sasvim druga prica. ruter primi nalog od lokalnog kompa da ovaj zeli da pristupi spoljnom serveru, ovaj mu zamaskira adresu (ip adresu u TCP paketu zameni svojom javnom IP adresom) i otvori jedan port po kome ce se odvijati saobracaj za tu sesiju (i zameni port sa koga je inicirana konekcija sa lokalnoog racunara tim portom). kad mu stigne povratna informacija (na taj port) , ruter zna sa kog kompa je stigao zahtev za tom informacijom, ponovo prepravi paket tako sto mu za destination adresu upise adresu lokalnog racunara i za destination port upise port na kome lokalni racunar ceka odgovor. ovo otvaranje/zatvaranje portova se desava milion puta prilikom surfovanja, koriscenja maila, FTP-a....
Prica se desava otprilike ovako:
lokalni racunar pristupa www.benchmark.rs
paket poslat sa racunara
source address: 192.168.0.150
souce port: 4589
.
.
.
destination address:85.17.237.70
destination port: 80
router primi paket pa ga zamaskira u
source address: 78.24.110.19
souce port: 5920
.
.
.
destination address:85.17.237.70
destination port: 80
www.benchmark.rs primi zahtev i pocne da odasilje informacije
source address: 85.17.237.70
souce port: 4560
.
.
.
destination address:78.24.110.19
destination port: 5920
ruter primi paket pa ga prepravi i salje u lokalnu mrezu
source address: 85.17.237.70
souce port: 4560
.
.
.
destination address:192.168.0.150
destination port: 4589
portovi se koriste za identifikaciju pojedinacnih sesija i moze ih biti (on the fly) otvoren proizvoljan broj zavisno od potreba i konfiguracije sistema. kad se inicira neka sesija, sistem joj dodeli neki port za komunikaciju, kad se zavrsi onda se taj port zatvori.
Kada se neki komp stavi u DMZ, ruter ce sav dolazni saobracaj (koji se poziva na neki port koji nije u trenutnoj, dinamickoj, NAT tabeli ili nije na listi portova za koje su definisana staticka pravila o redirekciji) da prebaci "u dvoriste" racunara koji je DMZ host. Pa ako tamo ima neki servis koji "slusa" taj port, bice odgovora. ako ne, onda nikom nista.
Poslednja izmena:
