Velius

Ok, aber so viel kannst auch du nicht an einem Abend wegputzen....:D

Lümmel.... Auch von mir herzlichsten zum neuen Status. Was springt denn dabei eigentlich raus? Neue Aufgaben...??:p :D

...na ja, so wichtig, dass man sich bald die Birn einkloppt ist kein Thema. War zwar noch weit weg von, irgendwann muss ja aber Jemnad ja 'Hallo?' rufen.:wink2:

Hey Leute, ich glaube wir sollten alle wieder einen Gang runterschalten! So wichtig ist das Thema auch wieder nicht (welches ist das schon), oder?;)

Ok, ich denke damit sind nun alle Aspekte des Themas abgehandelt. Weitere Fragen....?:D

@Otaku19 Sorry, aber das ist Schwachfug! Ich habe noch nie so eine NAT Implemetierung gesehen, und kann das aus meiner Praxis beurteilen. Ausserdem sind wie erwähnt Firewalls nicht blos Port-Filter heutzutage, sondern meist auch Router (soweiso) NAT-Gerät, möglicherweise auch VPN-fähig und zudem meist, wenn häufig auch in begrenztem Umfang, Application Layer Firewalls. Und wie bereits erwähnt zieht der Schutz nur bei einem hide NAT, nicht aber bei einem statischen NAT, da der Rechner direkt vom Internet angesprochen werden kann und auch muss. Das ist eine blose Annahme und kein technischer Beweis für deine von dir zitierte Quelle.

Deine Annahme ist falsch, denn es ist bei einem hide NAT schlicht weg nicht möglich, von ausserhalb des Gerätes das NAT macht erreicht zu werden! Das liegt nicht daran, ob ein Paket 'gut oder 'böse' sein soll, dass kann auch eine 'normale' Firewall nicht beurteilen. Sie folgt nur gewissen mustern (z.B. ist der three-way-handshake abgeschlossen, sonst könnte es eine Syn-Attacke sein). Der Grund dafür ist einfach: http://www.mcseboard.de/windows-forum-lan-wan-32/one-to-one-nat-91375.html?highlight=hide+nat#post555711 Die NAT-Gerät führt eine Tabelle, welche IP und welcher Quell-Port übersetzt werden muss, und kann aufgrund dieser Tabelle auch wieder Rückschlüsse machen, welches Packet wohin soll. Wenn man diese Richtung nun umdreht, also der Verkehr wird von Aussen iniziert, dann fehlt dem NAT-Geräte jegliche Zuordnung => Es kann und wird keine Verbindung stattfinden, ausser es wäre ein statisches NAT konfiguriert, aber dann ginge es auch nur auf eine IP oder pro Port der übersetzt wird eine IP. Also, es ist schon technisch gesehen völlig unmöglich bei einem hide NAT.;)

BTW: Bezüglich DoS Firewalls, oder zumidest bessere, trennen Verbindungen wenn mehr connections pro Zeiteinheit geöffnet werden als erlaubt oder konfiguriert. Ein Server wo der Dienst drauf läuft macht das in aller Regel nicht.

Ist zwar an sich nicht so gedacht, bietet aber klar Sicherheit. Ein Rechner der durch ein hide Nat/PAT/NAPT in's Internet geht ist von diesem nicht angreiffbar!:wink2:

Nur als Beispiel: Check Point FW-1 kann das. Der FTP Server ist in diesem Fall die Firewall, die widerum FTP Kommandos auf einen Server ausführt (transparent), und auch nur die Verzeichnisse und Kommandos die man dafür definiert hat (z.B. get, put, dir, etc.), und das ist nicht alles, was die kann.... Ausserdem sollte es ziemlich schwer sein auf einer 'dedizierten' Firewall 'einzubrechen', da drauf keine Dienste oder Deamons im eigentlichen Sinne laufen, man kann sie höchstens aufgrund Schwachstellen im OS oder der Applikation 'ausschalten'

Windows Ja, aber andere OS wie gewisse Linux Derivate machen da keinen mux. Ich hatte schon zwei default Getways mit gleicher Adresse im Netz gesehen. Der, der auf den ARP-broadcast zuerst antwortete war der Gewinner. Das führte zu periodisch abreissenden Ping replays in's Internet, da der andere Gateway inzwischen keine Leitung zur Aussenwelt mehr hatte. :rolleyes: :cool:

Wie schon an anderer Stell erwähnt bietet ein Gerät, welches NAT kann (so ziemlich alle können NAT, fragt sich blos in welcher Ausbaustufe...) schutz genug, solange keine Dienste von aussen so wie ein Webserver verwendet werden. Dann muss man sich etwas mehr Gedanken über die Sicheheit machen (application layer protection: directory traversal attacks, etc.).

Also mit Namespace meinte ich eigentlich einen domänen basierten DFS Stamm. Blos bei der R2 DFS Replikation muss man ein wenig aufpassen, da der 'Namespace' und die Replikation des Ordners nicht mehr so gekoppelt sind wie vorher. Das Prinzip dabei ist einfach: Der Stamm, also der Namespace und die Server die auf diesen Stamm ansprechen sind im AD gespeichert. Grundsätzlich gilt dann, dass wenn einer der Server der denn Stamm hosten nicht verfügbar ist, vom AD eine Anderer an den Client übergeben wird und dann die Anfrage verarbeitet, sprich den Fileshare bereit stellt.

@firefox80 Hmmm? Wieso so kompliziert? Erstell einen Namespace und dann wäre der dann unter \\FQDN-deiner-Domäne\Share erreichbar. @XP-Fan Gut Idee, klappt aber IMHO nur, wenn der W2K3 R2 auch ein DC ist (sonst wird's nie ein Logonserver...) ..sorry, steht ja da.:o

Hä? Die ersten beiden Zeilen stimmen exakt so, die letzten beiden stammen nicht aus der gleichen Passage, sind aber auch i.O....

Niemand? Muss ich noch 'nen Tipp geben? Ach Gottchen, eine 'Sie' hängt am Micro und heisst zum Nachnamen wie'n Massenmörder.... EDIT: Gut ok, dat stimmt:confused: :)

Hab meinen Post noch editiert...

Okeley dokeley ---- Du hast mich ausgebrannt aber ich bin zurück vor deiner Tür Wie Jeanne d'Arc komme ich zurück für mehr (sorry, ****e übersetzung :o ) Ich schaue vorbei um deine kleine Welt auseinader zu reissen Und deine Seele zu zerbrechen. ---- Ok, der könnte etwas hart sein. Ich geb noch 'nen Tipp Das Album ist von 1995 ist ziemlich 'Müll' wenn ihr versteht was ich meine:D

Mist, muss ch nu wieder ode was.....:p

BEE GEES | This Is Where I Came In? (Mist, war auch auf nen Meta angewiesen... aber die Suche war tricky - nimmt man can't anstelle von cannot klappt's ned....:mad: :rolleyes::D )

Boah-yeah, V I E R Z I G Jahre alt... Fühl mich mit 27 schon so :o :cool: , irgendwas mach ich falsch oder du richtig...:D

Wurde doch alles schon erwähnt, kommt aber noch auf das fine-tuning an: - Neue eigenständige Domäne, vorzugsweise sogar Forest mit unidirektionaler Vetrauensstellung - Das Netz sollte getrennt sein, sprich eigenes Subnetz (könnte auch eine VLAN sein theoretisch) mit(!) perimeter Sicherheit (irgend ein Firewall ähnliches Teil - ISA war gefallen, und der kann das, sowie die meisten FWs auch logischerweise routen können). - Nur notwendige Ports für AD, also mindestens LDAP, Kerberos, und Namensauflösungs Dienste freischalten. Nach bedarf können nur in eine Richtung (Stateful) weitere Dienste erlaubt werden. So, im groben wär das der Grundriss - die Feinarbeit müsst ihr machen oder besorgt uns weitere Infos!;)

Nö, Nicki ist auch noch da.:D

Transparent und blinkend?:cool:

Das funktioniert garantiert - nur dein AD wirst du dann ganz sicher nicht mehr erreichen können....:D