שלום
אם יש לי נתב ומחוברים אליו מחשבים ברשת
איך ניתן לדעת בראוטר לאיזה מחשב פתוחים פורטים .אני צריך לחפש ידנית לפי IP כל מחשב ומחשב

ועוד שאלה הבנתי שלא ניתן לפתוח יותר ממחשב אחד פורטים אם הם זהים . האם ניתן בכל זאת לפתוח פורטים לכמה מחשבים אבל לא פורטים זהים . ומה קורה במקרה כזה שמחשב אחד מוגדר DMZ
אז אין מצב בכלל לפתוח פורטים לאחרים נכון .

שאלה נוספת מודם רגיל ללא ראוטר הוא לא חסום בפורטים נכון . מה קורה שהופכים מודם לראוטר
אז צריך לפתוח לו פורטים ברגע שהוא נהפך לנתב

וברכה (לשלום)

בשביל לבדוק אילו יציאות(פורטים) פתוחים או יותר נכון מנותבים, הדרך הפשוטה והמהירה היא להכנס לממשק ניהול הנתב שלך ולבדוק שם בהגדרות ניתוב היציאות אילו יציאות מועברות לאיזה מחשב (בד"כ יש רשימה אחת שמראה את רשימת כל היציאות והמחשבים).
אם תתן דגם וחברה של נתב אני אשתדל לתת לך הוראות מדוייקות יותר.

בכללי לא ניתן לעשות לעשות ניתוב של אותן היציאות ליותר ממחשב אחד.
שמעתי על איזה שהיא דרך לעשות משהו אבל זה לא מאומת וקצת סותר את הרעיון הלוגי שמאחור ניתוב פורטים.
(אם למישהו יש מושג על זה שיכתוב פה)
בפעם האחרונה שבדקתי בכמה נתבים הממשק של הנתב פשוט התנגד לניתוב של אותן היציאות לשני מחשבים שונים (למחשב השני מהשניים).

במקרה של DMZ ככל הידוע לי ניתוב היציאות גובר על הגדרת ה DMZ ולכן היציאה תחשב סגורה בפני ה DMZ.
(אצלי בנתב כשהגדרתי ניתוב יציאה וניסיתי להפעיל את החמור במחשב שנמצא ב DMZ כל הזמן המחשב קיבל low-id משמע היציאה הייתה סגורה אבל במחשב שאליו היה הניתוב היה High-ID משמע היציאה פתוחה).
קיצור ניתן להגדיר ניתוב יציאות גם כאשר מוגדר DMZ.

במודם רגיל כאשר החיבור לספק האינטרנט נעשה על ידי מערכת ההפעלה במידה ואין לך תוכנות חומת אש כל היציאות פתוחות.

לגבי מודם שהפך לנתב: ברגע שהוא נתב היציאות חסומות אלא אם כן הוגדרו ניתוב יציאות.(וצריך להגדיר במידה ואתה רוצה לפתוח)

פרטי המחשב שלי על ידי CPU-Z

לפי מה שאני יודע בעיקרון לפחות בחלק מהראוטרים ישנה אפשרות לפתוח את אותו הפורט ליותר ממחשב אחד... מה שניקרא פורט פנימי ופורט חיצוני לדוגמא באופציה של שולחן עבודה מרחוק הפורט שלו הוא 3389 וזה הפורט היחידי שהוא עובד איתו (אי אפשר לכוון אותו בהגדרות רגילות כמו תוכנה רגילה זה חלק מהWIN) אז בשביל זה ישנו מה שניקרא פורט חיצוני.... אתה מגדיר בראוטר שפורט 3389 יהיה פורט חיצוני כלומר שהפורט הזה יהיה פתוח אם מישהו מנסה להכנס מהפורט הזה הראוטר יאפשר זאת ואז אתה מגדיר בראוטר פורט פנימי אחד או יותר שמקושר לפורט החיצוני 3389 ולכל IP שהנתב מחלק אתה מגדיר פורט פנימי ואז כביכול היציאה 3389 פתוחה לכל מחשב שמוגדר פורט פנימי ליציאה זאת כאשר אתה רוצה עם השולחן עבודה מרחוק למחשב ספציפי שלך אתה צריך בנוסף ל IP שאתה מקבל מהספק לספק את הפורט הפנימי בראוטר שאליו אתה רוצה להתחבר (הפורט הפנימי שמנותב לכתובת IP של המחשב שאליו אתה רוצה להתחבר) ואז אתה מגיע למחשב הספציפי הזה....
שוב ראיתי את זה בעיניים שלי בכמה נתבים זה לא אומר שזה קיים בכל הנתבים! אם ההסבר לא היה ברור שאלו שאלות ואנסה לענות !

אתה יכול להגדיר, בחלק מהראוטרים, שמספר פורטים חיצוניים שונים יגיעו לאותו פורט פנימי במחשבים שונים.

לדוגמא, אם עסקיננו בפורט 3389, אתה יכול להגדיר שפורט חיצוני 3389 יקודם לפורט 3389 במחשב א', פורט חיצוני 3390 יקודם לפורט 3389 במחשב ב' ופורט 4423 יקודם לפורט 3389 במחשב ג' וכו'.

בחלק מהראוטרים זה מוגדר בתור PORT MAPPING ובחלק זה מוגדר בתור VIRUTAL SERVERS.

חברי כנסת ישרים

אני דיברתי על יציאות מכיוון האינטרנט לכיוון הרשת הפנימית.

פרטי המחשב שלי על ידי CPU-Z

תודה
רק שאלה לי אליך
ברגע שאתה עושה DMZ כלומר אין הגבלת פורטים רמת הסיכון עולה
או שעדיין חומת אש מגנה
כי אם נתיחס נניח למודם רגיל ללא ראוטר כן אז בעצם מה שקורה זה רק הגנה של חומת אש נכון
למעשה אין הגבלה של פורטים .רק אתה צריך לפתוח אותם בחומת אש

מה קורה במצב שיש לך נתב ואתה פותח לו פורט מסויים אתה גם צריך לפתוח אותו בחומת אש

ולגבי הDMZ מה שאמרת לא בדיוק הבנתי את זה .
אם אני יעשה DMZ בנתב לכמה מחשבים שמחוברים ברשת אז בעצם אין הגבלת פורטים בכל המחשבים
בתודה

השאלה הזאת עלתה פה פעם ולפי מה שידוע לי DMZ אפשר לעשות רק למחשב ספציפי אחד בתוך הרשת..... אתה לא יכול לעשות DMZ לכמה מחשבים זה א'
דבר נוסף זה שאם אתה עושה DMZ אז אתה מבטל את חומת האש! אין הגנה.... הכל פתוח!

בנוסף שאתה פותח פורט בראוטר כן אתה צריך לפתוח את אותו פורט בחמות האש שבWIN אני חושב שאם יש לך ראוטר זה בזבוז זמן ומשאבים וגם כאב ראש שיהיה גם חומת אש במערכת ההפעלה! (אלא אם אתה עושה לאותו מחשב DMZ)

אני קורא לכל מי שיכול להגיד הערות בונות להסברים שלי שיגיב אז ביפנית "דוזו".

ברגע שאתה מכניס מחשב ל DMZ הוא חשוף לגמרי לגישה מהאינטרנט לכרטיס הרשת שלך וכל מה שיכול למנוע תנועה כל שהיא לכיוון מערכת ההפעלה שלך זו תוכנת חומת אז או סינון כזו או אחרת.

ואני מצטרף לידידנו שאומר שאם יש לך חומת אש בנתב אז חבר לשים גם בחלונות אבל>>>
מכיוון שרוב חומות האש בנתבים הם בעצם הגנה בסיסית מעצם קיום טכנולוגית ה NAT (בלי לפרט) בנתב ולכן תקשורת מכל פורט במחשב אל האינטרנט אינה נחסמת ולכן מזיקים שונים עדיין יוכלו "לכסח" לך את חיבור האינטרנט ומכיוון שחומת האש של חלונות לא מי יודע מה מעמיסה על פעולת מחשבים סבירים (512MB RAM) אני הייתי ממליץ להשאיר אותה פעילה.

לגבי המושג DMZ במקורו הוא Demilitarized zone = איזור ללא שליטה צבאית.
וכמו שהביטוי אומר זהו "איזור" ולא מחשב.
במקור מדובר על מושג ברשתות מחשבים שמדבר על איזור פתוח דו כיוונית לאינטרנט ללא סינון מעבר חבילות מידע.
המחשבים שנמצאים באיזור זה בעצם חשופים ישירות לאינטרנט ולהתקפותיו ושגעונותיו ולכן הם אחראיים על בטחון עצמם.(כי אין מכשיר או מחשב שחוצץ בינם לרשת האינטרנט או רשתות אחרות שונות).

ברוב הנתבים הביתיים ניתן להגדיר מחשב\התקן רשת יחיד בתוך DMZ.

ישנה בעיה קטנה בתקשורת בין רשתות פנימיות(LAN) לבין רשת האינטרנט(WAN).
בכל רשת יש מזהה למחשב ברשת ולכל רשת יש את הכללים שלה.
כל מחשב שרוצה בעצם ליצור קשר ישירות עם האינטרנט הוא חייב מזהה\כתובת ברשת האינטרנט(WAN).
עלות של כתובת אינטרנט היא יקרה מאד ולרוב הצרכנים הביתיים והעסקיים אין אפילו צורך באחת כזאת.
כאשר לכל מחשב יש כתובת WAN אין צורך בניתוב פורטים וכאלה.
אבל מכיוון שלא צריך את זה, כתובות האינטרנט הולכות ואוזלות ועוד שיקולי אבטחה ואחרים, משתמשים בטכנולוגית ה NAT בנתבים שהיא בעצם מעמידה רשת\ות מחשבים מול האינטרנט על ידי שימוש בכתובת אינטרנט אחת לתקשור עם האינטרנט.(דבר שחוסך בעליות וכן מוריד את הרבה טרדות אבטחה שונות).

הבעיה במצב הזה (ויש בזה גם יתרון) שמכיוון הרשת הפנימית כל המחשבים פונים לרשת האינטרנט דרך נתב שמשתמש בטכנולוגית ה NAT (היא מוגבלת לעד 5000 חיבורים סימולטנית) על מנת ליצור קשר עם האינטרנט הנתב יודע מה הוא שלח ומה הוא צריך לקבל(עם מזהה) ולאן להחזיר את הנתונים אבל כאשר נשלחת חבילת מידע מכיוון האינטרנט "חדשה" ללא מזהה של מבקש מכיוון הרשת הפנימית, הנתב במידה ולא הוגדרו הגדרות ניתוב חבילות לפי תנאים מסויימים פשוט יתעלם מהחבילה וזה בעצם סוג של חומת אש.

לא ניתן להעמיד כמה מחשבים ב DMZ בנתבים שאני מכיר פשוט מכיוון שהגדרת ה DMZ בנתבים האלה היא בעצם ניתוב של כל התנועה מרשת האינטרנט למחשב ספציפי וממנו לאינטרנט ככה שלוגית לא ניתן להגדיר הגדרה כזאת לנתב.

פרטי המחשב שלי על ידי CPU-Z

אם הגיעה תקשורת נכנסת מהאינטרט לראוטר והיא לא:
א) שייכת לתקשורת יוצאת שנוצרה ע"י אחד המחשבים ברשת.
ב) עונה לחוקי קידום פורטים שהגדרת בראוטר (לדוגמא, כל ההתקשרויות שמגיעות בפורט 80 מגיעות למחשב א' כי הוא מריץ שרת HTTP)

אז היא מועברת למחשב שהוגדר בתור DMZ.

מה שהופך זאת לברור שניתן להגידר רק מחשב אחד בתור DMZ.

אם הראוטר שלך כולל FW זה לא מבטל זאת (בחלק מהראוטרים יש FW שכולל הגנה מפני פאקטים אשר מוגדרים כ"זדוניים") אולם אתה מוותר על ההגנה שיש לך במחשבים ברשת מפני תקשורת נכנסת המיועדות לפורטים אותם לא קידמת (כלומר, אישרת בהם תקשורת).

חברי כנסת ישרים

1. האם ניתן לבטל בנתבים את ההגבלה של הפורטים בכלל { לבטל את הפיירוול } כך שאף מחשב ברשת לא יהיה מוגבל .

תקנו אותי אם טועה . אבל לפי דעתי שיש גלישה רגילה ממודם רגיל אז בעצם אין הגבלה של פורטים
יש רק את חומת האש של הוינדוס . נכון
אז אם נגיד עובדים עם נתב ופותחים לו את ההגנה עדיין יש את חומת אש של וינדוס .

במצב כזה הראוטר לא יכול לדעת לאיזה מחשב ברשת הפנימית המידע הנ"ל מיועד ולכן אם לא תגדיר לו לפי חוקים מסוימים (לדוגמא, כל המידע המתקבל בפורט 1234) לאיזה מחשב להעביר את המידע, המידע הנ"ל פשוט "יזרק לזבל".

תחשוב על כך שאתה מריץ איזה משחק מגניב במחשב שלך והחבר שלך יוסי רוצה להתחבר לך למשחק. המשחק מאזין לפורט 2564 ויוסי מנסה להתחבר לכתובת ה-IP החיצונית שלך בפורט זה. הראוטר יודע שיש לך בבית 3 מחשבים, אחד שלך, אחד של אחותך ואחד בסלון. אין לו מושג שבקשת התחברות המגיעה אליו בפורט 2564 אמורה להגיע דווקא למחשב שלך כל עוד לא הגדרת לו זאת.

בשורה התחתונה, ההגנה שאתה מקבל בשימוש בנתב היא לא FW שנוצר בכוונה תחילה אלא תוצאה של שימוש ברכיב המכונה NAT (תרגום כתובות רשת) הנובע מכך שכל הרשת הפנימית שלך משתמשת בכתובת IP אחת ויחידה באינטרנט.

הדרך היחידה לבטל זאת היא ע"י רכישת כתובת IP יחודית לכל מחשב ומחשב ברשת הפנימית שלך, אולם מדובר בשירות שעולה לא מעט כסף ואתה צריך ציוד (מודם) שמסוגלים לתמוך בכך.

חומת האש של חלונות פועלת אם מפעילים אותה, אתה יכול לסגור אותה בכל רגע נתון. רק קח בחשבון שבהתחברות לאינטרנט ללא חומת אש אתה עלול לקבל וירוס או להיות מותקף תוך משהו כמו 5 דקות.

חברי כנסת ישרים

לגבי חומת אש של ויינדוס .לא התכוונתי לבטל אותה ההפך

שהיא תהיה פעילה . ובנתב לעשות DMZ .

תקן אותי אם אני טועה . במצב של מודם רגיל ללא וחומת אש פעילה בוידוס
זה בעצם אותו דבר שיש נתב ועושים לו DMZ ומפעילים חומת אש וינדוס
זה לא אותו דבר .

מדוע כמעט ולא בדיוק?
כי הפניית התקשורת למחשב שהוגדר כ-DMZ נעשית בעידפות הכי נמוכה.
לדוגמא, אם יש לך 2 מחשבים בבית, למחשב א' קידמת את פורט 12345 ואת מחשב ב' הגדרת כ-DMZ ונניח מישהו מהאינטרנט מנסה ליצור התקשרות בפורט 12345, ההתקשרות תגיע למחשב א' ולא למחשב ב' אע"פ שהוא מוגדר כ-DMZ.

חברי כנסת ישרים