Routing thuisnetwerk

kan je niet best je router direct achter je modem hangen?

Dan ligt aan het IP wat beide computers gekregen hebben. Dus.. even ipconfig posten.

webinn schreef op zaterdag 18 december 2010 @ 16:08:
kan je niet best je router direct achter je modem hangen?

Als je ze buiten je eigen netwerk wil kunnen gebruiken dan best niet.

denwilly schreef op zaterdag 18 december 2010 @ 16:24:
[...]


Als je ze buiten je eigen netwerk wil kunnen gebruiken dan best niet.

Zonder firewall is dit anders wel een hele onverstandige opstelling. En alle apparaten die onder 'netwerk' vallen moeten door de router om de server te bereiken. Dat betekent dat die waarschijnlijk (flink) aan snelheid moeten inboeten.

Ik neem aan dat je geen ipv6 maar ipv4 gebruikt. Dan is het vrijwel zeker zo dat de modem een subnet uitdeelt aan het lokale lan dat jouw switches verdelen. Zie dat als 1 touwtje en dat alle verkeer dat binnen dat netwerk plaatsvindt niet naar het internet gaat. Je modem is in feite een NAT router. dwz1 adres aan de internet kant en veel adressen lokaal.

Als je ipv6 draait, en dat raad ik je alleen maar aan als je er echt verstand van hebt, dan is de modem een router zonder eigen subnet uitgave.

Het gaat hier over iemand uit Belgie, dus daar zou ik niet al te zeker van zijn. Je kan daar vaak (nog) meerdere publieke IP adressen krijgen.

Oke dan kunnen we nu je vraag beantwoorden:

Als ik nu de server benader via de laptop, wordt dit dan over de laatste switch "ge-rout" of gaat dit via de ISP?

Ze zitten beiden in hetzelfde subnet, ja dus. Maar ik blijf erbij dat dit geen verstandige opstelling is.

Zorg dat alles achter de router zit. Een goede router kan prima overweg met meerder publieke IP's, Op die manier kan je router functioneren als firewall. Direct een pc aan het internet is gewoon heel dom.

Sosabowski schreef op zaterdag 18 december 2010 @ 19:56:
Zorg dat alles achter de router zit. Een goede router kan prima overweg met meerder publieke IP's, Op die manier kan je router functioneren als firewall. Direct een pc aan het internet is gewoon heel dom.

+1
Gewoon static route instellen dat je LAN rechtstreeks met je server kan communiceren. Toegeven, het gebeurt niet vaak dat je een host adres opgeeft als route, maar het kan en het lijkt me veiliger.

keejoz schreef op zaterdag 18 december 2010 @ 23:21:
En waarom is dat dom?

Omdat je server en laptop nu direct aan het internet hangen en dus voor iedereen op internet bereikbaar zijn zonder iets van een firewall ertussen. Op deze manier vraag je erom problemen te krijgen, zeker als je ook nog (windows) filesharing open hebt staan op die server die direct aan internet hangt

En ik zou ook even de volledige ip's weghalen hierboven...

Ja maar een hardwarematige firewall is veel beter dan de windows firewall. En bovendien neem ik aan dat je het een en ander open hebt staan voor de diensten die je op je server hebt draaien? Anders heb je namelijk niets aan een server.

ik222 schreef op zondag 19 december 2010 @ 08:57:
Ja maar een hardwarematige firewall is veel beter dan de windows firewall. En bovendien neem ik aan dat je het een en ander open hebt staan voor de diensten die je op je server hebt draaien? Anders heb je namelijk niets aan een server.

De meeste "hardwarematige" firewalls maken gewoon gebruik van iptables, dus voor een linux server is dat maar een kwestie van instellen. Bij een windows machine (zeker bij XP) heb je veel minder opties en windows is sowieso al kwetsbaarder voor aanvallen.

Een andere goede reden is management. Best practice kan je het routen en firewall centraliseren, moet je het maar op één plaats echt instellen en is de kans op fouten kleiner. Het spreekt echter voor zich dat je op alle machines ook nog een extra firewall laat draaien.

Edit: nog een reden. Als ik het goed voorheb heb je nu een groot broadcast domain die je met andere onbekende personen deelt. Dat maakt het gevoelig voor ARP spoofing en dat wil je ook niet.

[ Voor 10% gewijzigd door IStealYourGun op 19-12-2010 12:35 ]

Telenet blokkeert alle poorten onder de 1024 (en nog een paar daarboven ook) dus echt een ramp is het niet, maar persoonlijk zou ik ook gaan voor alle apparaten op de router/firewall.