http://forum.geizhals.at/feed.jsp?id=886146 Geizhals-Forum http://forum.geizhals.at/t886146,7756767.html#7756767 <a href="https://forum.geizhals.at/t886146,7755834.html#7755834" rel="noopener" target="_blank">https:/<wbr/>/<wbr/>forum.geizhals.at/<wbr/>t886146,7755834.html#7755834</a>&nbsp;&nbsp;Wir vl. <img src="zwinker.gif" width="16" height="19" align="absmiddle" alt=";-)"/><br><br>SNMP würde ich brauchen um z.B. den Tintenfüllstand abfragen zu können oder um zu sehen ob der Drucker online ist.<br><br>Die Segmentierung bringt mir den Vorteil dass ich den Outbound Traffic des Druckers im selben Subnetz ebenfalls steuern und überwachen kann. Es gibt Exploits für Multifunktionsgeräte wo ich eine komplette Shell hab und mir z.B. die Credentials für den Zugriff aufs NAS auslesen kann, im Optimum die Domain Credentials der Benutzer. <img src="smile.gif" width="16" height="19" align="absmiddle" alt=":-)"/><br/> Sun, 12 Feb 2017 10:13:39 GMT http://forum.geizhals.at/t886146,7756767.html#7756767 Srv-02 2017-02-12T10:13:39Z http://forum.geizhals.at/t886146,7756757.html#7756757 ich kann nicht folgen...<br><br>wir lassen wir ja die nötigen ports dazu garnicht durch, höchstens 9100 oder so um Druckaufträge sendne zu können. Bitte erklär mir mal welches angriffsszenario damit möglich sein soll.<br><br/> Sun, 12 Feb 2017 09:48:11 GMT http://forum.geizhals.at/t886146,7756757.html#7756757 Desolationrob 2017-02-12T09:48:11Z http://forum.geizhals.at/t886146,7756222.html#7756222 Wenn ich auf den beiden Clients je kritische Daten habe, dann wäre der unsichere Drucker DER Punkt an dem ich ansetzen würde um Zugriff zu beiden Netzen zu erhalten. SNMP trap ist sicher public, eine veraltete SMB Version usw.<br/> Fri, 10 Feb 2017 16:10:32 GMT http://forum.geizhals.at/t886146,7756222.html#7756222 Srv-02 2017-02-10T16:10:32Z http://forum.geizhals.at/t886146,7756196.html#7756196 kommt auf die hosts an. Kritische Daten drauf,dann ja. Drucker,nein<br/> Fri, 10 Feb 2017 15:32:51 GMT http://forum.geizhals.at/t886146,7756196.html#7756196 Desolationrob 2017-02-10T15:32:51Z http://forum.geizhals.at/t886146,7756125.html#7756125 Wenn die Umgebung so klein ist, dann machen auch zwei getrennte Office Netzwerke keinen Sinn. Ist aber trotzdem falsch. Ich habe für Kunden schon Netzwerke segmentiert wo nur je 2-3 Hosts drinnen waren.<br/> Fri, 10 Feb 2017 11:23:38 GMT http://forum.geizhals.at/t886146,7756125.html#7756125 Srv-02 2017-02-10T11:23:38Z http://forum.geizhals.at/t886146,7756123.html#7756123 aber ein VLAN mit nur einem Device in einem kleien Setup macht keinen Sinn, das war gemeint<br/> Fri, 10 Feb 2017 11:17:56 GMT http://forum.geizhals.at/t886146,7756123.html#7756123 Desolationrob 2017-02-10T11:17:56Z http://forum.geizhals.at/t886146,7756077.html#7756077 Ein Device VLAN macht durchaus Sinn, allein zur Verwaltung. Ich nehme an dass er noch mehrere Geräte im Netzwerk hat. Es ist ja auch kein Aufwand das einzurichten.<br/> Fri, 10 Feb 2017 08:39:07 GMT http://forum.geizhals.at/t886146,7756077.html#7756077 Srv-02 2017-02-10T08:39:07Z http://forum.geizhals.at/t886146,7756066.html#7756066 spricht was gegen die verwendung von (3 IP bereichen &) subnet masks?<br/> Fri, 10 Feb 2017 07:53:35 GMT http://forum.geizhals.at/t886146,7756066.html#7756066 ashley77 2017-02-10T07:53:35Z http://forum.geizhals.at/t886146,7756064.html#7756064 weil er dann laut admin dann einen printserver mit 3 NICs bräuchte <img src="zwinker.gif" width="16" height="19" align="absmiddle" alt=";)"/><br><br>ne, also für einen einzigen Drucker Drucker macht man kein eigenes LAN. Wenn es mehr sind kann man drüber reden, so macht es wohl wenig Sinn.<br>Einfach auf der Firewall (dann aber nicht Port any, sondern nur den wo der Drucker auch Aufträge entgegennimmt) freischalten und gut ist<br/> Fri, 10 Feb 2017 06:58:26 GMT http://forum.geizhals.at/t886146,7756064.html#7756064 Desolationrob 2017-02-10T06:58:26Z http://forum.geizhals.at/t886146,7755906.html#7755906 Du trennst die Netze um sie dann wieder zu verbinden, richtig?<br><br>Wieso machst nicht ein eigenes VLAN für den Drucker und stellst ihn nach 192.168.3.0/24?<br/> Thu, 09 Feb 2017 17:34:49 GMT http://forum.geizhals.at/t886146,7755906.html#7755906 Srv-02 2017-02-09T17:34:49Z http://forum.geizhals.at/t886146,7755848.html#7755848 Okay. Super !<br>Vielen Dank <img src="zwinker.gif" width="16" height="19" align="absmiddle" alt=";-)"/><br><br/> Thu, 09 Feb 2017 14:46:20 GMT http://forum.geizhals.at/t886146,7755848.html#7755848 poff 2017-02-09T14:46:20Z http://forum.geizhals.at/t886146,7755834.html#7755834 Genau so<br><br>Netz 192.168.0.1/24 --> Port any --> IP Drucker 192.168.1.200<br><br>Netz 192.168.0.1/24 --> Port any --> IP NAS 192.168.1.122<br><br>dann sind diese Zugriffe von der Firewall geregelt... sämtlich andere Anfragen z.B. vom PC 192.168.0.32 auf 192.168.1.99 funktioniert nicht. <br><br>Anstatt ganzer Netze (192.168.0.1/24) können auch einzelne Clients also PCs den Zugriff bekommen (Host-Group)<br><br>Virenmäßig isses dahingehend ghupft wie ghatscht... Virenscanner (am Besten einer der Anomalien erkennt) brauchts sowieso auf jedem Endgerät. <br>Wenn ein Virus auf eine andere IP als auf diese 2 im anderen Netz will muss es die Zywall aushebeln oder die NAS so infizieren dass halt wenn ein PC aus dem anderen Netz diese Datei aufmacht halt auch wieder infiziert ist. <img src="smile.gif" width="16" height="19" align="absmiddle" alt=":-)"/><br/> Thu, 09 Feb 2017 14:11:38 GMT http://forum.geizhals.at/t886146,7755834.html#7755834 Blacktronix 2017-02-09T14:11:38Z http://forum.geizhals.at/t886146,7755810.html#7755810 okay.<br>Verstehe ich das richtig:<br>Damit kann ich also dem PC (zb. 192.168.0.32)&nbsp;&nbsp;sagen, dass er Drucker XYZ unter 192.168.1.200 und eine NAS unter 192.168.1.122 findet, ohne dass er aber Zugriff auf irgendwas anderes im Netz 192.168.1.XXX hat?<br>Nur diese beiden Adressen werden von der ZyWall dorthin geroutet?<br><br>Wie "sicher" ist das?<br>Könnte sich dadurch ein Virus leichter von einem ins andere Netz schwindeln?<br><br><br><br/> Thu, 09 Feb 2017 12:44:36 GMT http://forum.geizhals.at/t886146,7755810.html#7755810 poff 2017-02-09T12:44:36Z http://forum.geizhals.at/t886146,7755761.html#7755761 es sollte auch ohne Druckserver gehen... in der Zywall muss nur ein Zugriff dementsprechend vom Netzwerk zur IP des Druckers ermöglicht werden. <br><br>Dateiaustausch funktioniert auf die selbe Weise. In einem der beiden Netze (oder von mir aus auch in einem Dritten) muss eine Dateiablage realisiert werden auf welche die einzelnen Netze zugreifen können. <br><br>Mein Vorschlag wäre Drucker und Dateiablage in irgendeinem der beiden Netze realisieren und in der Zywall dementsprechende Regeln bauen die den jeweiligen Zugriff erlauben. Dann funktioniert das <img src="smile.gif" width="16" height="19" align="absmiddle" alt=":)"/><br/> Thu, 09 Feb 2017 10:19:49 GMT http://forum.geizhals.at/t886146,7755761.html#7755761 Blacktronix 2017-02-09T10:19:49Z http://forum.geizhals.at/t886146,7755718.html#7755718 Hi zusammen.<br><br>Da meine Netzwerkkenntisse eher bescheiden sind, mal folgende Frage:<br><br>Wir haben hier hinter einer "ZyXEL ZyWALL USG20" zwei getrennte Netzwerke<br>(192.168.0.XXX und 192.168.1.XXX) Damit kann keiner so einfach Schaden im jeweils anderen Netz anrichten. Soweit so gut<br><br>Jetzt sollen beide Seiten auf einen Drucker zugreifen.<br>Lt. Admit mit einem Printserver (mit 2 Netzwerkkarten) problemlos umsetzbar.<br><br>Jetzt meine Frage:<br>Kann man in irgendeiner Form einen "Datenaustauchordner" einbinden?<br>Es sollen das 0er und das 1er Netzwerk weiterhin getrennt bleiben, aber beide z.B. auf ein drittes (192.168.2.XXX) zugreifen. Oder kann der Printserver Daten bereitstellen (selbst ein paar GB auf einem angesteckten USB Stick würden schon reichen)?<br><br>Wie macht man das "richtig"?<br>Oder geht das aus irgendeinem Grund erst gar nicht ?<br>Gibts GOs und NOGOs ?<br><br>Danke<br><br/> Thu, 09 Feb 2017 08:06:39 GMT http://forum.geizhals.at/t886146,7755718.html#7755718 poff 2017-02-09T08:06:39Z