Hi!

Etwas sicherer (bei richtiger Konfiguration) ist ein eigener ("dedizierter") Rechner, der als Portfilter (und ggf. Proxy / Stateful Inspection) arbeitet. Das muß keine High-End-Kiste sein, ein alter 486er reicht für ISDN vollkommen aus (http://www.fli4l.de/ und andere).

Auch nicht verkehrt(und gar nicht so teuer) sind Router die einen evtl. einen Paketfilter und NAT anbieten. Vor allem durch NAT kann man genau bestimmen ob und wenn ja welche Ports auf welchen Rechner weitergeleitet werden sollen.

Mal ne Frage hierzu - woher weiß so ein Router ob er ein IP-Paket (z.B. einen HTTP-Response) durchleiten soll oder nicht? Wenn ich mich nicht irre arbeiten Router doch nur auf IP-Ebene, und da weiß er doch nicht was jetzt in dem Paket ist, wie unterscheidet er es von irgendeinem Request in welchem protokoll auch immer an so einen Port der ja nicht per Port-Forewarding weitergeleitet wird? ich meine IP wird ja normalerweise nicht verschlüsselt also könnte jemand ja so einen Response vortäuschen und in Wirklichkeit einen Request an einen offenen Trojaner-Port auf einem Rechner hinter dem Router leiten, oder? AFAIK merkt sich ja der Router einen "IP-Request" eines seiner Clients und kann dann den "Response" entsprechend wieder zurückleiten, also müsste bei dem von mir oben beschriebenen Vorgehen schonmal ein Request erfolgt sein auf den man dann antwortet. Oder scheitert das ganze dann endgültig beim Client da er das nicht erwartete IP-Paket verwerfen würde?

Grüße
Andreas