När man öppnar en port i routern.

Jag kanske yrar här, men har man ett program som hela tiden använder en viss port så ligger väl säkerhetsproblemet i det programmet eftersom en port bara kan användas av ett program i taget.

Men där lyssnar ju programmet sedan och "suger upp" det som kommer in

På sätt och vis har du rätt, man sänker säkerheten lite när man öppnar upp i en brandvägg.

Det bästa fallet är när man kan begränsa att trafik till den öppna porten endast når en specifik maskin på insidan, och att det programmet som använder den porten är säkert, finns det buggar som man kan utnyttja i programmet så kan en oönskad användare komma in i den maskinen och göra saker eller "studsa" vidare till andra maskiner på insidan.

För att förhindra detta så finns det i brandväggar något som heter DMZ (inte det som "bredbandsroutrar" för hemmabruk kallar DMZ), vilket är ett separat nät som man ställer webservrar och liknande på, då kan trafik utifrån nå webservrarna men kan inte "studsa" vidare in på insidan.

I princip ser ett DMZ ut så här, oftast är det en brandvägg med 3 eller flera interface:

"Internet" <-> Brandvägg <-> DMZ <-> Brandvägg <-> LAN

Har "bredbandsroutrar" alltså en annan definition på vad som utgör en DMZ? Har aldrig ägt en dylik box, men jag trodde DMZ var samma sak där som på en riktig brandvägg.

I ex. D-Link's DI-604 betyder det att alla portar öppnas mot en specifik dator på LAN sidan.

Nej, det bredbandsroutrar kallar DMZ är bara en förenklad forwadingregel som säger att all trafik skall skickas till ett visst IP.

Zyxel har i alla fall en speciell port för DMZ på sina bredbandsroutrar - burkarna som står där får egen ip-kedja och måste passera brandväggen för att komma in på lanet.

Zyxel är enligt mig en av de mer kompetenta tillverkarna av routrar och nätverkshårdvara då de har alla upptänkliga inställninar och funktioner.

Detta är inte unikt för D-Links routrar, Netgear, Linksys, SMC och nästan alla andra routrar i "konsumentklassen" använder den definitionen. Och som en följd så tror också gemene man att DMZ är exakt vad dessa routrar säger att det är. De enda som blir upprörda är de som vet vad en riktig DMZ är.

Det finns ju en möjlighet med en del egenbyggda fw att använda bl.a portknocking som väl i praktiken och teroin går ut på att man skickar en sekveks till en annan port som sedan öppnar porten man ska använda, jag har för mig att det ska finnas någon annan teknik också för dynamiskt öppnande.

Detta är väl iofs kanske inte så bra för just en webserver då med tanke på hur mycket trafik den kan generera och om det är nödvändigt alls.

En öppen ports säkerhet är väl inte bättre än tjänsten som utnyttjar den med allt av problem det kan innebära, en "riktig" DMZ zone är ju att föredra att lägga sina servrar, wlan, torrent/dc tankar maskiner på m.m ifall man vill ha ett så säkert LAN som det nu går att få.

Dock så är det ju fortfande maskiner utan ström, cd, diskett, usb, tbord, internet som är mest säkra