DMZ und Firewallregeln - Port 139 usw

Fragen, Antworten und Hilfen rund um die Konfiguration

Beitragvon snoopy » Mo 19.11.2001 - 14:39

@Feodor
habe hier mal das Ergebnis des Portscans.
Du siehst, Port 21 wird nicht als offen angezeigt.
Jedoch Netbios-Port ist auch geschlossen, und somit müssen die Standart-FW-Regeln greifen.
<img src="http://www.giner-online.de/ports.JPG">
Vigor 2900; Kabel-Internet mit 32 Mbit
Benutzeravatar
snoopy
Ambitionierter User
 
Beiträge: 57
Registriert: Mi 15.08.2001 - 13:51
Wohnort: 78194 Immendingen

Beitragvon Arie » Mo 19.11.2001 - 17:02

Ich habe das ganze vor ein paar Wochen auch schonmal getestet. Bei mir waren alle offenen Ports des WIN ME Rechners vom Internet aus zu sehen. Im Router war Ping eingeschaltet.
Benutzeravatar
Arie
Power-User
 
Beiträge: 236
Registriert: Fr 22.06.2001 - 23:27
Wohnort: Fürth

Beitragvon bundr » Mo 19.11.2001 - 19:17

Hallo Zusammen,

was testet den Ihr? !!
Ich habe es selber mit der 1.08 englisch getestet. DMZ auf die Client-IP eingestellt.

Firewall auf Standard(Auslieferungszustand) zurückgestellt.

Portscan Ergebnisse:

Port Status Protokoll Service-Name Kommentar
7 Offen tcp echo Erläuterung
9 Offen tcp discard
13 Offen tcp daytime
17 Geschützt tcp qotd
19 Offen tcp chargen
21 Offen tcp ftp Erläuterung
43 Geschützt tcp nicname
77 Geschützt tcp *
117 Geschützt tcp uucp-path
135 Offen tcp epmap
139 Offen tcp netbios-ssn Erläuterung
155 Geschützt tcp netsc-dev
161 Geschützt tcp snmp
165 Geschützt tcp xns-courier
168 Geschützt tcp rsvd
227 Geschützt tcp *
258 Geschützt tcp yak-chat
292 Geschützt tcp *
329-331 Geschützt tcp *
368 Geschützt tcp qbikgdp
376 Geschützt tcp nip
445 Offen tcp microsoft-ds
456 Geschützt tcp macon-tcp
489 Geschützt tcp nest-protocol
496 Geschützt tcp pim-rp-disc
505 Geschützt tcp mailbox-lm
523 Geschützt tcp ibm-db2
549 Geschützt tcp idfp
583 Geschützt tcp philips-vc
587 Geschützt tcp submission
596 Geschützt tcp smsd
633 Geschützt tcp servstat
652 Geschützt tcp udlr-dtcp
705 Geschützt tcp agentx
707 Geschützt tcp borland-dsj
763 Geschützt tcp cycleserv
838 Geschützt tcp *
845 Geschützt tcp *
936 Geschützt tcp *
977 Geschützt tcp *
981 Geschützt tcp *
1021 Geschützt tcp *
Alle Übrigen Geschlossen tcp *

So was sagt Ihr jetzt?

Der Port 139 ist offen!!!

Gruß
BundR



(Geändert von bundr um 7:21 pm am Nov. 19, 2001)
Benutzeravatar
bundr
Power-User
 
Beiträge: 113
Registriert: Sa 02.06.2001 - 15:41

Beitragvon snoopy » Mo 19.11.2001 - 20:35

Genau das gleiche hatte ich auch getestet!!!!!!!!!
Es sind außer den Standard-Regeln in der FW keine weiteren aktiv.

Mit was hast du den PortScan durchgeführt?
Vigor 2900; Kabel-Internet mit 32 Mbit
Benutzeravatar
snoopy
Ambitionierter User
 
Beiträge: 57
Registriert: Mi 15.08.2001 - 13:51
Wohnort: 78194 Immendingen

Beitragvon bundr » Mo 19.11.2001 - 21:15

Hallo Snoopy,

habe den gleichen wie Du benutzt.

Gruß
BundR
Benutzeravatar
bundr
Power-User
 
Beiträge: 113
Registriert: Sa 02.06.2001 - 15:41

Beitragvon Juergen » Mo 19.11.2001 - 21:50

Hi,
wir sollten einen Preis aussetzen. Wer als erstes die richtige Regel für die Kombination DMZ - IP Filter hat, kriegt ihn dann. Martin macht aber nur ausser Konkurrenz mit :biggrin:, damit wir auch noch eine Chance haben.
Da meine bisherigen Lösungsansätze nicht klappen, werd ich jetzt das das Testfeld gemäß Feodors Anmerkung nochmal komplett neu aufbauen. Also geh ich jetzt nen Rechner kaufen, den Router konfigurieren, .... bis nächstes Jahr dann mal.......
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon Feodor » Di 20.11.2001 - 20:14

Hallo,

kennt jemand ein einfaches kleines, kostenloses Client-Server-Programm, bei dem man den Server-Port frei konfigurieren kann. Ich könnte das zu Testzwecken (Thema DMZ, Portpriorisierungen und Paketfilter)brauchen. Was es macht ist egal. Man muss nur sehen können, ob der Client Verbindung zum Server hat.

Gruß
Feodor

(Geändert von Feodor um 8:15 pm am Nov. 20, 2001)
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon sbellon » Di 20.11.2001 - 22:42

Nimm ein x-beliebigen Server und konfiguriere ihn auf den Port, den Du testen willst (nimm zur Not stunnel, o.ä. her). Ob eine Verbindung besteht kannst Du dann mit netstat feststellen.

Grüße, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon Feodor » Mi 21.11.2001 - 13:33

@sbellon:
Ein Blick in www.stunnel.org zeigt mir nicht, wie mir der Universal SSL Wrapper helfen könnte. Ich habe ja Client/Server-Programme, die mir aber nicht geeigenet erscheinen. Beispiele: Ich weiß z.B. dass man bei Roger Wilco einen beliebigen Server Port konfikurieren kann. Das Programm ist mir aber wegen der ganzen Soundkartenproblematik nicht einfach genug. Bei meinem FTP-Server kann z.B. ich den Port nicht ändern. CS und Q3 hat nicht jeder und wenn fehlt es an Geduld zu Testen. etc. etc.

@all daher noch mal:

Scheibt doch bitte einfach nur Namen von irgendwelchen kleinen und _einfachen_ Client/Server-Programmen auf, die ihr für geeignet haltet. Ganz wenige Wörter könnten mir hier viel Sucharbeit ersparen.

------------------------------------------------------------------
Einfach nur die Namen der Anwendungen. Ich suche dann schon selber im Web.
------------------------------------------------------------------

Ideal wäre es, wenn man den Client ohne Installation starten könnte, denn ich muss noch jemand überzeugen als Gegenstelle zu fungieren, was erfahrungsgemäß sowieso schwerfällt, und daher soll es für meinen Testpartner möglichst einfach sein..

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon snoopy » Mi 21.11.2001 - 16:19

Also ich hätte einen FTP-Server (200 kb ohne Install) indem man den Port einfach abändern kann.

http://www.giner-online.de/ftp.zip
Vigor 2900; Kabel-Internet mit 32 Mbit
Benutzeravatar
snoopy
Ambitionierter User
 
Beiträge: 57
Registriert: Mi 15.08.2001 - 13:51
Wohnort: 78194 Immendingen

Beitragvon Feodor » Mi 21.11.2001 - 20:53

Hab' Dank snoopy! Genau das is' es, was ich brauche. Super!

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon sbellon » Do 22.11.2001 - 01:00

stunnel ist ein ssl wrapper, korrekt. Den kannst Du auf einem *beliebigen* Port als Server lauschen lassen. Sobald dort was ankommt, wird es an einen anderen Port (local oder remote) geforwarded und dabei verschlüsselt. Das ist mal die "Serverseite", bei der Du den Port konfigurieren wolltest. Und zum Feststellen, ob eine Verbindung da ist, kannst Du entweder die logs von stunnel benutzen, oder mit netstat schauen, ob eine Verbindung da ist.

Einfacher geht es nicht. Das sind zwei Zeilen am Prompt zu tippen. :-)

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon Feodor » Do 22.11.2001 - 14:15

Zitat von sbellon am 1:00 am am Nov. 22, 2001
Den kannst Du auf einem *beliebigen* Port als Server lauschen lassen. Sobald dort was ankommt, wird es an einen anderen Port (local oder remote) geforwarded und dabei verschlüsselt. Das ist mal die "Serverseite", bei der Du den Port konfigurieren wolltest. Und zum Feststellen, ob eine Verbindung da ist, kannst Du entweder die logs von stunnel benutzen, oder mit netstat schauen, ob eine Verbindung da ist.


Ok, ich habe mich abschrecken lassen durch "The Stunnel source code is not a complete product -- you still require ...etc.etc." :-)

Ich hab's mal runtergeladen und gucke mir auch mal die FAQs genauer an. Mal sehen, ob ich's verstehe, ohne vorher noch irgendwelche Bücher lesen zu müssen ;-) Sieht dann doch so aus, als könnte man das Werkzeug direkt von der Kommandozeile aus starten. Wrapper klang für mich erst mal wie ein reines Interface - fehlen dann noch die eigentliche Routinen, aber die sich da offenbar auch zufinden.

Danke nochmal!

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon sbellon » Do 22.11.2001 - 21:51

Ich habe z.B. bei mir einen Web-Server laufen, der keinen SSL-Support hat. Dann habe ich mit

stunnel -d 443 -r localhost:80

einen SSL-Wrapper vom https Port auf den http Port gemacht. Nach außen habe ich nur den https Port offen, und nicht den http Port.

Das ist z.B. ein Anwendungsgebiet für stunnel.

Es geht auch genau andersherum, wenn man pop3s, nntps oder ssmtp benutzen will (also die SSL-Varianten der unverschlüsselten Protokolle). Dann einfach genau andersherum stunnel starten (Doku lesen).

Ist auf jeden Fall ein sehr nützliches Tool. Und auch zum Testen (wie Du es ja wolltest), eignet es sich hervorragend.

Gruß, sbellon.
sbellon
Ambitionierter User
 
Beiträge: 80
Registriert: Mi 22.08.2001 - 18:48

Beitragvon Feodor » Mi 28.11.2001 - 00:01

@bundr:
habe im Vigor DMZ aktiviert. Alle Ports sind ins Internet
direkt umgeleitet. Ein Portscann hat mir das bestätigt.

Unteranderem ist auch der Port 139 offen. Dies ist der NetBios-Port für Mircosoft. In der Firewall ist er aber standardmässig geblockt.

Ist die Firewall beim DMZ - Modus nicht mehr aktiv. Ist das sinnvoll?



Das _muss_ m.E. so sein. Es beweißt, dass das "default port forwarding" bestens funktioniert. Nur der Name "DMZ" ist halt falsch gewählt. Es werden wie es sein soll , alle Pakete gnadenlos zum DMZ-Client geroutet und der antwortet dann.

Die Frage ist, was du mit "Firewall" meinst:

a) NAT/PAT - das ist in der Tat für den DMZ-Client deaktiviert und zwar absichtlich. Die Ports werden nicht mehr umgesetzt und es wird alles was rein kommt weitergeleitet.

b) Paketfilter - das gib's noch. Habe ich getestet. Wenn man 139er Pakete in Richtung IN wegfiltert, ist der Port 139 "stealth". Im Standard sind nur OUT-Pakete gefiltert. Eine Anfrage kann bei 139 problemlos rein und wenn die Antwort auf einen anderen Port geschickt wird, ist der Port eben offen. So sehe ich es.

Noch ein wichtiger Hinweis: Ohne DMZ oder Port Mapping kommen Pakete mit Ziel-Port 139 nicht ins LAN wegen NAT/PAT.

Noch ma' bundr:
Definition:
Das Screened Subnet oder Grenznetz ist ein entkoppeltes, isoliertes Teilnetzwerk, das zwischen das zu schützende Netz und das unsichere Netz geschaltet wird. ... Das Screened Subnet wird oft auch als DMZ (De-Militariesd Zone) bezeichnet.


Der DMZ-Begriff bei DrayTek ist m.E. irreführend. Es ist "default port forwarding".

Filtere mal alle IN-Pakete zwischen Port 21 und 443 weg und gehe zu Gibson Research NanoProbe. Alles das, was vorher offen war, ist nun "stealth". Ich hab's probiert: Scan mit und ohne Filter - einmal "stealth" und einmal "open", wie es sein soll.

@Juergen:
Krieg ich jetzt einen Preis? ;-)

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Vorherige

Zurück zu DrayTek Vigor 2200 (X/E/W) Router - Konfiguration

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste