DMZ und Firewallregeln - Port 139 usw

Fragen, Antworten und Hilfen rund um die Konfiguration

Beitragvon bundr » Do 18.10.2001 - 20:30

Hallo Vigoruser,

habe im Vigor DMZ aktiviert. Alle Ports sind ins Internet
direkt umgeleitet. Ein Portscann hat mir das bestätigt.

Unteranderem ist auch der Port 139 offen. Dies ist der NetBios-Port für Mircosoft. In der Firewall ist er aber standardmässig geblockt.

Ist die Firewall beim DMZ - Modus nicht mehr aktiv. Ist das sinnvoll?

Gruss
Bundr
Benutzeravatar
bundr
Power-User
 
Beiträge: 113
Registriert: Sa 02.06.2001 - 15:41

Beitragvon snoopy » Fr 19.10.2001 - 07:37

Das ist ja gerade Sinn und Zweck einer DMZ.
Man versetzt den Rechner "außerhalb den Router", d.h. er reagiert dann, als ob er ohne Router im Internet wäre.
So wie ein einzelner Rechner, der sich über ISDN o.ä. ins Internet einwählt.
Vigor 2900; Kabel-Internet mit 32 Mbit
Benutzeravatar
snoopy
Ambitionierter User
 
Beiträge: 57
Registriert: Mi 15.08.2001 - 13:51
Wohnort: 78194 Immendingen

Beitragvon bundr » So 21.10.2001 - 10:23

Dies muss aber doch nicht so sein.

Definition:
Das Screened Subnet oder Grenznetz ist ein entkoppeltes, isoliertes Teilnetzwerk, das zwischen das zu schützende Netz und das unsichere Netz geschaltet wird.
Im Screened Subnet wird mit Hilfe von 2 Packet Filtern für die Kontrolle der Verbindungen und Pakete gesorgt.
Das Screened Subnet wird oft auch als DMZ (De-Militariesd Zone) bezeichnet.

Das bedeutet doch dann, es dürfte eigentlich nur das NAT-Setup durch DMZ ausgeschaltet werden und nicht der IP-Filter/Firewall.

Gruss
BundR
Benutzeravatar
bundr
Power-User
 
Beiträge: 113
Registriert: Sa 02.06.2001 - 15:41

Beitragvon snoopy » So 21.10.2001 - 11:04

Da muss ich dir recht geben.
Jedoch bezweifle ich, ob der Vigor das so umsetzt.
Vielleicht kann uns mal einer aufklären.
Vigor 2900; Kabel-Internet mit 32 Mbit
Benutzeravatar
snoopy
Ambitionierter User
 
Beiträge: 57
Registriert: Mi 15.08.2001 - 13:51
Wohnort: 78194 Immendingen

Beitragvon Arie » So 21.10.2001 - 13:16

@snoopy: Damit widersprichst du aber deinem ersten Posting. ;)

Unter folgender Website ist das ganze mal dargestellt, wie ich mir ein richtiges DMZ vorstelle.

http://www.ilo.de/hohmann/netzwerk/fwrouter.php

@petrus: Was ist denn deine Meinung dazu ? Soll es so laufen wie auf dem Bild dargestellt und es liegt somit ein Fehler in der Firmware vor oder ist zur Zeit nur beabsichtigt einen Rechner der als DMZ bezeichnet wird vollständig ohne Rücksicht auf Verluste "vor" den Router zu setzen. Dann dürfte aber eigentlich der Datenverkehr von dem als DMZ deklarierten Rechner zu den anderen nur über die Firewall laufen?

Gruß

Alex
Benutzeravatar
Arie
Power-User
 
Beiträge: 236
Registriert: Fr 22.06.2001 - 23:27
Wohnort: Fürth

Beitragvon Juergen » Sa 17.11.2001 - 17:36

Hi,
nach einigen Tests gehe ich davon aus, dass der Vigor sich verhält wie von BundR beschrieben.
Bei FW 1.08 ist es definitiv so, ein PC als DMZ-Host unterliegt auch dem IP(Firewall)-Filter des Vigor.
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon Feodor » Sa 17.11.2001 - 18:30

Hallo,

über DMZ habe ich auch schon mal geschrieben:

http://www.forum.netzwerkrouter.de/phpB ... &forum=5&2

Die Essenz ist, dass der Begriff bei Hardware-Routern sinnentstellend verwendet wird. Also die Vigor-DMZ ist keine DMZ. DMZ ist "Default Port Forwarding".

Ob das Paketfilter (= Firewall) bei DMZ vorgeschaltet bleibt, ist mir allerdings anhand der obigen Postings nicht klar geworden. (Auch mal wieder ein schwarzes Loch in der Doku.)

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon bundr » So 18.11.2001 - 10:11

Servus,

der Router routet mit DMZ alles. Die Einstellungen in der Firewall spielen dabei keine Rolle.

Das finde ich nicht gut. Besser wäre es, wenn die Firewall (Paketfiler) weiterhin aktiv wäre. Denn dann hätte man noch mehr Möglichkeiten. So wie es jetzt ist muß man schon wissen was man macht. Meiner Meinung nach ist das unverantwortlich. Da kann jeder von Aussen auf mein Rechner zugreifen.

Mein Vorschlag: Der User sollte wählen können. ob der die Firewall beim DMZ aktiv haben will oder nicht. Damit wäre doch allen gedient.

Zur Info. Bisher dachte ich dass es nicht so schlimm sei, den Rechner ins Internet zu stellen. Z.B.bekomme ich täglich 2-3 Angriffe auf mein FTP-Port. Die unzähligen Portscanns führe ich erst gar nicht auf.
Benutzeravatar
bundr
Power-User
 
Beiträge: 113
Registriert: Sa 02.06.2001 - 15:41

Beitragvon Feodor » So 18.11.2001 - 14:46

Schließe mich bundr an.
Es wäre sicher kein schlechtes Leistungsmerkmal, wenn man das Paketfilter auch vor den DMZ-Client schalten könnte.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon Juergen » So 18.11.2001 - 17:06

Hi,
also mein Test hat keine offenen Ports beim DMZ-Host gefunden. Danach gehe ich davon aus, dass die IP-Filter hinter dem DMZ-PC greifen (erster Anschein).
Das diskutiere ich aber gerne ausführlich.
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon snoopy » So 18.11.2001 - 18:10

Muss mich Jürgen anschließen ein Port-Test hat bei mir keine offenen Ports angezeigt.
Die galt für aktivierte FW-Regeln, als auch zum Test mal nur mit Standart-Regeln.

Mich würde es jedoch wirklich brennend interessieren, wie das ganze gehandelt wird.
Kann 2com da nix rausbekommen?

Grüsse
Snoopy
Vigor 2900; Kabel-Internet mit 32 Mbit
Benutzeravatar
snoopy
Ambitionierter User
 
Beiträge: 57
Registriert: Mi 15.08.2001 - 13:51
Wohnort: 78194 Immendingen

Beitragvon Feodor » So 18.11.2001 - 22:31

Hallo Leute,

wie habt ihr getestet?
Einen Rechner als DMZ festgelegt und dann einen Portscan durchgefuhrt?
Ergebnis: keine offenen Ports.

*Wenn* ihr das so gemacht habt (was ich nicht weiß), dann könnte es auch sein, dass auf dem PC einfach keine Ports offen waren.

Vielleicht habt ihr auch auf dem DMZ-PC ein Serverprogramm gestartet und dann den geöffneten Port in einer Filterregel gesperrt. *Wenn* dem so ist, dann ist das Paketfilter auch beim DMZ-Client dazwischen geschaltet.

Ich bin jetzt aber neugiergig wie es wirklich war.

Gruß
Feoor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon snoopy » Mo 19.11.2001 - 11:02

Hallo Feodor,

folgendes Testszenario habe ich durchgespielt.
Client in die DMZ. FTP und SSH als Dienst gestartet.
Die Ports werden nicht von der FW geblockt!

Beim Portscan keine offenen Ports angezeigt.

Mich würde es, ehrlich gesagt, auch nicht wundern, wenn einige von uns hier unterschiedliche Ergebnisse bekommen würden.
Scheint irgendwie ein heikles Thema zu sein.

Grüsse Snoopy.
Vigor 2900; Kabel-Internet mit 32 Mbit
Benutzeravatar
snoopy
Ambitionierter User
 
Beiträge: 57
Registriert: Mi 15.08.2001 - 13:51
Wohnort: 78194 Immendingen

Beitragvon Feodor » Mo 19.11.2001 - 13:17

@snoopy:

Aha, also einen Client ins DMZ. Dort einen FTP-Server geöffnet, der ja bekanntlich Port 21 öffnet.

Jetzt noch die Frage: Den Port 21 hast du dann in den Filterregeln des Vigors blockiert?

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Beitragvon Feodor » Mo 19.11.2001 - 13:22

@snoopy:

Aha, also einen Client ins DMZ. Dort einen FTP-Server geöffnet, der ja bekanntlich Port 21 öffnet.

Jetzt noch die Frage, ob ich deinen Satz "Die Ports werden nicht von der FW geblockt!" richtig verstehe: Den Port 21 hast du dann *nicht* in den Filterregeln des Vigors blockiert?

Hmm, in diesem Falle müsste doch aber Port 21 offen sein. Sonst brächte DMZ gar nichts.

Gruß
Feodor
Benutzeravatar
Feodor
Ambitionierter User
 
Beiträge: 69
Registriert: Mo 20.08.2001 - 18:40
Wohnort: bei Darmstadt

Nächste

Zurück zu DrayTek Vigor 2200 (X/E/W) Router - Konfiguration

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

cron