TwoCom Online-Forum

[Ranger]

Hallo Leute.

Ich habe den Vigor 2900 mit der Firmware 2.5.4.1 vom 08.Sept.

Ich hatte schon vorher auch ein Router gehabt. Aber diesen hier
finde ich schon besser weil man bessere Regeln aufstellen kann.
Je komplexer, desto sicherer, aber auch gefährlicher einen Fehler zu machen.
(Meine persönliche Meinung)

Ich möchte mein Router so einstellen, dass:
1. alle Ports von aussen dicht sind (WAN-Side) und somit keiner von aussen rein kommen kann.
2. nur TCP 80 von LAN nach WAN soll zu Verfügung stehen. Alle anderen Ports sollen von LAN zu WAN dicht sein
3. der Router von aussen sehr sicher geschützt ist.

Ich habe schon bereits DoS aktiviert und alle anderen Sachen von Dos
aktiviert.

Ich komme jetzt aber etwas durcheinander wegen dem CALL-Filter und
dem DATA-Filter. Ich habe mir das schon mal woanders durchgelesen, aber
ich habe das noch nicht richtig verstanden. Könnt ihr mir noch ein paar Tips geben über diese verschiedenen Filter-Methoden.

So wie ich das verstanden habe, hat der CALL-Filter kein Einfluss auf das
Internet, sondern dient nur für die LAN zu LAN verbindung.

Nur der DATA-Filter dient von LAN zu WAN.

Oder habe ich das falsch verstanden?

Bitte helft mir, ich bin momentan richtig motiviert meine Firewall zu konfigurieren.

Gruß
Ranger

[nobody]

Der Call Filter filtert Traffic der zum Aufbau einer Verbindung zu einem Netzwerk ausserhalb deines Routers führen würde.
Bei einem Router, der immer online ist, ist dieser ohne Bedeutung.

Der Data Filter kann Traffic blockieren von deinem Lan zum Wan und umgekehrt.
Solange Du deinem PC traust und NAT an ist, musst Du eigentlich keinen Filter aktivieren, denn üblicherweise ist jeder Traffic vom WAN ins LAN verboten, solange Du nicht einen Port über die NAT redirect Tabelle öffnest.

Nur, wenn du deinem PC verbieten willst, bestimmte Services im Internet zu nutzen, musst Du den Filter benutzen. Fast immer sollte ein Data filter in der Richtung OUT ausreichend sein.

[Ranger]

Der Call Filter filtert Traffic der zum Aufbau einer Verbindung zu einem Netzwerk ausserhalb deines Routers führen würde.
Bei einem Router, der immer online ist, ist dieser ohne Bedeutung.

Meinst du jetzt sowas wie VPN oder was? "...einer Verbindung zu einem Netzwerk ausserhalb deines Routers"

D.h. also wenn ich nur Programme / Dienste vom LAN zu WAN und/oder
umgekehrt verbieten / erlauben möchte, dann muss ich mich auf den DATA-FILTER konzentrieren? Dann kann ich ja den CALL-Filter deaktivieren. NAT habe ich bei mir deaktiviert, zumindest nichts eingetragen.

Wenn das so ist, und ich beim DATA-Filter einstelle,
SOFORT BLOCKIEREN wenn REIN Quelle:any Start-Port: nix eintragen bis End-Port: nix eintragen

ZIEL:any Start-Port: nix eintragen bis End-Port: nix eintragen

dann heisst für mich dass ich zusätzlich die Ports von aussen gesperrt habe.
Kann ich dann noch weiter surfen?

Oder sehe ich das falsch?

[nobody]

Beispiel:
Nimm an, Du has ISDN, dann möchtest Du nicht immer online sein, da es sonst teuer wird. Dein PC macht ab und zu anfragen an die ganze Welt, die aber eigentlich nicht notwendig sind. z.B. möchte der PC manchmal gerne herausfinden, was noch für Computer in der nähe sind.
Das kann man mit dem Call-Filter unterbinden.

"...einer Verbindung zu einem Netzwerk ausserhalb deines Routers":
Das ist alles andere ausser deine PCs und dein Router: Internet, VPN etc.

Korrekt: wenn Du immer online bist musst Du dich nur auf den Data filter konzentrieren.

NAT ist normalerweise an. Aber normalerweise sind auch keine ports offen. Das meinst Du vielleicht mit dem Satz:
"NAT habe ich bei mir deaktiviert, zumindest nichts eingetragen. "

Wenn das NAT aus wäre, dann müsstest Du ein öffentliches Netzwerk von deinem Provider zur verfügung gestellt bekommen. NAT sorgt dafür, dass Du auch mit nur einer öffentlichen IP-Adresse mit mehreren Rechnern Internet-Dienste nutzen kannst. Gleichzeitig ist das NAT ein einfacher aber sehr wirksamer Firewall, der generell, ausser falls Dein Rechner innerhalb deines Netzes es anfordert, alle Verbindungen von aussen zuverlässig blockiert.

Zum sicher Surfen muss man eigentlich nichts an den Firewall-Regeln ändern. Nur, wenn Du wie schon im vorherigen Post deinem Rechner nicht traust, must Du den Firewall einsetzen.
Beispiel: Du möchtest nicht, dass der Windows Media-player bei Microsoft auf updates überprüft und eventuell private Informationen an die Firma M$ weitergibt.
Dann brauchst Du eine regel für den Firewall, direction OUT

Der Firewall für eingehende Verbindungen wird meist erst dann interessant, wenn Du einen Port auf deinem Router öffnest, um einen Dienst auf deinem PC im Internet freizuschalten, z.B einen Mailserver. Du möchtest aber vielleicht nur Mail von einem bestimmten anderen Mailserver annehmen. Dann brauchst Du eine regel für den Firewall, direction IN.

"SOFORT BLOCKIEREN wenn REIN Quelle:any Start-Port: nix eintragen bis End-Port: nix eintragen

ZIEL:any Start-Port: nix eintragen bis End-Port: nix eintragen"

Ich glaube, dann kann man nicht mehr surfen. Kann aber sein, dass das dynamische NAT vorrang vor den Filterregeln hat, dann geht es doch. Dennoch, so eine Regel ist vermutlich überflüssig.

[Ranger]

Hallo nobody.

Ich habe nur DSL zu Hause. Ohne ISDN.
Also das mit dem CALL-Filter habe ich jetzt ein bisschen verstanden.
Kannst du mir noch 2 andere Beispiele geben über den CALL-Filter?
Wann man den noch einsetzen sollte/könnte und/oder welche Regeln man noch
eingeben kann beim CALL-Filter. Dann kann ich das noch besser verstehen, als wenn ich mir die komplizierte Anleitung durchlese.

Also beim DATA-Filter, kann ich auch hinschreiben, dass z.B. nur
TCP/UDP Port 80 von LAN zu WAN freigegeben ist, damit andere Progs.
die z.B. Port 1000 benutzen wollen, nicht ins Internet kommen können.
Richtig?

Würde dann diese Regel so aussehen?
DATA-Filter:
- SOFORT ZULASSEN oder SOFORT ZULASSEN, WENN. . .
- RAUS
- Protokoll: TCP
- Quelle: ANY (für jeden Rechner bei mir im Netzwerk) TCP Start-Port: 80 bis End-Port:80

- ZIEL: ANY (ins Internet) Start-Port: nix eintragen bis End-Port: nix eintragen

Wenn ich beim ZIEL kein Port eingebe, heisst das dann, dass ich über
Port 80 ins Internet an jedem Port nach draussen mich ranhängen kann?
Z.B. ZIEL TCP/UDP Start:1000 Ende:2000 - Würde dann bedeuten
dass ich von meiner lokalen Maschine raus gehen kann über Port 80,
aber nur Dienste ansprechen kann, die 1000 bis 2000 benötigen.
Oder ist das jetzt ein Denkfehler von mir?

Was ist dann eigentlich mir DNS?
muss ich dann noch zusätzlich eine Regel aufstellen, dass im Internet
DNS benutzt werden kann oder kann/muss ich beim ZIEL: Start und End: 53 eingeben?

Wann muss ich eigentlich für das Internet (Wenn ZIEL Internet ist) am Start und Endport eine Port Nummer eingeben?

Kannst du mir dann noch Beispiele geben für den DATA Filter?
Und gibt es vielleicht noch Bücher die du mir empfehlen könntest speziell
über Hardwarefirewalls wie das so mit den Ports funktioniert?

Schon mal Mega-Danke im voraus

Gruß
Ranger

[nobody]

Beispiele für Paketfilter:
http://www.draytek.co.uk/support/filtering1.html
und Auch bei:
http://www.vigor-users.de/

NAT & PAT:
http://computer.howstuffworks.com/nat.htm
http://www.tcp-ip-info.de/tcp_ip_und_in ... rading.htm

--------
Wenn Du einen Filter bauen musst/willst, musst Du wissen:
- wird TCP oder UDP benutzt
- von welchen Port ( 0-65535 ) wird die Verbindung aufgebaut oder
zu welchem Port wird die Verbindung aufgebaut.

UDP und TCP sind zwei unterschiedliche Arten, wie Daten gesendet werden. TCP ist gesichert, beide Parter überprüfen die Pakete und quittieren gegenseitig den korrekten Erhalt. UDP macht das nicht. Der Sender schickt einfach mal und hofft das der Empfänger das auch abnehmen kann ( man korrigiere mich, falls falsch ).

Ein Port ist einfach eine von 2^16 Möglichkeiten, eine Verbindung aufzubauen. Wie sonst sollten mehrere Programme gleichzeitig das Netz nutzen können - die würden sich sonst stören.

Programme die einfach mals so daten ins internet schicken wollen werden meist einen zufälligen Port wählen, aber da sie ja irgendwohin wollen müssen Sie einen eindeutigen Zielport haben ( beispiel http: 80)

Programme die auf daten aus dem Internet warten, benutzen meist einen einduetigen Port und erwarten die Verbindung von einem beliebigen Port.

-----------
"Wenn ich beim ZIEL kein Port eingebe, heisst das dann, dass ich über
Port 80 ins Internet an jedem Port nach draussen mich ranhängen kann?
Z.B. ZIEL TCP/UDP Start:1000 Ende:2000 - Würde dann bedeuten
dass ich von meiner lokalen Maschine raus gehen kann über Port 80,
aber nur Dienste ansprechen kann, die 1000 bis 2000 benötigen.
Oder ist das jetzt ein Denkfehler von mir? "

Hier liegst Du teilweise falsch. Eine Ausgehende Verbindung zu einem Webserver geht ( wie schon oben erwähnt ) von einem zufälligen port aus, aber zu einem bestimmten port, nämlich 80
Zumindest, wenn Du http protokoll benutzt, hat dieser filter keine wirkung. Aber sonst ist es korrekt was Du schreibst.
Ein filter, der nur surfen erlaubt:
Direction OUT,
Block immediately,
Protocol any
source: any
subnet-mask: 255.255.255.255
Dest: any
subnet mask: 255.255.255.255
Operator: !=
Start & end Port: 80

Aber das internet hat viel mehr zu bieten als das surfen. Das würde man sich dann verbauen.

Bücher:
http://www.buch.de/buch/01864/286_tcpip ... ation.html
Ein sehr gutes Link, ohne Geld:
http://www.ipprimer.com/overview.cfm

PS: Ich bin immer noch der meinung, du musst nichts beim Firewall einstellen um sicher zu surfen, um auf dein anfängliches Topic zurückzukommen.

[Ranger]

Hallo nobody

Nochmals Danke!

Nur noch ein paar kurze Fragen.

Ich habe bei mir alle Ports dicht gemacht ausser TCP/UDP 80 von LAN-->WAN.
Die t-online.de site funktionierte, nur andere sites wie computerbase.de
und web.de haben nicht funktioniert. Also habe ich von 1-80 alle Ports
von LAN-->WAN geöffnet. Und es hat geklappt. Hmm... ich dachte Port 80
würde ausreichen? Warum hat das dann nicht funktioniert?

Im Router kann ich noch eintragen, dass ich per Email benachrichtigt werde.
Aber ich muss da die IP eingeben. Wie finde ich die IP von WEB.DE heraus?
Weil ich auch mal das Protokoll sehen möchte, ob mich jemand angegriffen hat etc.

Gruß
Ranger

[nobody]

Auf deine erste frage habe ich keine Antwort - ausser:
es ist eben nicht alles im Internet http-protokoll.
Im übrigen solltest Du wenigstens nocht https ermöglichen ( Dest. Port 443 )
Sowie einiges andere, was man so braucht:
Anbei die üblichsten Protokolle ( alles nur Dest. Port )
ftp - 21
mail smtp: 25
http - 80
mail pop3: 110
https: 443
alles ist AFAIK TCP
Wenn die alle erlaubt sind, kann man die wichtigsten sachen im internet machen - sofern das DNS ( dest port 53 tcp und udp ) funktioniert - aber das macht ja der router selber.

E-mail benachrichtigung wird nicht gehen, da .web.de möchte dass man sich authentifiziert.
Ein Mail-Benachrichtigung geht am besten, wenn man einen Mailserver im eigenen Netz hat.

[Ranger]

Alles klar, dann weiss ich jetzt bescheid.

Gruß
Ranger

[albi]

du brauchst noch Port 53 udp rauszus, sonst kann dein PC keine DNS Anfragen machen. Es sollte also reichen wenn du 53 UDP, 80 und 443 TCP freigibst.


ALBI...

[Ranger]

Hallo Leute.

Ich habe jetzt bei mir folgende Ports NICHT gesperrt:
LAN-->WAN
- Port:21 (FTP)
- Port:53 (DNS)
- Port:80 (HTTP)
- Port:443 (HTTPS)

Ich kann surfen. Das ist soweit ok.

Zusätzlich habe ich noch alle Ports gespert und zwar von:
WAN-->LAN
Alle Ports und jedes Protokoll.
Surfen kann ich trotzdem. Was bringt mir dann diese Einstellung?

Eintrag beim Vigor Router:
Sofort Blockieren --> REIN -- Protokoll JEDES Quelle und Ziel Port nix eingetragen.

Ist doch so richtig eingegeben oder?

Gruß
Ranger

[nobody]

Das ist doppelt. Durch das NAT ist eh eine de-facto regel drin die heisst:
Jeder traffic vom WAN zum LAN ist verboten, es sei denn der PC im LAN hat danach verlangt

Ich hab zwar noch nie versucht eine derartige Regel einzugeben, vermute aber, dass das NAT vorrang vor den Firwall-Regeln hat. Sonst solltest Du in der tat mit dieser Regel nicht mehr surfen können.