Hallo,
seh ich das richtig, dass bei den FactoryDefaults eines 2200X die Firewall bis auf NetBios alles offen ist? NanoProbe meldet zwar alles als Stealth, aber das ist ja nur so, weil keine Forwardings eingerichtet sind und keine Dienste auf dem Router laufen, oder?
Kann man die Fernwartung über Telnet aktivieren, aber als Firewall-Regel wieder schließen, so dass Telnet-Konfig nur übers LAN möglich ist, aber nicht von außen?
Danke,
Bern
TwoCom Online-Forum
Erfahrungsaustausch, Konfigurationshilfen rund um DrayTek Vigor Produkte und User unter sich.
IP Config Frage! - alles offen bei factorydefaults?
Moderatoren: alf, Petrus, andreastc, DSL-Hexe, nobody
7 Beiträge
• Seite 1 von 1
von bernostern » So 22.12.2002 - 21:48
- bernostern
- User
- Beiträge: 26
- Registriert: Fr 20.12.2002 - 14:48
von deMattin » Mo 23.12.2002 - 00:36
... NanoProbe meldet zwar alles als Stealth, aber das ist ja nur so, weil keine Forwardings eingerichtet sind und keine Dienste auf dem Router laufen, oder?
Richtig - es ist alles stealth, weil du keine Forwardings eingestellt hast. Wo ist das Problem? Der Router ist von aussen definitiv stealth/closed.
Das sind verschiedene Mechanismen aber gleiches Ergebnis.
Kann man die Fernwartung über Telnet aktivieren, aber als Firewall-Regel wieder schließen, so dass Telnet-Konfig nur übers LAN möglich ist, aber nicht von außen?
Warum willst du sie erst öffnen und dann wieder schliessen mit der Firewall. Lass sie einfach aus (die Fernwartung). Die Telnet-Konfiguration aus dem LAN ist auch ohne Aktivierung der Fernwartung möglich!
Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
-
deMattin - Super-User
- Beiträge: 448
- Registriert: Mo 23.07.2001 - 19:40
- Wohnort: Nordpott
von bernostern » Mo 23.12.2002 - 10:44
Hallo Martin!
Also da du auf alle meine drei Fragen geantwortet hast bedanke ich mich jetzt dreimal
.
Ich habe inzwischen auch einen anderen Beitrag von dir (und defence) gelesen und es wird mir langsam klar. Das Problem ist der Begriff "Firewall" an sich, da man da eher Sicherheit-von-außen hineininterpretiert. NAT dagegen ist eher das unbekannte Wesen, das man aber ständig braucht.
Schön ist, wenn das Ergebnis das "gleiche" ist, und beides Zugriffe von außen verhindert.
Da du dich anscheinend gut mit dem Vigor auskennst hab ich gleich noch ne Frage: Wird vom Router eigentlich die Nummer des Anrufers (bei eingeschalteter Rufnummernübermittlung) mit ins Syslog geschrieben?
Also noch ein viertes Mal danke und schöne Feiertage und ein guten Rutsch!
Bern
Also da du auf alle meine drei Fragen geantwortet hast bedanke ich mich jetzt dreimal
.
Ich habe inzwischen auch einen anderen Beitrag von dir (und defence) gelesen und es wird mir langsam klar. Das Problem ist der Begriff "Firewall" an sich, da man da eher Sicherheit-von-außen hineininterpretiert. NAT dagegen ist eher das unbekannte Wesen, das man aber ständig braucht.
Schön ist, wenn das Ergebnis das "gleiche" ist, und beides Zugriffe von außen verhindert.
Da du dich anscheinend gut mit dem Vigor auskennst hab ich gleich noch ne Frage: Wird vom Router eigentlich die Nummer des Anrufers (bei eingeschalteter Rufnummernübermittlung) mit ins Syslog geschrieben?
Also noch ein viertes Mal danke und schöne Feiertage und ein guten Rutsch!
Bern
- bernostern
- User
- Beiträge: 26
- Registriert: Fr 20.12.2002 - 14:48
von deMattin » Mo 23.12.2002 - 20:01
Wird vom Router eigentlich die Nummer des Anrufers (bei eingeschalteter Rufnummernübermittlung) mit ins Syslog geschrieben?
Ja und nein
Wenn man per Anruf und Remote Activation eine ISDN-Verbindung aufbauen lässt, wird das im Syslog und Call-log (telnet) inklusive Rufnummer angezeigt.
Alle anderen Anrufe werden bei mir nicht mit Rufnummer angezeigt (weder im call-log von telnet noch im syslog). Ich nutze allerdings auch nicht die CAPI des Vigor - es ist möglich, dass bei aktivierter VTA auch Anrufe (Faxe) mit Nummer im Log gemeldet werden, da diese dann ja vom Router weiterverarbeitet werden. Das weiss ich allerdings nicht.
Das Verhalten kann aber auch je nach Firmware unterschiedlich sein. Ich nutze die 2.2RC auf einem Vigor 2200Wplus.
Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
-
deMattin - Super-User
- Beiträge: 448
- Registriert: Mo 23.07.2001 - 19:40
- Wohnort: Nordpott
von Unbekannter User » Do 16.01.2003 - 19:45
Ich bin der Meinung, das die NAT die Ports unsichtbar für das I-Net macht. Im Prinzip sind die Ports aber offen. Erst wenn die Firewall den Port definitiv blockt ist er dicht.
- Unbekannter User
- Grünschnabel
- Beiträge: 3
- Registriert: Fr 03.01.2003 - 22:20
von deMattin » So 19.01.2003 - 04:05
Na jetzt geht's an die Definitionen:
Block: Paket wird abgewiesen (vom Router) und somit aber auch beantwortet! Das kann man nur über die Firewall machen.
Stealth: Paket wird ignoriert - das wird allgemeinhin als sicherer bezeichnet, weil der Router noch nicht mal von seiner Existenz "berichtet". Dies ist Default für alle Ports und kann nicht explizit mittels Firewalleinstellungen erzeugt werden (aber mit dem Trick, das Paket auf eine nicht existente IP zu leiten)
offener Port: Ein Port hinter dem ein Dienst antwortet und auf Authentifizierung o.ä. wartet (also nicht block)
Es ist vollkommen egal, welcher Mechanismus im Router einen Port ins "Nirgendwo" laufen lässt. Du hast zwar insofern Recht, dass es nicht die Firewall ist, sondern dass NAT das Paket unbeantwortet im Sand verlaufen lässt, aber offen ist der Port zum LAN definitiv nicht! Die Pakete kommen auch nicht am Router vorbei.
Gruss,
Martin
Block: Paket wird abgewiesen (vom Router) und somit aber auch beantwortet! Das kann man nur über die Firewall machen.
Stealth: Paket wird ignoriert - das wird allgemeinhin als sicherer bezeichnet, weil der Router noch nicht mal von seiner Existenz "berichtet". Dies ist Default für alle Ports und kann nicht explizit mittels Firewalleinstellungen erzeugt werden (aber mit dem Trick, das Paket auf eine nicht existente IP zu leiten)
offener Port: Ein Port hinter dem ein Dienst antwortet und auf Authentifizierung o.ä. wartet (also nicht block)
Es ist vollkommen egal, welcher Mechanismus im Router einen Port ins "Nirgendwo" laufen lässt. Du hast zwar insofern Recht, dass es nicht die Firewall ist, sondern dass NAT das Paket unbeantwortet im Sand verlaufen lässt, aber offen ist der Port zum LAN definitiv nicht! Die Pakete kommen auch nicht am Router vorbei.
Gruss,
Martin
http://www.vigor-users.de - Die Seite für User der Vigor-Router
-
deMattin - Super-User
- Beiträge: 448
- Registriert: Mo 23.07.2001 - 19:40
- Wohnort: Nordpott
von kdd » So 19.01.2003 - 15:25
Hi,
Stimmt, aber sobald ich mich per isdn oder VPN als gültiger User identifiziere, möchte ich gerne, -weil ich ja nun echt Teil des LAN bin-, auch die Wartung ausführen können
Das geht aber nur, -warum auch immer-, wenn die Fernwartung per Internet erlaubt ist.
Aber genau das will ich wiederum nicht, auch nicht mit "verbogenem" Web- und Telnet - Port
Ich habe das Blockieren der Fernwartung per Firewall am Vigor 2200/2200X/2200WPlus bis FW 2.2.4 getestet. Es ist absolut nicht möglich! Die Fernwartung geht vor. Sind die Pakete erst mal da, werden sie von der Firewall nicht mehr zurückgewiesen.
Damit ist das Projekt Fernadministration der Vigor Router für mich gestorben
Schade eigentlich!
Warum willst du die Fernwartungsports des Routers) erst öffnen und dann wieder mit der Firewall schliessen. Lass sie einfach aus (die Fernwartung). Die Telnet-Konfiguration aus dem LAN ist auch ohne Aktivierung der Fernwartung möglich!
Stimmt, aber sobald ich mich per isdn oder VPN als gültiger User identifiziere, möchte ich gerne, -weil ich ja nun echt Teil des LAN bin-, auch die Wartung ausführen können
Das geht aber nur, -warum auch immer-, wenn die Fernwartung per Internet erlaubt ist.
Aber genau das will ich wiederum nicht, auch nicht mit "verbogenem" Web- und Telnet - Port
Ich habe das Blockieren der Fernwartung per Firewall am Vigor 2200/2200X/2200WPlus bis FW 2.2.4 getestet. Es ist absolut nicht möglich! Die Fernwartung geht vor. Sind die Pakete erst mal da, werden sie von der Firewall nicht mehr zurückgewiesen.
Damit ist das Projekt Fernadministration der Vigor Router für mich gestorben
Schade eigentlich!TelAs: T-ISDN Call Plus
DSLAs: 1&13DSL; dn/up = 3130/406
VoIP HW: leicht modifiz. FBF 7170 mit LCR; FW29.04.29
als DSL Router ohne einen Vigor
Router: FBF only
mfG
kdd
DSLAs: 1&13DSL; dn/up = 3130/406
VoIP HW: leicht modifiz. FBF 7170 mit LCR; FW29.04.29
als DSL Router ohne einen Vigor
Router: FBF only
mfG
kdd
-
kdd - Foren-Ass
- Beiträge: 716
- Registriert: Di 13.11.2001 - 21:21
- Wohnort: Hamburg
7 Beiträge
• Seite 1 von 1
Zurück zu Firewall und IP-Filter
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste
News
Site map
SitemapIndex
RSS FeedDieses Forum ist Bestandteil von www.2-com.de
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO
© TwoCom 2001-2012
Powered by phpBB® Forum Software © phpBB Group
Deutsche Übersetzung durch phpBB.de
phpBB SEO