TwoCom Online-Forum

[Ranger]

Nabend

Ich habe bei meinem Vigor 2900 Router nur die Ports von
LAN ---> WAN = 21, 53, 80 und 443 geöffnet.

Warum kann ich dann mit dem Email Programm Thunderbird
trotzdem Emails empfangen und versendenl? Das kapier ich
nicht. Da habe ich mal testweise auch noch 80 gesperrt und
dann konnte ich auch nicht mehr surfen, was ja klar war.

Aber ich habe eindeutig von 444 - 65535 TCP / UDP gesperrt

Das Email Prog braucht 995 und 495 glaube ich, also jedenfalls
über 444. Und das habe ich eigentlich gesperrt.

Was habe ich da falsch gemacht?

Gruß
MadMax

[cne51]

Email geht normalerweise über Port 110 (pop) oder 143 (IMAP).
Sind diese Ports auch explizit gesperrt?

[kdd]

Moin,

Aber ich habe eindeutig von 444 - 65535 TCP / UDP gesperrt

Das Email Prog braucht 995 und 495 glaube ich, also jedenfalls
über 444. Und das habe ich eigentlich gesperrt.

Das bedeutet, das alle Ports bis 444 offen sind. Dazu gehören auch die e-mail Ports SMTP (25) POP3 (110) und IMAP (143) bzw IMAP3 (220)

Es gibt noch eine Menge mehr Ports unter 444, die für diverse Dinge nutzbar sind.
Das ein e-mail Programm die Ports 495 oder 995 nutzt, ist relativ ungewöhnlich und nur möglich, wenn der Provider pop3s also POP3 Secure über SSL/TSL anbietet.
Sollte dein Provider das können gilt der 995 allerdings nur für das Abholen der mails. Das Versenden ist damit nicht ohne weiteres möglich.

Ausserdem arbeitet das E-Mail Programm ja noch, und damit ist klar das es aller Voraussicht nach mit den e-mail Standardports 25 und 110 arbeitet. Sollte noch ein Newsreader dabeisein arbeitet der übrigens auf Port 119.

Deine Grundkonfiguration solltest du diesbezüglich ändern. Sofern du wirklich nur o.g. Dienste freischalten willst, sperrst du mit einer Regel zunächst alle Ports.
Danach gibst du nur diejenigen Ports wieder frei, deren Dienste du nutzen willst.
Schau dir dazu mal diese Informationen an.

[Ranger]

So sehen meine Einstellungen aus für DATA FILTER RAUS
Das gleiche habe ich nochmale erstellet für DATA FILTER IN
Wobei ich bei DATA FILTER IN in "Source" die Ports eingetragen habe.

Für die Emailverbindung nutze ich SSL. Bei Arcor.
Für Mail benötige ich dann 465 und 995







======================================

======================================

======================================

======================================

======================================

[kdd]

Moin,
die Sperren scheinen soweit ok, sofern die Verkettung des Filters gegeben ist. Da bin ich mir bei den Einstellungen des 2900 aber nicht so sicher.

Für die Emailverbindung nutze ich SSL. Bei Arcor.
Für Mail benötige ich dann 465 und 995

Wenn dem so ist, und es trotzdem noch geht arbeitet entweder der Filter nicht korrekt oder das mailprogramm macht kein SSL/TSL!

Weder der Port 465 noch der Port 495 sind email Ports.

[Ranger]

Gibt es ein Test Programm, womit ich von meinem Computer aus die
Ports überprüfen kann, ob die wirklich von LAN ---> WAN gesperrt sind?

CALL FILTER IN
CALL FILTER OUT

DATA FILTER IN
DATA FILTER OUT

Die Ports bei den oben genannten Filter sehen genauso aus wie bei den
Screenshoots. Wobei - wie schon bereits erwähnt bei IN habe ich die Ports
bei "Source" eingetragen. Genau die gleichen Zahlen.

[Ranger]

Also normalerweise müsste ich jetzt laut dieser Einstellung, eigentlich
gar nicht surfen können. ABER ES GEHT DOCH!! VERDAMMT! WARUM???

Habe jetzt mal Call Filter deaktiviert.

[Ranger]

Ich habe es geschafft.

Es lag daran, dass ich 444-65535 geschrieben habe.
Das war falsch.

Richtig muss es lauten 444-65534

Ich dachte, dass es aber 65535 Ports gibt.

Nun ja jetzt habe ich den Fehler gefunden und jetzt kann ich auch wirklich
nicht mehr mails verschicken. Aber das ich kein Problem.

Aber ich habe jetzt dafür wieder ein neues Problem.
Wie ihr anhand der Screenshoots sehen könnt, habe ich eigentlich
die Ports 21, 53, 80 und 443 jeweils TCP/ UDP NICH gesperrt.

Als ich aber wieder ein Bild auf mein FTP Server (arcor) hochladen wollte,
hat es diesesmal nicht geklappt. WARUM?

[kdd]

Moin,
na denn Prost.
Trotz allem würde ich dir mal die Lektüre der Firewalleinstellungen bei den Vigor Users empfehlen.
Es wird sich schon dadurch lohnen, dass du erfährst, das die Call-Filter nur dazu dienen unerwünschte Anwahlen zu vermeiden.
Der Call-Filter ist also kein Filter in dem Sinne, wie du ihn benutzt.

Als ich aber wieder ein Bild auf mein FTP Server (arcor) hochladen wollte,
hat es diesesmal nicht geklappt. WARUM?

Der FTP ist kein triviales Protokoll. Je nach Einstellungen erwartet dein Client eine eingehende Antwort für die Daten auf Port 20 (sog aktives FTP)

Andernfalls (passives FTP) verhandelt der Client den Port zur Übermittlung der Daten selbst.

Bei dir wird beides nicht funktionieren, weil du zum einen den Port 20 zu hast und andererseits die Ports über 1024 nicht zum Aushandeln zur Verfügung stehen.
Genaueres dazu hier

[Ranger]

Danke für den Tip mit dem FTP.

Wegen dem CALL-Filter.
Ich habe mir das mal vor kurzer Zeit durchgelesen bei vigor-users.de

Ich habe auch schon mal beim Support angerufen wegen dem Call
und Data filter. Also ich weiss der DataFilter hat nur was mit dem Internet
zu tun und wenn dann schon die Verbindung zum Internet da ist, dann
hat der CALL Filter nichts mehr zu tun.

Wie soll ich dann den Call Fiilter für meine Zwecke richtig konfigurieren?
Ich weiss einfach immernoch nicht wozu der Dient.

Ist das so wenn der Router z.B. nach 180 sek. die Internetverbindung
gekappt hat und mein Virenscanner möchte sich automatisch updaten,
wäre das dann ein Call-Filter?

Ich weiss es einfach nicht.

[kdd]

Moin Ranger,

Ist das so wenn der Router z.B. nach 180 sek. die Internetverbindung
gekappt hat und mein Virenscanner möchte sich automatisch updaten,
wäre das dann ein Call-Filter?

Ganz genau ! Der Call Filter verhindert dann die Einwahl durch z.B. den Updateclient des Virenscanners. Das allerdings nur, wenn er dafür einen speziellen Port nutzt, oder die Ziel IP Adresse eindeutuig und bekannt ist.

Sobald jedoch ein Virenscanner für sein Update einen Standardport nutzt, mit dem eine Anwahl stattfinden muss, und keine eindeutige Ziel IP bekannt ist, hat sich die Sache mit dem CALL Filter erledigt.

Darüber hinaus sind natürlich viele der Programme schlau und machen erst mal eine DNS Anfrage, fragen also beim DNS Server nach der IP Adresse für den Namen schiessmichnichttot.de.
Solche Aktionen dürfen auch nicht blockiert werden, da sowas grundsätzlich durchgehen muss und damit zu einer Anwahl führt.

Diese Feinheiten könnte man ggf. mit Hilfe einer Software Firewall auf dem PC abfangen. Zone Alarm oder auch die Win XP Firewall lassen solche Einstellungen auf Applikationsebene zu; verbieten also nicht nur einem Programm den Port sowieso zu nutzen, sondern blockieren schlicht das aufrufende Programm.

Übrigens ist der Virenscanner natürlich ein schlechtes Beispiel für's blockieren, denn ich will ja möglichst die neuesten Updates haben.

Ich weiss es einfach nicht.

Deswegen hat TwoCom ja dieses Forum eingerichtet. Ist doch toll oder

[Ranger]

Deswegen hat TwoCom ja dieses Forum eingerichtet. Ist doch toll oder

Ja doll

Also erstmal Megafetten Dank für die Hilfen!

Tja, nachdem ich jetzt nun weiss wozu der CALL-FILTER benötigt wird, dann
Frage ich mich jetzt, wie stelle ich den am besten für meine Zwecke ein?

Ich habe jetzt den CALL-FILTER zurückgesetzt, weil der genau so ausgesehen hat
wie meine Screenshoots. Aber ist das dann so auch OK oder kann ich den
CALL-FILTER nicht so schreiben wie bei den Screenshoots.

NetBIOS habe jetzt nur noch geblockt (Standard). Ich glaube, dass ich da nochmehr
ausreizen kann.

Kannst du mir ein Tipp geben?

[kdd]

Moin,
also das mit dem CALL Filter ist so 'ne Sache.

1.
Natürlich kann man die Anwahl unterdrücken, sofern z.B. der Virenscanner updates sucht oder MS nach hause telefonieren oder ein Update holen will.

2.
Wissen muss man aber, das dieses Verhalten wirklich nur für die Anwahl gilt.
Ist der Router erst mal Online wirkt die CALL Filter nicht mehr.
Dieses Verhalten kann erwünscht sein, man muss es halt nur im Hinterkopf haben.

3.
Das funktioniert natürlich auch nur dann, wenn du keinen Haken bei "Allways ON" bzw. "immer Online" gewählt hast.
Das ist jedoch recht häufig der Fall, weil man ggf. eine Flatrate oder einen genügend großen Volumentarif nutzt.
In diesem Fall hat der CALL Filter gar nichts zu sagen.

4.
Sofern du einfach nur zeitliche Begrenzungen einsetzen willst, nutze den Scheduler.
Damit kann der Router z.B zu einer bestimmten Zeit für eine bestimmte Dauer abgeschaltet werden, ohne die Verbindung zur VST (Vermittlungsstelle) zu verlieren.

5.
Tipps zur Einstellung des CALL filters:
Das ist echt schwierig, weil ich Dein System nicht kenne und natürlich nicht weis welche Programme bei dir laufen und ins Internet wollen.
Feststellen kann man sowas mit der Installation einer personal Firewall oder der XP Firewall.
Die kann man so einstellen, dass jedes Mal, wenn ein Programm Online gehen will eine entsprechende Meldung erscheint.
Die weitere Analyse zeigt ggf. deren Ziel IP und Portnummer und schon kann man entscheiden, ob solche Programme eine automatische Anwahl auslösen sollen oder eben nicht.
Falls nicht, sollte der CALL Filter mit den o.g. Angaben (Ziel IP und Portnummer ) gefüttert werden.

[Ranger]

Ok dann werde ich nochmal meine Security-Strategie überdenken.

Also nochmal Danke.

Gruß
Ranger