Richtung IN - Funktion von Firewall/IP Filtern - Test mit Vigor 2200 FW 2.0a

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Beitragvon kdd » Fr 10.05.2002 - 17:19

Hi,
Es gibt in diesem Teil des Forums ja nur wenige Antworten. Schade, aber vielleicht tut sich ja mal was.
Ich hätte da mal eine generelle Frage, und stelle davor mein Test Ergebnis!

Test:
Ich habe im General Setup des IP Filter/Firewall Setups den/die Data Filter disabled.
Nach Rücksetzen des Routers und Test mit http://www.security-gui.de/scansel.php
zeigte sich absolut keine Veränderung, obwohl eigentlich die Ports 138/139 offen sein sollten. Danach habe ich auch die Filter einfach gelöscht.
Ergebnis:
Disabeln und löschen der Filter sperrt immer noch, als wäre der Default Data Filter gesetzt.

Frage Nr 1.
Frage: Funktioniert die Firewall bei irgendjemandem mit Einstellungen des Anwenders?
Nach meinem Test habe ich die Default Einstellungen hergestellt. Danach die Ports 113 und 1723 im Datafilter unter Filterregel 2 und 3 des Data Filters mit Block immediatly; Richtung IN; Protocol TCP/UDP; und Startport 113 bzw. 1723.
Die Masken für Quell und Ziel IP Adresse und Subnetzmaske blieben frei.
Eine Kontrolle über Telnet Befehl ipf view -r zeigte die korrekt eingetragene Regel.
Ergebnis: Die Ports sind nach wie vor "offen". Kein einziges Paket wurde vom Filter blockiert. Das Logging macht keine einzige Aussage darüber!

Frage Nr 2:
Was soll das? Ist vielleicht mein Router kaputt?
???
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg

Beitragvon hans » Fr 10.05.2002 - 18:26

hi, also du musst auf jeden fall das protokoll angeben, damit die port nummern gespeichert werden. ansonsten vergisst der router die ports.
ich habe sowohl callfilter mit ip adressen und datafilter mit portadressen stealth machen können.
gruss
hans
hans
Ambitionierter User
 
Beiträge: 42
Registriert: Fr 13.07.2001 - 12:14
Wohnort: königsbrunn

Beitragvon kdd » Sa 11.05.2002 - 10:19

hans hat geschrieben:1.
auf jeden fall das protokoll angeben,
damit die port nummern gespeichert werden. ansonsten vergisst der router die ports.

2.
ich habe sowohl callfilter mit ip adressen und datafilter mit portadressen stealth machen können.
gruss
hans

Hallo,
zu 1.
also das mit den Protokollen kenne ich auch. Zwar meinte ich wirklich any Protokoll, aber wie oben angegeben musste ich natürlich TCP/UDP angeben; Schade :(

Aber was ich meine ist folgendes:
Ausgabe des Routers über Telnet nach Befehl <ipf view -r>:
Call Filter Rules
0 0 @1 block in quick proto tcp/udp from any port 136 >< 140 to any

Data Filter Rules
Incoming Filter Rules
0 0 @1 block in log quick proto tcp/udp from any port = auth to any
0 0 @2 block in log quick proto tcp/udp from any port = 1723 to any
Outgoing Filter Rules
0 0 @1 block out quick proto tcp/udp from any port 136 >< 140 to any port = doma
in

Da heißt es im Data Filter, dass die Ports 113 (auth) und 1723 geblockt seien. Ist aber definitiv nicht so!
, wie ich mit Hilfe eines Scanners feststellen konnte!

Aber die Lösung der http://www.Vigor-Users.de, nämlich ein Port Redirection ins Nirwana (sprich nicht benutzte IP) funktioniert. Diese Einträge brauche ich jedoch für andere Weiterleitungen!

zu 2.
Kannst du mir sagen wie?
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg

Beitragvon hans » Sa 11.05.2002 - 17:16

hi kdd, vorweg...ich beziehe mich auf den v2000 und fw. 1.08d. weiterhin habe ich die firewall per webinterface eingestellt. die telnet befehle kenne ich nicht so gut.
ich habe bei portscans auch festgestellt, dass ein scanner port 113 offen, und ein anderer scanner den port als geschlossen gezeigt hat!!!

hier nun meine einstellungen für port 113 stealth:
0 0 @1 block in quick proto tcp/udp from any to any port 112 >< 114
im webinterface schreibe ich hinter das "="-zeichen in beide felder den port den ich schützen will.

hier der call filter für eine bestimmte ip (wenn du keine ip eingibst, kommt keiner mehr raus)!!

0 0 @2 block in quick from 192.168.1.11/32 to any

hier die data filter einstellungen:
Data Filter Rules
Incoming Filter Rules
0 0 @1 block in quick proto tcp/udp from any to any port 112 >< 114
0 0 @2 block in quick proto tcp/udp from any to any port 56414 >< 56416
Outgoing Filter Rules
0 0 @1 block out quick proto tcp/udp from any port 136 >< 140 to any port = doma
in
0 0 @2 block out quick from 192.168.1.11/32 to any

mit der letzten einstellung blockierst du die ip.

wenn du im messager eine email angibst, sende ich dir ein kleine doku zu den firewall einstellungen per webinterface, von denen ich weis, das sie wirken.
good luck und gruss
hans
hans
Ambitionierter User
 
Beiträge: 42
Registriert: Fr 13.07.2001 - 12:14
Wohnort: königsbrunn

Beitragvon Juergen » Mo 20.05.2002 - 10:28

Hi,
in Ergänzung zu den Beispielen der Paket-Filter-Regeln.
Bei den Regeln für den Call-Filter ist nur die Richtung -OUT-
relevant, der Verbindungswunsch kommt von innen und geht nach draussen.
Bei der Parameterisierung der Filter-Regeln über das Web-Interface sorgfältig die Einstellungen im "generellen Setup" der Filter-Regeln prüfen. Hier wird eingestellt mit welchem Filter-Set jeweils gestartet wird.
Ich nutze die Filter-Regeln (Deny-All) seit "Jahren" und habe bis auf wenige Auffälligkeiten keine Probleme. :)
MfG Jürgen http://www.vigor-users.de --> Da führt kein Click dran vorbei !
Benutzeravatar
Juergen
Ambitionierter User
 
Beiträge: 82
Registriert: So 19.08.2001 - 08:57
Wohnort: Köln

Beitragvon kdd » Sa 25.05.2002 - 11:45

Hi,
vielen Dank für die Hilfestellung. Ich bin zu dem Ergebnis gekommen, dass mit meinem Router irgendetwas nicht stimmen kann.
Denn all eure Tips haben nicht zum gewünschten Verhalten meines Routers geführt.
Nun isser erstmal zur Reparatur.
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron