Verbindungen aus dem LAN ins Netz verhindern

Absichern des LANs, Firewallkonfiguration, Sicherheit, ...

Moderatoren: TommyTC, alf, Petrus, andreastc, DSL-Hexe, nobody

Verbindungen aus dem LAN ins Netz verhindern

Beitragvon Eldar » Mi 19.10.2005 - 17:40

Hallo Leute,
ich schlag mir schon die Nächte um die Ohren um die Konfiguration meines Vigor 2900 fertig zu bekommen. Jetzt habe ich noch ein kleines Problem. Ich würde gern Verbindungen, die von einem bestimmten Client im Netzwerk ins Internet erstellt werden, verhindern. Und zwar entweder:
a) Indem ich bestimmte Ports in diese Richtung sperre
oder
b) indem ich bestimmte IP-adressen nicht zulasse.

Aber wie? Ich kann alles sperren indem ich IRGENDETWAS in den default Data Filter eintrage. (es ist tatsächlich egal WAS ich eingebe es wird immer alles blockiert. Wenn ich beispielsweise die Ports auf > 1024 einstelle wird ALLES blockiert. Auch z.B Port 80. Stelle ich <1024 ein, wird nichts blockiert. Selbst wenn ich die Blokade auf eine ClientIP beschränke, können danach keine PC's mehr ins Netz verbinden.

Hab das mit diesen Routereinstellungen noch nicht raus.

Zum besseren Verständniss:
Router IP: 192.168.1.1

Client A (IP: 192.186.1.2) will jetzt über Port 2000 eine Verbindung auf die IPadresse xxx.xxx.xxx.xxx erstellen um Daten zu senden. DAS will ich verhindern. Entweder über den Port, oder über die IPadresse. ZWeiteres wäre wohl besser, da das benutzte Programm einige Ports aber nur wenige IPadressen zur Auswahl hat.

Hoffentlich kann mir jemand helfen.

THX im Vorraus.


edit: habs erstmal über die "host" datei gelöst. wäre trotzdem für eine Antwort dankbar.


edit2: über Nacht eine neue Erkenntniss. Es wäre doch besser über die Ports die Verbindung zu kontrollieren. In der host datei kann ich den DNS Namen umleiten (auf 127.0.0.1), der kann aber auf verschiedene IP's eingetragen sein. Wenn ich stattdessen die Ports im Router benutzen könnte, hätte ich das PRoblem mit einem Schlag für alle Programme erledigt.
Eldar
User
 
Beiträge: 12
Registriert: Mi 19.10.2005 - 14:24

Beitragvon Eldar » Mo 24.10.2005 - 22:51

Tja, keine grossen Hilfen hier... werd das wohl weiterhin mit der Host datei machen...müssen.
Eldar
User
 
Beiträge: 12
Registriert: Mi 19.10.2005 - 14:24

Beitragvon kdd » Mo 24.10.2005 - 23:22

Moin,
hier kannst du ein Beispiel sehen, wie dem Rechner mit der IP 192.168.10.1 nur die Verbindung für E-Mail Transfers (Zielport 25 und 110) erlaubt wird. Die letzte Regel blockiert dann alles, was nicht dem entspricht, was vorher abgefragt wurde.

Das von dir beschriebene Verhalten des V2900 ist wohl korrekt, wichtig ist die Richtung In/Out zu berücksichtigen und demzufolge zwar Quell IP aber Ziel Port in den Regeln anzugeben.

Wenn du Probleme hast in der Umsetzung melde dich hier wieder. Das zugegebenermassen einfache Beispiel mag dir eine Hilfe sein.
TelAs: T-ISDN Call & Surf
DSLAs: TDSL Call & Surfl; dn/up = 11300/1000
HW: FBF 7390 mit LCR; FW FRITZ!OS 05.21
als DSL Router mit sipgate VoIP Account

mfG
kdd
Benutzeravatar
kdd
Foren-Ass
 
Beiträge: 716
Registriert: Di 13.11.2001 - 21:21
Wohnort: Hamburg

Beitragvon Eldar » Sa 12.11.2005 - 14:38

Danke für die Hilfe. Werd mir das mal so anschauen.
Eldar
User
 
Beiträge: 12
Registriert: Mi 19.10.2005 - 14:24

Beitragvon Ranger » Do 26.01.2006 - 12:27

Dazu habe ich mal eine Frage.

Reicht es eigentlich vollkommen aus, wenn man nur von LAN --> WAN nur die gewünschten Ports öffnet? Also so wie im Beispiel mit FAM PC http://www.dittmer-hh.de/vigor/index.html ?
Also dass man nur surfen kann und z.B. auch noch Mails abrufen kann?

Oder MUSS / SOLLTE man auch noch ZUSÄTZLICH die Ports von WAN --> LAN auch noch expliziet sperren? Ich rede jetzt aber nicht von NAT-PORTS.

So wie im Beispiel halt eben nur noch zusätzlich von WAN-->LAN
Benutzeravatar
Ranger
Power-User
 
Beiträge: 105
Registriert: Sa 11.12.2004 - 15:57
Wohnort: Berlin


Zurück zu Firewall und IP-Filter

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 0 Gäste

cron