Hackerboard Wiki HaboBlog
Hackerboard bei Facebook Hackerboard bei Google+ Hackerboard bei Twitter

[HaBo]

 
Network · LAN, WAN, Firewalls Alle Fragen rund um das große, kleine Internet finden hier eine Antwort. LANs, WANs, Router, Switches, Bridges, Verkabelung...

D-Link Router Firewall Einstellung

Diskussion: D-Link Router Firewall Einstellung im Forum Network · LAN, WAN, Firewalls, in der Kategorie Web, Network & Multimedia Palace; Hi, ich habe erfahren, dass es sinnvoller ist die Firewall am Router aktivieren. Einfaches Akt. reicht nicht, wenn es nicht ...

Antwort
Alt 16.10.12, 00:10   #1 (permalink)
 
Registriert seit: 15.10.12
WalGer Leistung: Facit NTK
Likes: 0
Standard D-Link Router Firewall Einstellung

Hi,
ich habe erfahren, dass es sinnvoller ist die Firewall am Router aktivieren. Einfaches Akt. reicht nicht, wenn es nicht konfiguriert ist. Also, habe ich gegoogelt und ... habe trotzdem einige Fragen.
Ziel ist es alle PORTS, die man nicht braucht zu schließen.
Aber wie setze ich die Bedingung durch:
ALLE Ports schließen, AUSSER die .. und die ... ?!
Ich denke, da gibt es zwei Möglichkeiten:
Regel1: Ports 1 bis 65xxx schließen
Regel2: Port 4 offen
Regel3: Port 9 offen
..... usw. Aber ... widerspricht sich das nicht etwa ?

Oder
Regel1: Port 1-3 zu
Regel2: Port 4 offen
Regel3: Port 5-8 zu
Regel4: Port 9 offen
Regel5: Port 10-... zu
... usw. Aber mit dem Weg rechen mir die 50 Regeln die ich habe von vorne bis hinten hicht !
Wie kann ich die Regel durchsetzen: ALLE zu, bis auf : ....... !?

*********************
2. Frage.
Manche Ports benutzen beide (oder sogar mehrere) "Verbindungen": UDP, TCP. In der Firewall an meinem Router (D-Link DIR-615) wenn ich konkreten Port eintrage oder einen Bereich von Ports - dann muss ich mich nur für einen einzigen Protokoll entscheiden: UTP od. TCP oder ICMP. Es gibt noch "ALL" im Auswahlmenü - aber in dem Fall - kann ich keine Eintragung unter Ports machen. (Die Zeilen sind ... "deaktiviert"). D.h. wiederum für einige Ports muss ich zwei Regeln erstellen: ein mal für TCP, ein mal für UDP.
Stimmt es ? Wenn ja - dann reichen mir schon wieder die 50 Regel nicht (bei rissigem Arbeitsaufwand noch nebenbei bemerkt!)

**********************
3. Frage.
Wenn Software eine Verbindung von meinem PC nach "Draußen" zum Hersteller-Server aufbauen, dann Einstellung:
Source > LAN
Dest > WAN
Und das heißt "ausgehende Verbindung".
Stimmt es ?

**************************
PS: auf dem Bild - ist der Ausschnitt meiner Firewall-Einstellung. Da habe ich mir gesagt, ich mache mal wenigstens einen Teil der "Fenster" zu. Ich würde gern wesentlich präziser es erledigen - deswegen habe ich mich hier angemeldet....
Foto:
http://www.hackerboard.de/attachment...m-11.52.25.png
Danke

WalGer ist offline   Mit Zitat antworten
Alt 16.10.12, 07:33   #2 (permalink)
Moderator
 
Benutzerbild von lightsaver
 
Registriert seit: 19.06.06
lightsaver Leistung: Pentium Ilightsaver Leistung: Pentium Ilightsaver Leistung: Pentium I
Likes: 104
Standard

Hmmm, also übersichtlich ist die Konfigurationsseite ja nicht gerade.
Sagt denn das Handbuch nichts zur Konfiguration aus?
Meine Vermutung ist, dass die Regeln bis zum ersten Treffer durchgegangen werden, würde bedeuten, du machst die Regeln für alle offenen Ports und dann am Ende eine, die alle Ports schließt. Das könntest du auch einfach testen, indem du einen Port, den du testen kannst, mal nicht freigibst -> sollte geblockt sein, und danach dann über die allgemeine Blockregel setzt -> sollte jetzt offen sein.
lightsaver ist offline   Mit Zitat antworten
   
HaBOT
 

Werbung ist gerade online    
Alt 16.10.12, 16:12   #3 (permalink)
 
Registriert seit: 06.09.10
chr0n0s Leistung: Z3
Likes: 33
Standard

So ist es, der Router läuft seine Liste von A-Z ab, am Ende sollte entsprechend ein Deny ALL o.ä. stehen.

Ansich brauchst du aber nur die Ports zu öffnen, welche du benötigst, da i.d.R. Firewalls (heutzutage) grundsätzliche alle Ports - außer die Standard-Ports für Internet, FTP etc. - sperrt.
chr0n0s ist offline   Mit Zitat antworten
Alt 17.10.12, 00:48   #4 (permalink)
Themenstarter
 
Registriert seit: 15.10.12
WalGer Leistung: Facit NTK
Likes: 0
Standard

Ja, das habe ich auch schon überlegt - durch die Tests - an die "sichere" Lösung ranzukommen:
1. Alles sperren in (angenommen) "ausgehende" Richtung - Testen (Richtungstest).
2. Alles und in beide Richtungen sperren - erneuter Test, dass nichts geht Beweis.
3. Zusätzlich den 80-er Port öffnen - Test. Wenn in dem Fall funktioniert - dann wird es anscheinend so eingestellt.
Aber das mache ich .... morgen ... wahrscheinlich. Ich werde mich auf jeden Fall mit dem Ergebnis zurück melden.

Eine Frage wird trotz der "Ergebnissen" ungeklärt bleiben. Das ist allerdings eine "D-Link Einstellung"-spezifische Frage:
Pro Port werden mehrere Verbindungen aufgebaut, im Sinne UDP, TCP, ICMP (und es gibt noch mehrere habe ich festgestellt
Service Name and Transport Protocol Port Number Registry ).
So und wenn ich pro Regel einen Port oder einen Port-Bereich eintrage - dann muss ich mich pro Regel - nur für die eine Verbindung entscheiden (UDP oder TCP oder ICMP). Ich kann noch sagen: "ALL" (alle Verbindungen) - aber dann kann ich keinen Port oder Port-Bereich eintragen! Die Eingabe-Zeilen (für Port-Eingabe) sind ... "deaktiviert", sobald ich "ALL" auswähle (?!).

Ich mach erstmal "einzelne" ... was soll's ... und sehe, dass ich den Hersteller anschreibe, mit der Hoffnung auf eine nützliche Antwort.

Ah so (hätte fast vergessen Frage zu beantworten) ...
Ja es gibt ein Handbuch, was mir leider nicht weiterhelfen konnte. Im Kapitel "Firewall" geht's nur um die fest definierten Begriffe .... teils auf Englisch sogar. Keine Beispiel-Lösung, keine Erläuterungen.
Gegoogelt habe ich noch ... noch davor. Es hat mir was gebracht, immerhin hatte ich davor zwischen 'gar keine' und 'keine' Ahnung von Firewall-Einstellung. (Ich hatte die FW aktiviert und mir ruhigem Gewissen geschlafen. ... Aber die FW war nicht konfiguriert ! Keine einzige Regel !)

Geändert von WalGer (17.10.12 um 00:59 Uhr)
WalGer ist offline   Mit Zitat antworten
Alt 17.10.12, 08:03   #5 (permalink)
Moderator
 
Benutzerbild von lightsaver
 
Registriert seit: 19.06.06
lightsaver Leistung: Pentium Ilightsaver Leistung: Pentium Ilightsaver Leistung: Pentium I
Likes: 104
Standard

Meine Erfahrung ist, dass die FW in Routern im Regelfall nach außen alles durch lässt und nach innen nichts. Das macht auch durchaus Sinn für den typischen User, da er sich so maximal mit dem Gerät auseinandersetzen muss, wenn ein Programm einen offenen Port (Portweiterleitung) benötigt und das nicht per upnp geht.

ggf. könnte man mal versuchen herauszufinden, ob man nicht direkt auf das Betriebssystem des Routers kommt oder vielleicht sogar ein alternatives OS aufspielen kann. In diesem Fall könntest du ohne GUI beliebig viele Regeln anlegen.
lightsaver ist offline   Mit Zitat antworten
Alt 17.10.12, 18:54   #6 (permalink)
Themenstarter
 
Registriert seit: 15.10.12
WalGer Leistung: Facit NTK
Likes: 0
Standard

Zitat:
Zitat von lightsaver Beitrag anzeigen
... dass die FW in Routern im Regelfall nach außen alles durch lässt und nach innen nichts. ....
Was heißt "ALLES" ?

Wenn ich aus dem Internet was herunterlade, ist es eine "eingehende" Verbindung ? Wenn Programme - ihre Updates holen, ... Oder: Nachdem eine Software sich mit dem Hersteller-Server verbundenhat, Nummern abgeglichen - da wird doch auch "was" zurückgeschickt (um Software dicht zumachen). Also ist dann auch eine "eingehende" Verbindung. Oder: Skype und allgemein alle möglichen Messenger - da geht ebenfalls "was" zurück und rein.
WalGer ist offline   Mit Zitat antworten
Alt 17.10.12, 19:11   #7 (permalink)
Themenstarter
 
Registriert seit: 15.10.12
WalGer Leistung: Facit NTK
Likes: 0
Standard

Also,
ich habe jetzt etwas getestet. Ooo ! Ich blicke da nicht durch. Von dem allem, was ich durchgelesen habe - kann man nicht an die Einstellungen (D-Link DIR 615) anwenden !
Ok, einzelne Port kann man schließen oder einzelne Ports für einzelne PC. Aber die Bedingung: "Alle ZU, außer die ... und ... usw" lässt sich aufwendig umsetzen und die 50 Regeln - die reichen nicht.
Denn, wenn ich sage:
Regel1: ALLE - ZU
Regel2: Port 80 - AUF
Regel3: Port 53 - AUF
....................
.............
........
- Das geht nicht, habe ich ausprobiert. Das habe ich auch befürchtet - ist doch ein Widerspruch. Und es spiel keine Rolle, wo diese "Alle Zu"-Regel sitzt: am Anfang oder am Ende. Das habe ich ausprobiert.

Und dann noch das hier: pro Regel gibt man ein: Port oder Port-Bereich, Verbindung (UDP, TCP, ICMP oder ALL). So, wenn ich einstelle "ALL" oder "ICMP" - dann sind die Ports - überflüssig! Die kannst du nicht mehr eingeben, die Eingabe-Zeilen sind deaktiviert !!!!! ??????

Also, ich habe einfach jetzt 2 Regel gemacht:
Source: WAN, Dest: LAN; Port: 1000-65500; TCP - "ZU"
Source: WAN, Dest: LAN; Port: 1000-65500; UDP - "ZU"
Unter dem Motto: " wenigstens sind jetzt weniger Fenster AUF !"
WalGer ist offline   Mit Zitat antworten
Alt 17.10.12, 19:12   #8 (permalink)
Member of Honour
 
Benutzerbild von xrayn
 
Registriert seit: 05.03.08
xrayn Leistung: SPARC64 VIIIxrayn Leistung: SPARC64 VIIIxrayn Leistung: SPARC64 VIIIxrayn Leistung: SPARC64 VIIIxrayn Leistung: SPARC64 VIIIxrayn Leistung: SPARC64 VIIIxrayn Leistung: SPARC64 VIII
Likes: 584
Standard

Zitat:
Zitat von WalGer Beitrag anzeigen
Was heißt "ALLES" ?

Wenn ich aus dem Internet was herunterlade, ist es eine "eingehende" Verbindung ?
Nein, die Verbindung wurde von innen gestartet.
xrayn ist offline   Mit Zitat antworten
Alt 17.10.12, 19:19   #9 (permalink)
Themenstarter
 
Registriert seit: 15.10.12
WalGer Leistung: Facit NTK
Likes: 0
Standard

Und noch eins, was nach den Tests festgestellt wurde.
Ich sage alles (eingehend) zu:
Source: WAN, Dest: LAN; Port: 1-65500; TCP

Keine Internet-Verbindung !

und jetzt umgekehrt
Source: LAN, Dest: WAN; Port: 1000-65500; TCP - "ZU"

Keine Internet-Verbindung !

Wahrscheinlich lässt es sich so erklären:
Browser schickt ein Signal raus (ausgehende Verbindung)
und dann werde Daten heruntergeladen (eingehende Verbindung)
WalGer ist offline   Mit Zitat antworten
Alt 17.10.12, 20:27   #10 (permalink)
Themenstarter
 
Registriert seit: 15.10.12
WalGer Leistung: Facit NTK
Likes: 0
Standard

Ich gebe auf !!!!
Ich hatte folgendes eingestellt:

1. Source: WAN; Dest: LAN
TCP
port: 1000-65500
Verweigern

2. Source: WAN; Dest: LAN
UDP
port: 1000-65500
Verweigern

3. Source: LAN; Dest: WAN
TCP
port: 1000-65500
Verweigern

4. Source: LAN; Dest: WAN
UDP
port: 1000-65500
Verweigern

Kein Internet, keine Internet-Verbindung !
Und wie war es mit:
zum Surfen braucht die Ports:
FTP 20-21
DNS 53
HTTP 80
HTTPS 443
?
WalGer ist offline   Mit Zitat antworten
Alt 18.10.12, 07:37   #11 (permalink)
Moderator
 
Benutzerbild von lightsaver
 
Registriert seit: 19.06.06
lightsaver Leistung: Pentium Ilightsaver Leistung: Pentium Ilightsaver Leistung: Pentium I
Likes: 104
Standard

Nimm mal die Regeln 3 und 4 raus und probiere nochmal zu surfen.
lightsaver ist offline   Mit Zitat antworten
Antwort
   
- Anzeige -

Werbung ist gerade online    

[HaBo] » Web, Network & Multimedia Palace » Network · LAN, WAN, Firewalls » D-Link Router Firewall Einstellung
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind aus
Pingbacks sind aus
Refbacks sind aus


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
D-Link Router - Firewall richtig einrichten SteVe_O (In)security allgemein 8 15.10.12 12:28
VPN mit dem D-Link 524 Router mystaza Network · LAN, WAN, Firewalls 3 27.12.06 16:13
D-Link Router alle LED´s aus fa2k Hardware Probleme 5 07.10.05 11:41
Link: "neue Firewall" qiubic (In)security allgemein 2 27.06.05 17:00
Router von D-Link? Sub[ICE] Hardware Probleme 4 20.02.04 02:01


1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62