[HaBo]

SteVe_O

Anzeige

Hi, ich wollte mal fragen, ob jemand Tipps hat wie ich am besten die Firewall eines D-Link Routers einrichte. Ich möchte dass der von vornherein alles blockt bis auf Standartports und den Rest wenn ich besondere Ports benötige ich die dann einzeln freischalten kann. Kann mir da jemand weiterhelfen?


Mfg

SteVe_o

5h33p

bei mir hab ich unter virtual server (vieleicht gibt es bei dir ja sowas ähnliches) einfach alle ports auf 0 gestellt. 0 = negativ . Und den firewallschutz aktiviert.

sheepd

Was hast du bitte gemacht?
Du hast jeden der 65536 Ports auf die (ungültige) IP-Adresse 0 umgeleitet?
0 hat nichts mit negativ, eher mit schwachsinnig konfiguriert zu tun.
Firewall anschalten ist da schon sinnvoller.

Zur eigentlichen Frage:
Du musst zwischen eingehenden und ausgehenden Verbindungen unterscheiden.
Wenn du von ausgehenden Verbindungen redest (z.B. Du rufst eine Website ab), dann solltest du am besten die Ports 80 (HTTP), 443 (HTTPS), 21 (FTP), 25 (SMTP), 110 (POP3) freilassen und den Rest sperren, was wirklich minimal konfiguriert ist, vergleichbar mit einem Schulnetzwerk.
Mit meiner vorgeschlagenen Konfiguration kannst du Webseiten abrufen, Daten an FTP-Server übertragen (z.B. eigene Website hochladen) und Mails verschicken/empfangen.
Solltest du deine Mail über eine verschlüsselte Verbindung abrufen/verschicken, musst du 110 respektive 25 durch den passenden Port ersetzen.
Dieses Freischalten, wenn du sie benötigst, geht wohl schlecht automatisch wie bei einer Desktopfirewall.
Die musst du dann nachträglich in der Firewall deines Routers erlauben.
Für dich vielleicht sinnvoller wäre es, einfach eingehende Verbindungen zu blocken, und lediglich per (richtig eingesetztem) Virtual Server Ports freizugeben, falls du einen lokalen Webserver o.ä. benutzt.

5h33p

Ich mein die IP von meinem router ist 192.168.1.1 und ich hab alle ports an 192.168.1.0 weitergeleitet.

sheepd

Das ist auch merkwürdig, da 192.168.1.0 keine gültige Adresse für einen einzigen Rechner ist. Mag vielleicht den Zweck erfüllen, ist aber eine mehr als fragwürdige Lösung.
Kleiner Exkurs:
Die Adressen x.x.x.255 und x.x.x.0 sind keine gültigen Adressen für einen PC.
Vielmehr nennt man erstere Broadcast-Adresse, da man mit ihr alle Rechner des dazugehörigen Netzes anspricht, und letztere bezeichnet einfach das jeweilige Netz als ganzes.

SteVe_O

Hi SheepDude, erstmal danke für die Hilfe. Du sprichst von ausgehenden und eingehenden Ports. Erstmals eine grundlegende Frage. Kann über jeden Port gleichzeitig empfangen und gesendert werden? Zb Port 80. Ich habe bisher immer gedacht, dass es vollkommen ausreicht die ausgehenden Ports zu sperren bis auf die Standartports. Liege ich da richtig?
Kannst du mir auch konkret sagen wie es D-Link Router bezieht?

http://www.netzeye.com/netZeye/Knowl...4/Firewall.gif

So ungefähr siehts aus. Und ich weiss eben nicht wie ich grundlegend mal alle ports sperren kann. Bzw allgemein wie ich das einrichten soll.

Mfg

Systemx

sheepd

Das muss sogar sein, damit du die Antwort vom Server erhalten kannst.
Beispiel:
Du rufst die Seite http://www.google.de ab.
In diesem Fall ist der _Remote_port 80, was durch das "http://" angegeben wird.
Gleichzeitig wird bei dir lokal von Windows ein Port, der noch nicht benutzt wird (nennen wir ihn mal 3100), freigegeben und an deinen Browser übertragen.
Der Browser öffnet nun über diesen Port eine Verbindung zu dem Port 80 des Servers, auf dem google.de liegt.
Dabei spricht man dann von einer ausgehenden Verbindung, da dein PC die Anfrage schickt.
Umgekehrt geht es, wenn du bei dir zu Hause einen Webserver stehen hast.
Dann werden von außerhalb Anfragen an den Port 80 dieses Servers geschickt, d.h. man spricht von einer eingehenden Verbindung, da ein Remote-PC die Verbindung anfordert.

Damit liegst du normalerweise richtig, wenn du verhindern willst, dass irgendeine Software unerlaubte Verbindungen nach draußen aufbaut.
Die Standardeinstellung bei solchen Firewalls ist aber eine andere.
Laut dem Bild dort zu urteilen, verbietest du erstmal alle eingehenden Verbindungen
und erlaubst jegliche ausgehende Verbindung.
Das ist die Normalkonfiguration, wodurch verhindert werden soll, dass ein Angreifer Schwachstellen in einer Anwendung ausnutzt, die lokal läuft.
Allerdings dürfen bereits vorhande Trojaner etc. nach außen funken, wie sie wollen.

Wenn du alle Ports sperrst, hast du erstmal keinen Zugriff mehr aufs Web von irgendeinem PC deines LANs.
Das sollte recht einfach gehen, indem du bei dem letzten Punkt (Allow - Default - LAN, * - *, * - IP(0), *) aus dem "Allow" ein Deny machst.
Ich selbst habe noch nie so ein Ding in der Hand gehabt, aber du wirst dann höchstwahrscheinlich für jeden Port, den du benutzen willst, eine neue Regel hinzufügen müssen.
Für HTTP wäre der Eintrag entsprechend :
Damit hast du jedem Rechner in deinem LAN Zugriff auf sämtliche Internetseiten freigeschaltet.

SteVe_O

ok gut der Screenshot den hab ich aus google gefischt, so wies bei mir wirklich im Moment aussieht ist so http://www.people.freenet.de/hotzi/firewall.jpg
ich dachte deshalb erstmal dass der andere reicht

is des richtig, dass: Regel eins für das Zulassen des Pingens steht
Regel zwei besagt, dass der Router alles verweigern soll was reinkommt vom WAN zum LAN und regel drei erlaubt von LAN auf woanders zuzugreifen is des ungefähr richtig? Wenn ich dann Enabled drücke, irgendeinen Namen eingebe für die Regel, und dann auf deny klicke, es entsprechend einstelle auf entweder Eingang: (source: WAN destination: LAN) oder Ausgang: (source: LAN destination: WAN) dass das mal alles standartmäßig sperrt und ich dann danach jeden port extra freigeben muss. Naja das sollte ich am besten dem anpassen so wie es jetzt ist, nur weiss ich nicht was diese *.* bedeuten die entweder bei source oder destination stehen. Sorry ich bin in der Sache Firewalls noch sehr unerfahren.

Schau dir den Screenie bitte mal an.

Vielen Dank

Mfg

SteVe_o