D-Link Router - Firewall richtig einrichten

S

SteVe_O

0
Hi, ich wollte mal fragen, ob jemand Tipps hat wie ich am besten die Firewall eines D-Link Routers einrichte. Ich möchte dass der von vornherein alles blockt bis auf Standartports und den Rest wenn ich besondere Ports benötige ich die dann einzeln freischalten kann. Kann mir da jemand weiterhelfen?


Mfg

SteVe_o
 
bei mir hab ich unter virtual server (vieleicht gibt es bei dir ja sowas ähnliches) einfach alle ports auf 0 gestellt. 0 = negativ :D. Und den firewallschutz aktiviert.
 
Was hast du bitte gemacht?
Du hast jeden der 65536 Ports auf die (ungültige) IP-Adresse 0 umgeleitet?
0 hat nichts mit negativ, eher mit schwachsinnig konfiguriert zu tun.
Firewall anschalten ist da schon sinnvoller.

Zur eigentlichen Frage:
Du musst zwischen eingehenden und ausgehenden Verbindungen unterscheiden.
Wenn du von ausgehenden Verbindungen redest (z.B. Du rufst eine Website ab), dann solltest du am besten die Ports 80 (HTTP), 443 (HTTPS), 21 (FTP), 25 (SMTP), 110 (POP3) freilassen und den Rest sperren, was wirklich minimal konfiguriert ist, vergleichbar mit einem Schulnetzwerk.
Mit meiner vorgeschlagenen Konfiguration kannst du Webseiten abrufen, Daten an FTP-Server übertragen (z.B. eigene Website hochladen) und Mails verschicken/empfangen.
Solltest du deine Mail über eine verschlüsselte Verbindung abrufen/verschicken, musst du 110 respektive 25 durch den passenden Port ersetzen.
Dieses Freischalten, wenn du sie benötigst, geht wohl schlecht automatisch wie bei einer Desktopfirewall.
Die musst du dann nachträglich in der Firewall deines Routers erlauben.
Für dich vielleicht sinnvoller wäre es, einfach eingehende Verbindungen zu blocken, und lediglich per (richtig eingesetztem) Virtual Server Ports freizugeben, falls du einen lokalen Webserver o.ä. benutzt.
 
Original von sheep dude
Was hast du bitte gemacht?
Du hast jeden der 65536 Ports auf die (ungültige) IP-Adresse 0 umgeleitet?
0 hat nichts mit negativ, eher mit schwachsinnig konfiguriert zu tun.
Firewall anschalten ist da schon sinnvoller.
Zum Vergrößern anklicken....

Ich mein die IP von meinem router ist 192.168.1.1 und ich hab alle ports an 192.168.1.0 weitergeleitet.
 
Das ist auch merkwürdig, da 192.168.1.0 keine gültige Adresse für einen einzigen Rechner ist. Mag vielleicht den Zweck erfüllen, ist aber eine mehr als fragwürdige Lösung.
Kleiner Exkurs:
Die Adressen x.x.x.255 und x.x.x.0 sind keine gültigen Adressen für einen PC.
Vielmehr nennt man erstere Broadcast-Adresse, da man mit ihr alle Rechner des dazugehörigen Netzes anspricht, und letztere bezeichnet einfach das jeweilige Netz als ganzes.
 
Hi SheepDude, erstmal danke für die Hilfe. Du sprichst von ausgehenden und eingehenden Ports. Erstmals eine grundlegende Frage. Kann über jeden Port gleichzeitig empfangen und gesendert werden? Zb Port 80. Ich habe bisher immer gedacht, dass es vollkommen ausreicht die ausgehenden Ports zu sperren bis auf die Standartports. Liege ich da richtig?
Kannst du mir auch konkret sagen wie es D-Link Router bezieht?

http://www.netzeye.com/netZeye/Knowledge%20base/netZeye/D%20Link%20Router%20DI-604/Firewall.gif

So ungefähr siehts aus. Und ich weiss eben nicht wie ich grundlegend mal alle ports sperren kann. Bzw allgemein wie ich das einrichten soll.

Mfg

Systemx
 
Kann über jeden Port gleichzeitig empfangen und gesendert werden?
Zum Vergrößern anklicken....
Das muss sogar sein, damit du die Antwort vom Server erhalten kannst.
Beispiel:
Du rufst die Seite http://www.google.de ab.
In diesem Fall ist der _Remote_port 80, was durch das "http://" angegeben wird.
Gleichzeitig wird bei dir lokal von Windows ein Port, der noch nicht benutzt wird (nennen wir ihn mal 3100), freigegeben und an deinen Browser übertragen.
Der Browser öffnet nun über diesen Port eine Verbindung zu dem Port 80 des Servers, auf dem google.de liegt.
Dabei spricht man dann von einer ausgehenden Verbindung, da dein PC die Anfrage schickt.
Umgekehrt geht es, wenn du bei dir zu Hause einen Webserver stehen hast.
Dann werden von außerhalb Anfragen an den Port 80 dieses Servers geschickt, d.h. man spricht von einer eingehenden Verbindung, da ein Remote-PC die Verbindung anfordert.

Ich habe bisher immer gedacht, dass es vollkommen ausreicht die ausgehenden Ports zu sperren bis auf die Standartports
Zum Vergrößern anklicken....
Damit liegst du normalerweise richtig, wenn du verhindern willst, dass irgendeine Software unerlaubte Verbindungen nach draußen aufbaut.
Die Standardeinstellung bei solchen Firewalls ist aber eine andere.
Laut dem Bild dort zu urteilen, verbietest du erstmal alle eingehenden Verbindungen
und erlaubst jegliche ausgehende Verbindung.
Das ist die Normalkonfiguration, wodurch verhindert werden soll, dass ein Angreifer Schwachstellen in einer Anwendung ausnutzt, die lokal läuft.
Allerdings dürfen bereits vorhande Trojaner etc. nach außen funken, wie sie wollen.

Wenn du alle Ports sperrst, hast du erstmal keinen Zugriff mehr aufs Web von irgendeinem PC deines LANs.
Das sollte recht einfach gehen, indem du bei dem letzten Punkt (Allow - Default - LAN, * - *, * - IP(0), *) aus dem "Allow" ein Deny machst.
Ich selbst habe noch nie so ein Ding in der Hand gehabt, aber du wirst dann höchstwahrscheinlich für jeden Port, den du benutzen willst, eine neue Regel hinzufügen müssen.
Für HTTP wäre der Eintrag entsprechend :
Code: 
Action: Allow
Source: LAN; IP Range: *
Destination: WAN; IP Range: *
Protocol: TCP; Port Range: 80
Damit hast du jedem Rechner in deinem LAN Zugriff auf sämtliche Internetseiten freigeschaltet.
 
ok gut der Screenshot den hab ich aus google gefischt, so wies bei mir wirklich im Moment aussieht ist so http://www.people.freenet.de/hotzi/firewall.jpg
ich dachte deshalb erstmal dass der andere reicht

is des richtig, dass: Regel eins für das Zulassen des Pingens steht
Regel zwei besagt, dass der Router alles verweigern soll was reinkommt vom WAN zum LAN und regel drei erlaubt von LAN auf woanders zuzugreifen is des ungefähr richtig? Wenn ich dann Enabled drücke, irgendeinen Namen eingebe für die Regel, und dann auf deny klicke, es entsprechend einstelle auf entweder Eingang: (source: WAN destination: LAN) oder Ausgang: (source: LAN destination: WAN) dass das mal alles standartmäßig sperrt und ich dann danach jeden port extra freigeben muss. Naja das sollte ich am besten dem anpassen so wie es jetzt ist, nur weiss ich nicht was diese *.* bedeuten die entweder bei source oder destination stehen. Sorry ich bin in der Sache Firewalls noch sehr unerfahren. :(

Schau dir den Screenie bitte mal an.

Vielen Dank

Mfg

SteVe_o
 
D-Link DIR-615. Firewall Einstellung

Hi,
ich habe erfahren, dass es sinnvoller ist die Firewall am Router aktivieren. Einfaches Akt. reicht nicht, wenn es nicht konfiguriert ist. Also, habe ich gegoogelt und ... habe trotzdem einige Fragen.
Ziel ist es alle PORTS, die man nicht braucht zu schließen.
Aber wie setze ich die Bedingung durch:
ALLE Ports schließen, AUSSER die .. und die ... ?!
Ich denke, da gibt es zwei Möglichkeiten:
Regel1: Ports 1 bis 65xxx schließen
Regel2: Port 4 offen
Regel3: Port 9 offen
..... usw. Aber ... widerspricht sich das nicht etwa ?

Oder
Regel1: Port 1-3 zu
Regel2: Port 4 offen
Regel3: Port 5-8 zu
Regel4: Port 9 offen
Regel5: Port 10-... zu
... usw. Aber mit dem Weg rechen mir die 50 Regeln die ich habe von vorne bis hinten hicht !
Wie kann ich die Regel durchsetzen: ALLE zu, bis auf : ....... !?

*********************
2. Frage.
Manche Ports benutzen beide (oder sogar mehrere) "Verbindungen": UDP, TCP. In der Firewall an meinem Router (D-Link DIR-615) wenn ich konkreten Port eintrage oder einen Bereich von Ports - dann muss ich mich nur für einen einzigen Protokoll entscheiden: UTP od. TCP oder ICMP. Es gibt noch "ALL" im Auswahlmenü - aber in dem Fall - kann ich keine Eintragung unter Ports machen. (Die Zeilen sind ... "deaktiviert"). D.h. wiederum für einige Ports muss ich zwei Regeln erstellen: ein mal für TCP, ein mal für UDP.
Stimmt es ? Wenn ja - dann reichen mir schon wieder die 50 Regel nicht (bei rissigem Arbeitsaufwand noch nebenbei bemerkt!)

**********************
3. Frage.
Wenn Software eine Verbindung von meinem PC nach "Draußen" zum Hersteller-Server aufbauen, dann Einstellung:
Source > LAN
Dest > WAN
Und das heißt "ausgehende Verbindung".
Stimmt es ?

**************************
PS: auf dem Bild - ist der Ausschnitt meiner Firewall-Einstellung. Da habe ich mir gesagt, ich mache mal wenigstens einen Teil der "Fenster" zu. Ich würde gern wesentlich präziser es erledigen - deswegen habe ich mich hier angemeldet....
Danke
 
Zuletzt bearbeitet:
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben