D-Link Router Firewall Einstellung

Hi,
ich habe erfahren, dass es sinnvoller ist die Firewall am Router aktivieren. Einfaches Akt. reicht nicht, wenn es nicht konfiguriert ist. Also, habe ich gegoogelt und ... habe trotzdem einige Fragen.
Ziel ist es alle PORTS, die man nicht braucht zu schließen.
Aber wie setze ich die Bedingung durch:
ALLE Ports schließen, AUSSER die .. und die ... ?!
Ich denke, da gibt es zwei Möglichkeiten:
Regel1: Ports 1 bis 65xxx schließen
Regel2: Port 4 offen
Regel3: Port 9 offen
..... usw. Aber ... widerspricht sich das nicht etwa ?

Oder
Regel1: Port 1-3 zu
Regel2: Port 4 offen
Regel3: Port 5-8 zu
Regel4: Port 9 offen
Regel5: Port 10-... zu
... usw. Aber mit dem Weg rechen mir die 50 Regeln die ich habe von vorne bis hinten hicht !
Wie kann ich die Regel durchsetzen: ALLE zu, bis auf : ....... !?

*********************
2. Frage.
Manche Ports benutzen beide (oder sogar mehrere) "Verbindungen": UDP, TCP. In der Firewall an meinem Router (D-Link DIR-615) wenn ich konkreten Port eintrage oder einen Bereich von Ports - dann muss ich mich nur für einen einzigen Protokoll entscheiden: UTP od. TCP oder ICMP. Es gibt noch "ALL" im Auswahlmenü - aber in dem Fall - kann ich keine Eintragung unter Ports machen. (Die Zeilen sind ... "deaktiviert"). D.h. wiederum für einige Ports muss ich zwei Regeln erstellen: ein mal für TCP, ein mal für UDP.
Stimmt es ? Wenn ja - dann reichen mir schon wieder die 50 Regel nicht (bei rissigem Arbeitsaufwand noch nebenbei bemerkt!)

**********************
3. Frage.
Wenn Software eine Verbindung von meinem PC nach "Draußen" zum Hersteller-Server aufbauen, dann Einstellung:
Source > LAN
Dest > WAN
Und das heißt "ausgehende Verbindung".
Stimmt es ?

**************************
PS: auf dem Bild - ist der Ausschnitt meiner Firewall-Einstellung. Da habe ich mir gesagt, ich mache mal wenigstens einen Teil der "Fenster" zu. Ich würde gern wesentlich präziser es erledigen - deswegen habe ich mich hier angemeldet....
Foto:
http://www.hackerboard.de/attachmen...ten-bildschirmfoto-2012-10-15-um-11.52.25.png
Danke
 
Hmmm, also übersichtlich ist die Konfigurationsseite ja nicht gerade.
Sagt denn das Handbuch nichts zur Konfiguration aus?
Meine Vermutung ist, dass die Regeln bis zum ersten Treffer durchgegangen werden, würde bedeuten, du machst die Regeln für alle offenen Ports und dann am Ende eine, die alle Ports schließt. Das könntest du auch einfach testen, indem du einen Port, den du testen kannst, mal nicht freigibst -> sollte geblockt sein, und danach dann über die allgemeine Blockregel setzt -> sollte jetzt offen sein.
 
So ist es, der Router läuft seine Liste von A-Z ab, am Ende sollte entsprechend ein Deny ALL o.ä. stehen.

Ansich brauchst du aber nur die Ports zu öffnen, welche du benötigst, da i.d.R. Firewalls (heutzutage) grundsätzliche alle Ports - außer die Standard-Ports für Internet, FTP etc. - sperrt.
 
Ja, das habe ich auch schon überlegt - durch die Tests - an die "sichere" Lösung ranzukommen:
1. Alles sperren in (angenommen) "ausgehende" Richtung - Testen (Richtungstest).
2. Alles und in beide Richtungen sperren - erneuter Test, dass nichts geht Beweis.
3. Zusätzlich den 80-er Port öffnen - Test. Wenn in dem Fall funktioniert - dann wird es anscheinend so eingestellt.
Aber das mache ich .... morgen ... wahrscheinlich. Ich werde mich auf jeden Fall mit dem Ergebnis zurück melden.

Eine Frage wird trotz der "Ergebnissen" ungeklärt bleiben. Das ist allerdings eine "D-Link Einstellung"-spezifische Frage:
Pro Port werden mehrere Verbindungen aufgebaut, im Sinne UDP, TCP, ICMP (und es gibt noch mehrere habe ich festgestellt
Service Name and Transport Protocol Port Number Registry ).
So und wenn ich pro Regel einen Port oder einen Port-Bereich eintrage - dann muss ich mich pro Regel - nur für die eine Verbindung entscheiden (UDP oder TCP oder ICMP). Ich kann noch sagen: "ALL" (alle Verbindungen) - aber dann kann ich keinen Port oder Port-Bereich eintragen! Die Eingabe-Zeilen (für Port-Eingabe) sind ... "deaktiviert", sobald ich "ALL" auswähle (?!).

Ich mach erstmal "einzelne" ... was soll's ... und sehe, dass ich den Hersteller anschreibe, mit der Hoffnung auf eine nützliche Antwort.

Ah so (hätte fast vergessen Frage zu beantworten) ...
Ja es gibt ein Handbuch, was mir leider nicht weiterhelfen konnte. Im Kapitel "Firewall" geht's nur um die fest definierten Begriffe .... teils auf Englisch sogar. Keine Beispiel-Lösung, keine Erläuterungen.
Gegoogelt habe ich noch ... noch davor. Es hat mir was gebracht, immerhin hatte ich davor zwischen 'gar keine' und 'keine' Ahnung von Firewall-Einstellung. (Ich hatte die FW aktiviert und mir ruhigem Gewissen geschlafen. ... Aber die FW war nicht konfiguriert ! Keine einzige Regel !)
 
Zuletzt bearbeitet:
Meine Erfahrung ist, dass die FW in Routern im Regelfall nach außen alles durch lässt und nach innen nichts. Das macht auch durchaus Sinn für den typischen User, da er sich so maximal mit dem Gerät auseinandersetzen muss, wenn ein Programm einen offenen Port (Portweiterleitung) benötigt und das nicht per upnp geht.

ggf. könnte man mal versuchen herauszufinden, ob man nicht direkt auf das Betriebssystem des Routers kommt oder vielleicht sogar ein alternatives OS aufspielen kann. In diesem Fall könntest du ohne GUI beliebig viele Regeln anlegen.
 
... dass die FW in Routern im Regelfall nach außen alles durch lässt und nach innen nichts. ....

Was heißt "ALLES" ?

Wenn ich aus dem Internet was herunterlade, ist es eine "eingehende" Verbindung ? Wenn Programme - ihre Updates holen, ... Oder: Nachdem eine Software sich mit dem Hersteller-Server verbundenhat, Nummern abgeglichen - da wird doch auch "was" zurückgeschickt (um Software dicht zumachen). Also ist dann auch eine "eingehende" Verbindung. Oder: Skype und allgemein alle möglichen Messenger - da geht ebenfalls "was" zurück und rein.
 
Also,
ich habe jetzt etwas getestet. Ooo ! Ich blicke da nicht durch. Von dem allem, was ich durchgelesen habe - kann man nicht an die Einstellungen (D-Link DIR 615) anwenden !
Ok, einzelne Port kann man schließen oder einzelne Ports für einzelne PC. Aber die Bedingung: "Alle ZU, außer die ... und ... usw" lässt sich aufwendig umsetzen und die 50 Regeln - die reichen nicht.
Denn, wenn ich sage:
Regel1: ALLE - ZU
Regel2: Port 80 - AUF
Regel3: Port 53 - AUF
....................
.............
........
- Das geht nicht, habe ich ausprobiert. Das habe ich auch befürchtet - ist doch ein Widerspruch. Und es spiel keine Rolle, wo diese "Alle Zu"-Regel sitzt: am Anfang oder am Ende. Das habe ich ausprobiert.

Und dann noch das hier: pro Regel gibt man ein: Port oder Port-Bereich, Verbindung (UDP, TCP, ICMP oder ALL). So, wenn ich einstelle "ALL" oder "ICMP" - dann sind die Ports - überflüssig! Die kannst du nicht mehr eingeben, die Eingabe-Zeilen sind deaktiviert !!!!! ??????

Also, ich habe einfach jetzt 2 Regel gemacht:
Source: WAN, Dest: LAN; Port: 1000-65500; TCP - "ZU"
Source: WAN, Dest: LAN; Port: 1000-65500; UDP - "ZU"
Unter dem Motto: " wenigstens sind jetzt weniger Fenster AUF !"
 
Und noch eins, was nach den Tests festgestellt wurde.
Ich sage alles (eingehend) zu:
Source: WAN, Dest: LAN; Port: 1-65500; TCP

Keine Internet-Verbindung !

und jetzt umgekehrt
Source: LAN, Dest: WAN; Port: 1000-65500; TCP - "ZU"

Keine Internet-Verbindung !

Wahrscheinlich lässt es sich so erklären:
Browser schickt ein Signal raus (ausgehende Verbindung)
und dann werde Daten heruntergeladen (eingehende Verbindung)
 
Ich gebe auf !!!!
Ich hatte folgendes eingestellt:

1. Source: WAN; Dest: LAN
TCP
port: 1000-65500
Verweigern

2. Source: WAN; Dest: LAN
UDP
port: 1000-65500
Verweigern

3. Source: LAN; Dest: WAN
TCP
port: 1000-65500
Verweigern

4. Source: LAN; Dest: WAN
UDP
port: 1000-65500
Verweigern

Kein Internet, keine Internet-Verbindung !
Und wie war es mit:
zum Surfen braucht die Ports:
FTP 20-21
DNS 53
HTTP 80
HTTPS 443
?
 
Zurück
Oben