 |
|
|
|
| Autor |
Nachricht |
Chachi888
Anmeldungsdatum: 06.11.2007
Beiträge: 3
|
 Verfasst am:
Di 06 Nov, 2007 11:15 |
  |
|
Hallo,
Situation ist folgende:
- Netzwerk mit mehreren Client PCs hinter Lancom 1811 Wireless DSL Router
- von innen nach außen soll alles erlaubt sein
- keinerlei Server etc. im Netzwerk
Welche Ports sollte ich vom Internet nach innen zulassen?
Gibt es eine Möglichkeit alles vom Internet zuzulassen, was von innen gestartet wurde?
Danke |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Di 06 Nov, 2007 12:31 |
|
|
Hi!
| Chachi888 hat folgendes geschrieben:
|
- von innen nach außen soll alles erlaubt sein
|
Dann lass die Firewall einfach eingeschaltet und setze keine Regeln.
Wenn NAT ohnehin aktiv ist, dann hast du genau das damit erreicht.
| Zitat:
|
Welche Ports sollte ich vom Internet nach innen zulassen?
|
Das hat sich damit auch erledigt.
Hi!
| Zitat:
|
Gibt es eine Möglichkeit alles vom Internet zuzulassen, was von innen gestartet wurde?
|
Das macht die Stateful-Inspection-Firewall im Lancom auch. |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Chachi888
Anmeldungsdatum: 06.11.2007
Beiträge: 3
|
| Verfasst am:
Mi 07 Nov, 2007 12:56 |
|
|
Hi
Danke für deine Antwort. D.h. wenn ich diese Einstellungen bei den Standard-Einstellungen lasse, hab ich schon mein Ziel ereicht? |
|
|
|
|
filou
Anmeldungsdatum: 01.03.2005
Beiträge: 1201
Wohnort: Mont de Cerf
|
| Verfasst am:
Mi 07 Nov, 2007 13:06 |
|
|
Hi!
Ja, damit hast du das, was du wolltest, aber keine "wirkliche" Firewall, sondern NAT http://de.wikipedia.org/wiki/Firewall#Network_Address_Translation
Deine Rechner sind so nun nicht direkt vom WAN aus erreichbar, es ist aber nach Außen hin alles erlaubt, bis auf die WINS-Regel, die ursprünglich eingetragen ist. |
_________________
Gruß
Jens
...online mit LANCOM 1722 VoIP Firmware 7.aktuell (T-DSL 16000) |
|
|
|
Chachi888
Anmeldungsdatum: 06.11.2007
Beiträge: 3
|
| Verfasst am:
Mi 07 Nov, 2007 15:15 |
|
|
Dass die Nutzer von innen alles machen können ist kein Problem, dass ist hier offiziell erlaubt.
Mir geht es lediglich darum die Nutzer vom Internet aus zu schützen. |
|
|
|
|
cosoft
Anmeldungsdatum: 29.06.2005
Beiträge: 136
Wohnort: Nordrhein Westfalen
|
| Verfasst am:
Mi 07 Nov, 2007 18:58 |
|
|
| Chachi888 hat folgendes geschrieben:
|
Dass die Nutzer von innen alles machen können ist kein Problem, dass ist hier offiziell erlaubt.
Mir geht es lediglich darum die Nutzer vom Internet aus zu schützen.
|
Und sofern nichts invers maskiert wurde (Port-Forwarding-Tabelle), wird auch nichts von außen nach innen "weitergeleitet". |
_________________
4E 4F 20 53 49 47 |
|
|
|
gm
Anmeldungsdatum: 21.10.2006
Beiträge: 300
Wohnort: Großkonreuth
|
| Verfasst am:
Do 08 Nov, 2007 01:29 |
|
|
Hi,
| Chachi888 hat folgendes geschrieben:
|
Dass die Nutzer von innen alles machen können ist kein Problem, dass ist hier offiziell erlaubt.
Mir geht es lediglich darum die Nutzer vom Internet aus zu schützen.
|
Versuch der Erklärung von NAT mit 2 Maß Bier intus:
Stell Dir mal folgende fiktive Situation vor (gilt für normale Zugänge mit einer öffentlichen IP, z.B. normales Haushalts-DSL von der T-Online):
- Du bist der Router, in deinem Fall das LANCOM-Kästchen mit der öffentlichen Internetadresse (IP-Adresse) 84.19.20.4 und zusätzlich mit der privaten IP-Adresse 192.168.0.1
- Deine Kollegen stellen die PC's im LAN mit den privaten IP-Adressen 192.168.0.2 bis 192.168.0.11 dar (also 10 Kollegen)
- Ich bin der böse Angreifer aus dem Internet mit der IP-Adresse 82.219.201.32
-> Im Inetnet werden aber nur öffentliche Adressen weitergeleitet. Dies hat wiederum zur Folge, dass Deine Kollegen eigentlich gar nicht direkt mit dem Internet kommunizieren können, da diese ja nur über private Adressen verfügen.
Nun greift Network-Adress-Translation (kurz NAT) und das funktioniert ungefähr so:
Dein Kollege mit der IP-Adresse 192.168.0.5 möchte per http Daten von der IP-Adresse 209.85.135.99 (www.google.de) laden. Wie soll er aber nun mit www.google.de kommunizieren - hat ja nur eine im Internet nutzlose private IP-Adresse? Richtig, er wendet sich an die Vermittlung, das bist Du, also der Router. Ihr beide könnt euch ja über die privaten 192.168.0.X-Adressen im lokalen Netz problemlos unterhalten. Dein Kollege bitte Dich für Ihn etwas anzufordern. Du stellt dann stellvertretend für Deinen Kollegen die Anfrage an den Server. Sobald die Anwort kommt leitest Du diese an den Kollegen weiter, da du ja weißt dass dieser noch auf die Antwort wartet. *1)
Nun zu mir, dem Angreifer: Ich (IP 82.219.201.32) sende Dir (IP 84.19.20.4 also dem Router) beliebige Daten. Deine erste Frage wird wohl sein: "Welcher Kollege auf meiner Liste erwartet von dem Kerl Daten?". Du wirst zum Schluss kommen, dass kein Kollege auf Daten von mir wartet und diese dann vermutlich einfach verwerfen, da du ja nicht wissen kannst für welchen deiner 10 Kollegen die Daten bestimmt sind und es im Internet auch nicht möglich ist, bei mir Rückzufragen für wenn genau die Daten denn sind.
=> Die Krücke NAT (Vermittlung an mehrere private Adressen hinter einer öffentlichen) erfüllt alle Deine Wünsche....
*1)
Wenn nun die hübsche Blondine von nebenan (IP 192.168.0.2) mit einer Anfrage ins Internet kommt und Du diese bevorzugt, so nennt man dies "bevorzugen" QoS (Quality of Service).
Gruß
gm
PS: Das Inversmaskieren wäre quasi ein gelber Zettel irgendwo bei Dir, auf dem steht "wenn http-Daten auf der öffentlichen Adresse IP 84.19.20.4 ankommen diese dann z.B. an den Kollegen mit der IP 192.168.0.4 weiterleiten". |
|
|
 |
|
|
|
|
|
| |
|
|
