Hallo,
ich habe ein paar Fragen hauptsächlich zum Thema Firewall:
Ich habe einen LANCOM 1521 Wireless
1. Ich habe hier einen Server im Betrieb auf den verschiedene Dienste laufen (Teamspeak-, FTP- und Webserver). Er wird über dyndns angesprochen und hat keine feste IP. Kann ich die lokale IP jetzt bei DMZ eintragen damit die Filterregelen für diesen Rechner nicht beachtet werden? Oder wie muss ich mir das vorstellen bzw einstellen damit der Server quasi auf alle Anfragen von außen reagiert?
2. Ich nutze auf meinem Notebook und meinem normalen Rechner die gleichen Dienste bzw. alle Rechner nutzen HTTP Dienst. Ich kann per Maskierung bzw in der Service Tabelle ja nur auf eine IP weiterleiten. Wie und wo stelle ich Dienste bzw Ports für alle Rechner ein?
3. Ich habe von QoS gehört. Kann ich damit maximale Bandbreiten für IP Adressen angeben um somit zB den ständigen Internetsurfern hier im Haus die Bandbreite für Port 80 einzuschränken?
Ich möchte gerne die Firewall so konfigurieren, dass alles geblockt wird außer die Dienste/Ports die ich öfters brauche:
teamspeak2, http, ftp, icq, irc, half life ports, pop und smtp und evtl ein paar andere.
Sorry, ich weiss das ich ein blutiger Anfänger in Sachen Netzwerksicherheit bin Ich hoffe ihr könnt es mir diese Thematik verständlich machen oder mir zumindest ein wenig weiter helfen. Ich habe mir schon das Manual reingezogen aber viel verraten hat es mir nicht. Naja zum Thema WLAN Sicherheit sag ich jetzt erstmal nix. Hab das erstma deaktiviert bis ich so wenigstens einigermaßen sicher bin.
mfg
stefan scharold
Eine ganze Hand voll Fragen:
Moderator: Lancom-Systems Moderatoren
Da verdrehst du was! Dein Router ändert seine öffentliche IP, welche du per DynDNS auflösen lässt. Dein Server hinter dem Router hat eine LAN oder DMZ IP. Diese ist immer die gleiche, weshalb du im Router unter MAskierung die nötigen Ports auf diese IP weiterleitest. Die Firewall bekommt entsprechende Regeln.Kann ich die lokale IP jetzt bei DMZ eintragen damit die Filterregelen für diesen Rechner nicht beachtet werden? Oder wie muss ich mir das vorstellen bzw einstellen damit der Server quasi auf alle Anfragen von außen reagiert?
Das geht nicht! Ein Port eine IP! Woher soll den der Router wissen, welcher Rechner im LAN gemeint ist. Er sieht ja nur den Port... - Lösung, ändere auf den anderen Rechnern die Ports. Und benutze diese...2. Ich nutze auf meinem Notebook und meinem normalen Rechner die gleichen Dienste bzw. alle Rechner nutzen HTTP Dienst. Ich kann per Maskierung bzw in der Service Tabelle ja nur auf eine IP weiterleiten. Wie und wo stelle ich Dienste bzw Ports für alle Rechner ein?
Ja das geht.3. Ich habe von QoS gehört. Kann ich damit maximale Bandbreiten für IP Adressen angeben um somit zB den ständigen Internetsurfern hier im Haus die Bandbreite für Port 80 einzuschränken?
Das steht sehr detailiert im Handbuch!Ich möchte gerne die Firewall so konfigurieren, dass alles geblockt wird außer die Dienste/Ports die ich öfters brauche:
teamspeak2, http, ftp, icq, irc, half life ports, pop und smtp und evtl ein paar andere.
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
thx schonmal.
Acho also ist die DMZ so gehsehen eine öffentliche IP die ich irgendwoher bekomme. ( ma so ne frage wo bekomm ich einfach noch ne IP gibts die auch irgendwo einzeln zum mieten?)
ja so hat ich mir das auch gedacht nur wieso geht zB icq und so auf allen Rechnern .. oder http leuchtet mir noch nicht ganz ein sorry
wunderba.
sorry hab ich dann wohl nich so ganz mitgeschnitten oder heut morgen überlesen ich werd nochma schaun und bei fragen dazu mich nochma melden thx
Acho also ist die DMZ so gehsehen eine öffentliche IP die ich irgendwoher bekomme. ( ma so ne frage wo bekomm ich einfach noch ne IP gibts die auch irgendwo einzeln zum mieten?)
ja so hat ich mir das auch gedacht nur wieso geht zB icq und so auf allen Rechnern .. oder http leuchtet mir noch nicht ganz ein sorry
wunderba.
sorry hab ich dann wohl nich so ganz mitgeschnitten oder heut morgen überlesen ich werd nochma schaun und bei fragen dazu mich nochma melden thx
Hallo Stefan,
Die LANCOM Router bieten sowas aus sicherheitstechnischen Gruenden nicht an. Schau mal im Handbuch unter DMZ, da ist das IMHO recht gut dargestellt.
Bei ICQ, http ... sendet der Client im LAN eine Anfrage ueber den Router in das Internet. Der Router merkt sich aber nun von wem die Anfrage kam und nimmt die Antowrt auf die Anfrage und sendet sie wieder an den anfragenden Rechner im LAN zurueck. Da der Router das alles nachhaelt koennen auch mehrere Rechner im LAN gleichzeitig mit icq, http .. arbeiten.
Bei den Diensten die Du freigeben willst, kommen aber ungefragt Pakete aus dem Internet am LANCOM an, die der Router dann anhand Ihres Ports an den, in der Service-Tabelle eingetragenen, Rechner weiterleitet. Diese Anfragen wurden also nicht von einem Client im LAN initiert, sonder ohne Aufforderung von aussen zum LANCOM gesendet. Wenn so ein Paket am LANCOM ankommt kann der Router ja nicht wissen zu welchem Rechner er es im LAN schicken soll, wenn mehr als ein Rechner fuer den gleichen Port eingetragen ist. Ich hoffe das war einigermassen verstaendlich ausgedrueckt.
Ciao
LoUiS
ich glaube das was Du meinst ist ein "exposed Host", ein Rechner der komplett offen im WAN haengt, ohne vom NAT oder der Firewall geschuetzt zu sein. Das verkaufen andere Hersteller oft als DMZ, obwohl das nicht richtig dargestellt ist. Das ist ein Sicherheitsrisiko, da ein Angreifer, damit schon mit einem Bein in Deinem LAN steht.1. Ich habe hier einen Server im Betrieb auf den verschiedene Dienste laufen (Teamspeak-, FTP- und Webserver). Er wird über dyndns angesprochen und hat keine feste IP. Kann ich die lokale IP jetzt bei DMZ eintragen damit die Filterregelen für diesen Rechner nicht beachtet werden? Oder wie muss ich mir das vorstellen bzw einstellen damit der Server quasi auf alle Anfragen von außen reagiert?
Die LANCOM Router bieten sowas aus sicherheitstechnischen Gruenden nicht an. Schau mal im Handbuch unter DMZ, da ist das IMHO recht gut dargestellt.
Bei ICQ, http ... sendet der Client im LAN eine Anfrage ueber den Router in das Internet. Der Router merkt sich aber nun von wem die Anfrage kam und nimmt die Antowrt auf die Anfrage und sendet sie wieder an den anfragenden Rechner im LAN zurueck. Da der Router das alles nachhaelt koennen auch mehrere Rechner im LAN gleichzeitig mit icq, http .. arbeiten.
Bei den Diensten die Du freigeben willst, kommen aber ungefragt Pakete aus dem Internet am LANCOM an, die der Router dann anhand Ihres Ports an den, in der Service-Tabelle eingetragenen, Rechner weiterleitet. Diese Anfragen wurden also nicht von einem Client im LAN initiert, sonder ohne Aufforderung von aussen zum LANCOM gesendet. Wenn so ein Paket am LANCOM ankommt kann der Router ja nicht wissen zu welchem Rechner er es im LAN schicken soll, wenn mehr als ein Rechner fuer den gleichen Port eingetragen ist. Ich hoffe das war einigermassen verstaendlich ausgedrueckt.
Ciao
LoUiS
Dr.House hat geschrieben:Dr. House: Du bist geheilt. Steh auf und wandle.
Patient: Sind Sie geisteskrank?
Dr. House: In der Bibel sagen die Leute schlicht "Ja, Herr" und verfallen dann ins Lobpreisen.
ah cool doch das war sehr schön ausgedrückt für mich danköö ... also einfach alle serverdienste in die service tabelle eintragen. tjoa ich mach mich jetzt nochma genau wegen der firewall schlau und stell dann wieder newbie fragen ... und das als fachinformatiker .. naja man kann ja nicht alles wissen aus der komplexen IT welt
das einzige was ich noch hätte ... kann ich auf jeder Lan Schnittstelle ein VLAN erstellen? um die prio id´s zu nutzen .. naja wenn nich würd ich das halt per QoS irgendwie regeln
... also einfach alle serverdienste in die service tabelle eintragen. tjoa ich mach mich jetzt nochma genau wegen der firewall schlau und stell dann wieder newbie fragen ... und das als fachinformatiker .. naja man kann ja nicht alles wissen aus der komplexen IT weltdas einzige was ich noch hätte ... kann ich auf jeder Lan Schnittstelle ein VLAN erstellen? um die prio id´s zu nutzen .. naja wenn nich würd ich das halt per QoS irgendwie regeln
das einzige was ich noch hätte ... kann ich auf jeder Lan Schnittstelle ein VLAN erstellen? um die prio id´s zu nutzen .. naja wenn nich würd ich das halt per QoS irgendwie regeln
Ähm - welchen Zusammenhang haben bitte VLANs und QoS???
VLANs dienen zur virtuellen Segmentierung von Netzwerken.
QoS dient dem Bandbreitenmanagment verschiedener Services.
Wo ist da der Zusammenhang?
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???