Hallo,
Situation ist folgende:
- Netzwerk mit mehreren Client PCs hinter Lancom 1811 Wireless DSL Router
- von innen nach außen soll alles erlaubt sein
- keinerlei Server etc. im Netzwerk
Welche Ports sollte ich vom Internet nach innen zulassen?
Gibt es eine Möglichkeit alles vom Internet zuzulassen, was von innen gestartet wurde?
Danke
Frage zu Firewall Regel
Moderator: Lancom-Systems Moderatoren
Re: Frage zu Firewall Regel
Hi!
Wenn NAT ohnehin aktiv ist, dann hast du genau das damit erreicht.
Hi!
Dann lass die Firewall einfach eingeschaltet und setze keine Regeln.Chachi888 hat geschrieben: - von innen nach außen soll alles erlaubt sein
Wenn NAT ohnehin aktiv ist, dann hast du genau das damit erreicht.
Das hat sich damit auch erledigt.Welche Ports sollte ich vom Internet nach innen zulassen?
Hi!
Das macht die Stateful-Inspection-Firewall im Lancom auch.Gibt es eine Möglichkeit alles vom Internet zuzulassen, was von innen gestartet wurde?
Gruß
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Hi!
Ja, damit hast du das, was du wolltest, aber keine "wirkliche" Firewall, sondern NAT http://de.wikipedia.org/wiki/Firewall#N ... ranslation
Deine Rechner sind so nun nicht direkt vom WAN aus erreichbar, es ist aber nach Außen hin alles erlaubt, bis auf die WINS-Regel, die ursprünglich eingetragen ist.
Ja, damit hast du das, was du wolltest, aber keine "wirkliche" Firewall, sondern NAT http://de.wikipedia.org/wiki/Firewall#N ... ranslation
Deine Rechner sind so nun nicht direkt vom WAN aus erreichbar, es ist aber nach Außen hin alles erlaubt, bis auf die WINS-Regel, die ursprünglich eingetragen ist.
Gruß
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Jens
...online mit 1784VA (VDSL 100) + WLC-Option
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Und sofern nichts invers maskiert wurde (Port-Forwarding-Tabelle), wird auch nichts von außen nach innen "weitergeleitet".Chachi888 hat geschrieben:Dass die Nutzer von innen alles machen können ist kein Problem, dass ist hier offiziell erlaubt.
Mir geht es lediglich darum die Nutzer vom Internet aus zu schützen.
4E 4F 20 53 49 47
Hi,
Stell Dir mal folgende fiktive Situation vor (gilt für normale Zugänge mit einer öffentlichen IP, z.B. normales Haushalts-DSL von der T-Online):
- Du bist der Router, in deinem Fall das LANCOM-Kästchen mit der öffentlichen Internetadresse (IP-Adresse) 84.19.20.4 und zusätzlich mit der privaten IP-Adresse 192.168.0.1
- Deine Kollegen stellen die PC's im LAN mit den privaten IP-Adressen 192.168.0.2 bis 192.168.0.11 dar (also 10 Kollegen)
- Ich bin der böse Angreifer aus dem Internet mit der IP-Adresse 82.219.201.32
-> Im Inetnet werden aber nur öffentliche Adressen weitergeleitet. Dies hat wiederum zur Folge, dass Deine Kollegen eigentlich gar nicht direkt mit dem Internet kommunizieren können, da diese ja nur über private Adressen verfügen.
Nun greift Network-Adress-Translation (kurz NAT) und das funktioniert ungefähr so:
Dein Kollege mit der IP-Adresse 192.168.0.5 möchte per http Daten von der IP-Adresse 209.85.135.99 (www.google.de) laden. Wie soll er aber nun mit www.google.de kommunizieren - hat ja nur eine im Internet nutzlose private IP-Adresse? Richtig, er wendet sich an die Vermittlung, das bist Du, also der Router. Ihr beide könnt euch ja über die privaten 192.168.0.X-Adressen im lokalen Netz problemlos unterhalten. Dein Kollege bitte Dich für Ihn etwas anzufordern. Du stellt dann stellvertretend für Deinen Kollegen die Anfrage an den Server. Sobald die Anwort kommt leitest Du diese an den Kollegen weiter, da du ja weißt dass dieser noch auf die Antwort wartet. *1)
Nun zu mir, dem Angreifer: Ich (IP 82.219.201.32) sende Dir (IP 84.19.20.4 also dem Router) beliebige Daten. Deine erste Frage wird wohl sein: "Welcher Kollege auf meiner Liste erwartet von dem Kerl Daten?". Du wirst zum Schluss kommen, dass kein Kollege auf Daten von mir wartet und diese dann vermutlich einfach verwerfen, da du ja nicht wissen kannst für welchen deiner 10 Kollegen die Daten bestimmt sind und es im Internet auch nicht möglich ist, bei mir Rückzufragen für wenn genau die Daten denn sind.
=> Die Krücke NAT (Vermittlung an mehrere private Adressen hinter einer öffentlichen) erfüllt alle Deine Wünsche....
*1)
Wenn nun die hübsche Blondine von nebenan (IP 192.168.0.2) mit einer Anfrage ins Internet kommt und Du diese bevorzugt, so nennt man dies "bevorzugen" QoS (Quality of Service).
Gruß
gm
PS: Das Inversmaskieren wäre quasi ein gelber Zettel irgendwo bei Dir, auf dem steht "wenn http-Daten auf der öffentlichen Adresse IP 84.19.20.4 ankommen diese dann z.B. an den Kollegen mit der IP 192.168.0.4 weiterleiten".
Versuch der Erklärung von NAT mit 2 Maß Bier intus:Chachi888 hat geschrieben:Dass die Nutzer von innen alles machen können ist kein Problem, dass ist hier offiziell erlaubt.
Mir geht es lediglich darum die Nutzer vom Internet aus zu schützen.
Stell Dir mal folgende fiktive Situation vor (gilt für normale Zugänge mit einer öffentlichen IP, z.B. normales Haushalts-DSL von der T-Online):
- Du bist der Router, in deinem Fall das LANCOM-Kästchen mit der öffentlichen Internetadresse (IP-Adresse) 84.19.20.4 und zusätzlich mit der privaten IP-Adresse 192.168.0.1
- Deine Kollegen stellen die PC's im LAN mit den privaten IP-Adressen 192.168.0.2 bis 192.168.0.11 dar (also 10 Kollegen)
- Ich bin der böse Angreifer aus dem Internet mit der IP-Adresse 82.219.201.32
-> Im Inetnet werden aber nur öffentliche Adressen weitergeleitet. Dies hat wiederum zur Folge, dass Deine Kollegen eigentlich gar nicht direkt mit dem Internet kommunizieren können, da diese ja nur über private Adressen verfügen.
Nun greift Network-Adress-Translation (kurz NAT) und das funktioniert ungefähr so:
Dein Kollege mit der IP-Adresse 192.168.0.5 möchte per http Daten von der IP-Adresse 209.85.135.99 (www.google.de) laden. Wie soll er aber nun mit www.google.de kommunizieren - hat ja nur eine im Internet nutzlose private IP-Adresse? Richtig, er wendet sich an die Vermittlung, das bist Du, also der Router. Ihr beide könnt euch ja über die privaten 192.168.0.X-Adressen im lokalen Netz problemlos unterhalten. Dein Kollege bitte Dich für Ihn etwas anzufordern. Du stellt dann stellvertretend für Deinen Kollegen die Anfrage an den Server. Sobald die Anwort kommt leitest Du diese an den Kollegen weiter, da du ja weißt dass dieser noch auf die Antwort wartet. *1)
Nun zu mir, dem Angreifer: Ich (IP 82.219.201.32) sende Dir (IP 84.19.20.4 also dem Router) beliebige Daten. Deine erste Frage wird wohl sein: "Welcher Kollege auf meiner Liste erwartet von dem Kerl Daten?". Du wirst zum Schluss kommen, dass kein Kollege auf Daten von mir wartet und diese dann vermutlich einfach verwerfen, da du ja nicht wissen kannst für welchen deiner 10 Kollegen die Daten bestimmt sind und es im Internet auch nicht möglich ist, bei mir Rückzufragen für wenn genau die Daten denn sind.
=> Die Krücke NAT (Vermittlung an mehrere private Adressen hinter einer öffentlichen) erfüllt alle Deine Wünsche....
*1)
Wenn nun die hübsche Blondine von nebenan (IP 192.168.0.2) mit einer Anfrage ins Internet kommt und Du diese bevorzugt, so nennt man dies "bevorzugen" QoS (Quality of Service).
Gruß
gm
PS: Das Inversmaskieren wäre quasi ein gelber Zettel irgendwo bei Dir, auf dem steht "wenn http-Daten auf der öffentlichen Adresse IP 84.19.20.4 ankommen diese dann z.B. an den Kollegen mit der IP 192.168.0.4 weiterleiten".