Fragen zu einer DENY-ALL Strategie

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
thorstense
Beiträge: 56
Registriert: 24 Apr 2007, 09:12

Fragen zu einer DENY-ALL Strategie

Beitrag von thorstense »

Hallo zusammen!

Ich bin Privatanwender und habe seit einiger Zeit ein neues LANCOM 821+ :)
Auf dem Lancom läuft die Firmware 6.32.0021.
Die ADSL WAN Anbindung ist ARCOR DSL6000.

Bisher habe ich nur die Standarteinstellung verwendet mit der WINS Regel.
Jetzt stellt sich mir die Frage welche Firewallstrategie die richtige für mich ist :?:

Nach langem lesen hier im Board und im REF Manual sind immer noch viele Fragen offen.
Ich stelle hier im Board fest das wohl die Profis eine DENY-ALL Regel anwenden.


Ich habe mir eine Testconfig aufgebaut, sie läuft eigentlich ganz gut.
Nur den eMULE nach der Anleitung von Filou blockt die DENY-ALL Regel immer ab und es sind noch andere Fragen offen.

#####################################################
ALLOW_EMULE_OUT/UDP
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - UDP benutzerdefiniert: Zielports 61754,61755

ALLOW_EMULE_IN/UDP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen Stationen
Ziel - Verbindungen an folgenden Stationen: Intranet-IP
Dienste - UDP benutzerdefiniert: Zielports 61755

ALLOW_EMULE_IN/TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen Stationen
Ziel - Verbindungen an folgenden Stationen: Intranet-IP
Dienste - TCP benutzerdefiniert: Zielports 61754

ALLOW_EMULE_OUT/TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - TCP benutzerdefiniert: Zielports 61754,61755
#####################################################

Maskiert habe ich die Ports und mit der WINS Regel läuft der eMule auch.
Das Maskieren kannte ich schon vom meinem letzten Lancom DSL/10 mit der FW 3.54

Ist so eine DENY-ALL Strategie nicht ein Overkill für den Privateinsatz?
Bremsen die Regeln die Geschwindigkeit beim Seitenaufbau?


Welche Geräte würdet ihr mit einer Regel alles blocken:

-NAS-Laufwerk
-Linux Videoüberwachungssystem
-Netzwerkdrucker
-SatBox
-.......

Viele Grüße Thorsten :)
Benutzeravatar
Jirka
Beiträge: 5288
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Beitrag von Jirka »

Hallo Thorsten,

muss da bei eMule nicht was mit Port 4.661 bis 4.665 gemacht werden?!

Viele Grüße,
Jirka
Benutzeravatar
filou
Beiträge: 1207
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

Hallo Thorsten,

...also bei diesen Zielports muss es ja in die Deny_all rennen!

Sieh dir das nochmals genauer an:
http://www.lancom-forum.de/topic,2691,.html

Wobei hier auch nur die Standardports 4661-4672 eingetragen sind.
Wenn die Server auf anderen Ports laufen (wie z.B. 3113 o. ä.), dann kannst du dorthin nicht connecten und müsstest die noch mit einbinden.

Mit den Regeln von mir lässt sich aber schon "einiges" machen...
Gruß
Jens

...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
thorstense
Beiträge: 56
Registriert: 24 Apr 2007, 09:12

Beitrag von thorstense »

Hallo zusammen!

Das mit den Ports habe ich leider noch nicht verstanden :?:
Laut 'ct soll man hohe Portnummeren verwenden da die Standartports oft von Portscanneren erfaßt werden.

Ist das so das der TCP und UDP Port der in der Maskierung eingetragen wird nur den Eingang in das Intranet öffnet?
Wie sind den die Ports bei eMule die den eMuleserver ansprechen, sind die immer gleich bei eMULE?

ALLOW_EMULE_OUT/UDP
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - UDP benutzerdefiniert: Zielports 4665,4672 <- Was sind das für Ports?

ALLOW_EMULE_IN/UDP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen Stationen
Ziel - Verbindungen an folgenden Stationen: Intranet-IP
Dienste - UDP benutzerdefiniert: Zielports 4672 <-Das ist der UDP Port aus eMule

ALLOW_EMULE_IN/TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen Stationen
Ziel - Verbindungen an folgenden Stationen: Intranet-IP
Dienste - TCP benutzerdefiniert: Zielports 4662 <-Das ist der TCP Port aus eMule


ALLOW_EMULE_OUT/TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - TCP benutzerdefiniert: Zielports 4661-4662 <- Was sind das für Ports?



Meine DENY_ALL Regel hat auf einigen Ports um die 3000 alles geblockt was von dem Rechner mit eMule kam.

Log-Tabelle
Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 01.05.2007 13:11:10 192.168.1.1 80.239.200.99 6 1673 3000 DENY_ALL 00000022 0 40000100
0002 01.05.2007 13:11:10 192.168.1.1 80.239.200.109 6 1672 3000 DENY_ALL 00000022 0 40000100
0003 01.05.2007 13:11:10 192.168.1.1 80.239.200.103 6 1671 3000 DENY_ALL 00000022 0 40000100
0004 01.05.2007 13:11:09 192.168.1.1 80.239.200.109 6 1672 3000 DENY_ALL 00000022 0 40000100
0005 01.05.2007 13:11:09 192.168.1.1 80.239.200.102 6 1670 3000 DENY_ALL 00000022 0 40000100
0006 01.05.2007 13:11:09 192.168.1.1 80.239.200.103 6 1671 3000 DENY_ALL 00000022 0 40000100
0007 01.05.2007 13:11:08 192.168.1.1 80.239.200.102 6 1670 3000 DENY_ALL 00000022 0 40000100
0008 01.05.2007 13:11:08 192.168.1.1 80.239.200.103 6 1671 3000 DENY_ALL 00000022 0 40000100
0009 01.05.2007 13:11:08 192.168.1.1 193.164.133.55 6 1669 8899 DENY_ALL 00000022 0 40000100
000a 01.05.2007 13:11:08 192.168.1.1 80.239.200.102 6 1670 3000 DENY_ALL 00000022 0 40000100



Viele Grüße Thorsten :)
Benutzeravatar
filou
Beiträge: 1207
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

thorstense hat geschrieben:Was sind das für Ports?
http://www.emule-anleitung.de/emule/eMu ... _Ports.htm



Meine DENY_ALL Regel hat auf einigen Ports um die 3000 alles geblockt was von dem Rechner mit eMule kam.

Log-Tabelle
Idx. System-Zeit Quell-Adresse Ziel-Adresse Prot. Quell-Port Ziel-Port Filterregel Limit Schwelle Aktion
0001 01.05.2007 13:11:10 192.168.1.1 80.239.200.99 6 1673 3000 DENY_ALL 00000022 0 40000100
0002 01.05.2007 13:11:10 192.168.1.1 80.239.200.109 6 1672 3000 DENY_ALL 00000022 0 40000100
0003 01.05.2007 13:11:10 192.168.1.1 80.239.200.103 6 1671 3000 DENY_ALL 00000022 0 40000100
0004 01.05.2007 13:11:09 192.168.1.1 80.239.200.109 6 1672 3000 DENY_ALL 00000022 0 40000100
0005 01.05.2007 13:11:09 192.168.1.1 80.239.200.102 6 1670 3000 DENY_ALL 00000022 0 40000100
0006 01.05.2007 13:11:09 192.168.1.1 80.239.200.103 6 1671 3000 DENY_ALL 00000022 0 40000100
0007 01.05.2007 13:11:08 192.168.1.1 80.239.200.102 6 1670 3000 DENY_ALL 00000022 0 40000100
0008 01.05.2007 13:11:08 192.168.1.1 80.239.200.103 6 1671 3000 DENY_ALL 00000022 0 40000100
0009 01.05.2007 13:11:08 192.168.1.1 193.164.133.55 6 1669 8899 DENY_ALL 00000022 0 40000100
000a 01.05.2007 13:11:08 192.168.1.1 80.239.200.102 6 1670 3000 DENY_ALL 00000022 0 40000100
Das ist das, womit ich das...
filou hat geschrieben:Wenn die Server auf anderen Ports laufen (wie z.B. 3113 o. ä.), dann kannst du dorthin nicht connecten und müsstest die noch mit einbinden.
...gemeint habe.
Gruß
Jens

...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
thorstense
Beiträge: 56
Registriert: 24 Apr 2007, 09:12

Beitrag von thorstense »

Hallo Filou!

Vielen Dank für deine schnelle Hilfe :D


Der eMule funktioniert jetzt mit eD2K und Kad und hoher ID

ALLOW_EMULE_OUT/TCP TCP %A192.168.1.1 %S3000,61755 ANYHOST

Der Kad erzeugt aber viele Firewallmedungen auf anderen Ports.
Ist das Normal oder ist da noch ein Fehler in einer Regel?


Wie sieht es mit meinen anderen Fragen aus, was meinst du dazu?

Ist so eine DENY-ALL Strategie nicht ein Overkill für den Privateinsatz?
Bremsen die Regeln die Geschwindigkeit beim Seitenaufbau?

Welche Geräte würdest du mit einer Regel alles blocken:

-NAS-Laufwerk
-Linux Videoüberwachungssystem
-Netzwerkdrucker
-Linux SatBox
-.......

Viele Grüße Thorsten :)
Benutzeravatar
filou
Beiträge: 1207
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

thorstense hat geschrieben: Ist so eine DENY-ALL Strategie nicht ein Overkill für den Privateinsatz?
Bremsen die Regeln die Geschwindigkeit beim Seitenaufbau?
Mit einer DENY_ALL merkst du schneller, wenn was faul ist im Netz.
Zawr entgehen dir damit auch die Schädlinge, die auf den Standardport senden, aber alles andere fällt dann schon auf :wink:
Zudem ist es auch Bedingung, einen guten AV im Einsatz zuhaben...
Welche Geräte würdest du mit einer Regel alles blocken
Alles, was nicht nach außen soll, bzw. nicht rein darf!
Aber dafür ist ja schon die DENY_ALL.
Der Kad erzeugt aber viele Firewallmedungen auf anderen Ports.
Ist das Normal oder ist da noch ein Fehler in einer Regel?
Sicher! Alles was auf den nicht freigeschalteten Ports rennen will, erzeugt eine Meldung... Das ist normal!
Emule lässt sich nunmal so einstellen, dass er auf beliebigen Ports laufen kann, was sicher auch viele P2P-Gegenstellen so nutzen.
Aber in der Regel reichen die Standardports.
Gruß
Jens

...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
thorstense
Beiträge: 56
Registriert: 24 Apr 2007, 09:12

Beitrag von thorstense »

Hallo Filou!

Vielen Dank für deine Hilfe!

Zu eMule:
Ich habe festgestellt das durch die Einschränkung der Ports eMule zwar auf High ID's läuft aber nach und nach alle Server in der Severeliste deaktiviert werden.

Weiß jemand wie man die Regel modifizieren muß damit eMule sauber läuft?


Zu Live Messenger:
Hier habe ich folgende Regeln erstellt:

ALLOW_LIVE_MSN_UDP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen lokalen Stationen
Ziel - Verbindungen an alle Stationen
Dienste - UDP benutzerdefiniert: Zielports 3478, 7001

ALLOW_LIVE_MSN_TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen lokalen Stationen
Ziel - Verbindungen an alle Stationen
Dienste - TCP benutzerdefiniert: Zielports 1863, 7001

Hier funktioniert der Live Messenger mit Videochat und Dateiübertragung wenn ich es mit 2 Stationen in meinem Netz teste.
Von extern ist kein Videochat möglich.

Ist vieleicht die Regel unter Quellen falsch definiert?
Es kommen Meldungen von der DENNY_ALL auf völlig unterschiedlichen Ports?

Viele Grüße, Thorsten :)
Benutzeravatar
filou
Beiträge: 1207
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

Moin,
thorstense hat geschrieben:
Zu eMule:
Ich habe festgestellt das durch die Einschränkung der Ports eMule zwar auf High ID's läuft aber nach und nach alle Server in der Severeliste deaktiviert werden.

Weiß jemand wie man die Regel modifizieren muß damit eMule sauber läuft?
Dann wiederhole ich das nochmals:

"Wenn die Server auf anderen Ports laufen (wie z.B. 3113 o. ä.), dann kannst du dorthin nicht connecten und müsstest die noch mit einbinden."

D.h. du müsstest eben diese Regel modifizieren und die entsprechenden Serverports hier noch eintragen:

ALLOW_EMULE_OUT/TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - TCP benutzerdefiniert: Zielports 4661-4662
Gruß
Jens

...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Benutzeravatar
filou
Beiträge: 1207
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

thorstense hat geschrieben: Von extern ist kein Videochat möglich.
Wenn du als Quelle nur "Verbindungen von allen lokalen Stationen" definierst, dann sind damit auch nur die Intranet-Stationen gemeint und von extern ist dadurch keine Verbindung möglich.

Du müsstest dafür, ebenso wie für emule, zusätzliche Regeln erstellen, die den Verkehr als Quelle "Verbindungen an alle Stationen" zulassen mit Ziel der Intranet-Station. Gleichfalls muss für eben diese Ports das Forwarding eingerichtet werden.

Hier noch die, je nach Dienst, benötigten Ports:
http://support.microsoft.com/kb/927847/de

Zusammen gefasst:
-4 Regeln
*ALLOW_LIVE_MSN_TCP_OUT
*ALLOW_LIVE_MSN_UDP_OUT
(mit Quelle: lokale Station und Ziel: Alle Stationen)

*ALLOW_LIVE_MSN_TCP_IN
*ALLOW_LIVE_MSN_UDP_IN
(mit Quelle: Alle Stationen und Ziel: lokale Station)
Gruß
Jens

...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
thorstense
Beiträge: 56
Registriert: 24 Apr 2007, 09:12

Beitrag von thorstense »

Hallo Filou!

Das mit den eMule Ports habe ich verstanden und sie sind auch freigegeben (Lt. Serverliste, da stehen die Ports ja dahinter (3000, 4242..).
Trotzdem werden mit der Zeit alle Server als nicht erreichbar markiert :(

Bei dem Live Messenger habe ich die Microsoft Seite auch schon gesehen.
Webcam and Video Conversations TCP 80
TCP/UDP 5000 - 65535

Heißt das das ich alle TCP/UDP Ports von 5000 - 65535 freischalten soll?
Dann hat doch die ganze DENY_ALL regel keinen Sinn mehr da alles offen ist?

Viele Grüße, Thorsten :-)
Benutzeravatar
filou
Beiträge: 1207
Registriert: 01 Mär 2005, 17:32
Wohnort: Mont de Cerf

Beitrag von filou »

thorstense hat geschrieben: Das mit den eMule Ports habe ich verstanden und sie sind auch freigegeben (Lt. Serverliste, da stehen die Ports ja dahinter (3000, 4242..).
Trotzdem werden mit der Zeit alle Server als nicht erreichbar markiert :(
Hast du denn schonaml versucht, die Server-Ips anzupingen?
Die Serverliste ist nunmal ziemlich dynamisch... Server kommen, Server gehen und dementsprechend wird die Liste aufgefrischt.
Heißt das das ich alle TCP/UDP Ports von 5000 - 65535 freischalten soll?
Dann hat doch die ganze DENY_ALL regel keinen Sinn mehr da alles offen ist?
Nun, das ist so, wenn man solche Anwendungen laufen lassen "muss"!
Sicherlich reisst es große Lücken in die Firewall, wobei die "bekannten" Ports auch weiterhin zu sind.
Meine Meinung... Ich mag solche Sachen auch nicht, aber wenns sein muss!?
Gruß
Jens

...online mit 1793VAW
WLAN mit L-1302 / L-1310 / OAP-830
LAN über GS-1224
Antworten