Firewall Einstellung bei Lancom 883 VoIP

Forum zu aktuellen Geräten der LANCOM Router/Gateway Serie

Moderator: Lancom-Systems Moderatoren

Antworten
morrison
Beiträge: 3
Registriert: 26 Feb 2023, 16:47

Firewall Einstellung bei Lancom 883 VoIP

Beitrag von morrison »

Hallo zusammen,

standardmäßig ist ist meinem Lancom nach der ersten Benutzung folgendes aktiviert:

CONTENT-FILTER TCP LOCALNET WEB ANYHOST CONTENT-FILTER-BASIC
Kopieren BPJM-ALLOW-LIST ANY ANYHOST ALLOW-LIST-BPJM ACCEPT
BPJM ANY ANYHOST BPJM REJECT

1.
Kann mir jemand sagen für was das ist?

2.
Ich würde gerne mit Deny All anfangen (die Downloads habe ich gestern hier gefunden) und dann HTTPS aktivieren und DNS und dann Schritt für Schritt weitermachen.
Sollen die Dinge wie Content Filter, BPJM Allow List und BPJM dann aktiviert bleiben oder soll ich diese Einträge löschen?

3.
Ich bitte auch gerne noch zu Tipps wie ich den Router so sicher wie möglich einstellen kann.

Vielen Dank Euch!
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: Firewall Einstellung bei Lancom 883 VoIP

Beitrag von Jirka »

Keine WINS-Regel? Die hätte eigentlich auch da sein müssen und im Gegensatz zu den anderen aufgeführten müsste diese aktiv sein.

Zu 1.) Genau genommen ist das etwas überspitzt Werbung für den (kostenpflichtigen) Content-Filter bzw. das BPjM-Modul. Alle von Dir aufgeführten Regeln sind nicht aktiv und können daher bedenkenlos gelöscht werden, es sei denn Du hast tatsächlich Interesse an besagten Filtertechnologien, dann siehst Du mit diesen Regeln, wie eine entsprechende Regel aussehen könnte, allerdings bekommt man die auch selber zusammen, wenn man sich mit dem Thema beschäftigt hat.

Zu 2.) Na aktiv sind die wie gesagt eigentlich gar nicht. Da müsste vorne so ein rotes Kreuz für deaktiviert stehen. Aber zur Frage: Löschen.
morrison
Beiträge: 3
Registriert: 26 Feb 2023, 16:47

Re: Firewall Einstellung bei Lancom 883 VoIP

Beitrag von morrison »

Vielen herzlichen Dank!

Mein Fehler, ich habe jetzt erst gesehen, dass die WINS-Regel vorhanden und auch aktiv ist, es ist zumindest ein grüner Haken da.

Ich würde gerne Deny-All Regeln aufstellen so wie hier beschrieben:

https://www.lancom-systems.de/docs/LCOS ... 63942.html

1.
Muss Deny-All immer als letztes aufgeführt werden bzw. was ist der Hintergrund dazu?

2.
Was macht man wenn einzelne Internetseiten nicht funktionieren? In meinem Fall geht TVnow.de nicht.

3.
Gibt es noch weitere Möglichkeiten diesen Router "abzuhärten"? Ich habe den Ping deaktiviert aber weitere Möglichkeiten kenne ich jetzt auch noch nicht.

Vielen Dank!
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Firewall Einstellung bei Lancom 883 VoIP

Beitrag von backslash »

Hi morrison,

Code: Alles auswählen

Muss Deny-All immer als letztes aufgeführt werden bzw. was ist der Hintergrund dazu?
Das LANCOM wird die Deny-All-Regel immer nach unten sortieren. Als Grund kannst du dier Vorstellen, daß bei der Bearbeitung die Regeln von "oben nach unten" abgearbeitet werden und die erste matchende Regel wird genommen. Damit muß die Deny-All-Regel nach untern und greift für alles, für das es keine dedizierte Regel gab.
Als aller letzte Regel (also noch hinter der Deny-All-Regel) gibt es i.Ü. noch eine implizite Regel mit Namen "DEFAULT (ACCEPT ALL)"...
Was macht man wenn einzelne Internetseiten nicht funktionieren? In meinem Fall geht TVnow.de nicht.
die Frage ist zu allgemein, um sie kurz beantworten zu können... Aber das LANCOM bietet jede Menge Tracemöglichkeiten, um dem nachzugehen. Als erstes könntest du mit DNS-, IP-Router- und Firewall-Trace anfangen und dabei natürlich dafür sorgen, daß nur interessanter Traffic läuft - denn sonst siehst du den Wald vor lauter Bäumen nicht. Du kannst die Traces auch filtern, sobald du weißt, worauf es ankommt.
Gibt es noch weitere Möglichkeiten diesen Router "abzuhärten"? Ich habe den Ping deaktiviert aber weitere Möglichkeiten kenne ich jetzt auch noch nicht.
ah, schon wieder einer der auf die selbstgernannten Experten diverser Consumer-Computer-Zeitschriften hereingefallen ist...

Ein ping ist keine Gefahr und ein geblocktes Ping (sowie ein aktivierter Stealth-Mode) sagt mitnichten, daß da niemand wäre - ganz im Gegenteil: Sie zeigen mit einem riesigen roten blinkendn Pfeil auf dich als möglicherweise interressantes Ziel... Ein blockieres Ping erschwert zudem die Fehlersuche...

Und noch ein Tip: Erstelle möglichst keine Regeln, die die Quelle oder das Ziel für bestimmte Zeiten komplett blockieren - auch das wird von den oben genannten Leuten immer wieder empfohlen und sie werten Firewalls sogar ab, wenn die das nicht können. So eine Sperre bringt keinerlei Sicherheit - im Gegensteil ermöglicht sie am Ende erst einen erfolgreichen DoS-Angriff... Und du baust die einen "Fehler" ein den du lange suchen kannst - es gab schon oft Kundenmeldungen über nicht funktionierendes Internet, die am Ende auf soche Regeln zurückzuführen waren

Gruß
Backslash
Antworten