xDSL.at

[wikkinger]

So bei meinem neuen Provider muss ich jetzt erstmals die Hardwarefirewall selber konfigurieren und habe mit sowas aber noch keine Erfahrungen.

Gekauft habe ich mir einen Draytek Vigor 2910 VGi. Nur leider ist zwar der Router nicht so schlecht aber die Bedienungsanleitung ist voll der schwach übersetzte Müll und es wird kaum was erklärt.
Scheinbar deswegen hat da vor ein paar Jahren ein Deutscher angefangen eine Beispieldokumentationfür die Firewall zu erarbeiten. Leider ist die neueste Version davon aus 2003 und damit nicht mit allen Einstellungen von heute ident.
Damit konnte ich mir jetzt aber zumindest eine Grundkonfiguration für die wichtigsten Dienste erarbeiten.

Um weiterzukommen mangelt es mir aber noch an Verständnis der Materie:

Im Gegensatz zu jedem Baumarkt-Router wo man nur Ports freigeben muss, muss man hier angeben in welche Richtung einer Firewall-Freigabe wirken soll (Im Router heißt das LAN->WAN und WAN->LAN ich nenns hier abegürzt Out und In.) und Quell und Ziel Ports angeben.
Bei Programmen wie Emule und Co steht jetzt aber nur dabei welche Portfreigaben die brauchen und nicht die Richtung und ob das Quell oder Ziell Ports sind?
Braucht also so ein Filesharing Programm nur ausgehend Portfreigaben oder auch eingehende und beziehen sich die Portangaben im Programm immer nur auf meinen PC oder manchmal auch auf die Gegenseite?

Um das Ganze noch komplizierter zu machen habe ich in der Softwarefirewall gesehen, das Emule und utorrent auch Verbindungen mit ständig wechselnden Ports im ganz hohen Portbreich über 50000 nutzen.
Davon ist aber in keiner Programmbeschreibung die Rede und wie soll man da eine knapp begrenzte Freigabe machen wenn die zwischen allen möglichen Ports über 50.000 herumspringen!?
Sind diese hohen Ports in der Hardwarefirewall aber gesperrt kann Emule keine Verbindungen zum einem Server mehr aufnehmen und utorrent kann keinen Download starten!
-------
Ich bitte also euch um Hilfe beim Verstehen der Richtung die eine Freigabe braucht und wie ich Emule und utorrent zum Laufen kriege.

[jutta]

konfigurieren (freigeben) musst du nur die reinkommenden verbindungen.
bei emule im standardfall zb 4662. dh die pakete die auf port 4662 der firewall ankommen, sollen an port 4662 des pcs mit der ip 192.168.xx.yy in deinem lan weitergeleitet werden.

bei bittorrent reicht es normalerweise auch, ganz wenige ports zu forwarden (6881 etc.)

um die rausgehenden ports brauchst du dich nicht zu kuemmern (ausser, du willst deinen kindern irgendwas sperren). (um die hohen ports daher auch nicht).

[wikkinger]

Anbei meine derzeitige Config. Die Regeln mit Block im NAmen blockieren, alle anderen lassen durch.

Bei Emule und utorren habe ich derzeit ich beide Richtungen erlaubt, da ich nicht weiß welche es braucht und ich bin mir auch nicht sicher ob die Quell und Ziel Ports richtig sind.

Die Regeln werden nacheinander abgearbeitet und die letzten beiden blockieren alle was nicht vorher erlaubt wurde.
Sobald ich Regel 18 einschalte funktionieren Emule und utorrent wegen der blockierten Ports >50.000 nicht mehr.

FilterNr.___Name_______Richtung_____Protokoll______Quell-IP_____Quell Ports___Ziel-IP______Ziel Ports

2: ___Block NetBios_____Out_________TCP/UDP_______any_________137-139______any_________53
3: _Block Short Fragments_In_________TCP___________any_________any__________any_________any
4: ___DNS ____________Out__________UDP___________any_________any__________213.7…_____53
5: ___DNS ____________Out__________UDP___________any_________any__________213.8…_____53
6: ___http80___________Out__________TCP___________any_________any__________any_________80
7: ___https443_________Out__________TCP___________any_________any__________any_________443
8: ___POP3____________Out__________TCP___________any_________any__________any_________110
9: ___SMTP____________Out__________TCP___________any_________any__________any_________25
10:___ftp______________Out__________TCP___________any_________1024_________any_________21
11: __pass-ftp__________Out__________TCP___________any_________1024_________any_________1024

12: __emule_____________In__________TCP___________any_________any_________any_________4563
13: __emule_____________In__________UDP___________any_________any_________any_________4573
14: __emule_____________Out_________TCP___________any_________4563________any_________any
15: __emule_____________Out_________UDP___________any_________4573________any_________any

16 __torrent_____________In__________TCP/UDP_______any_________any_________any_________9362
17 __ torrent____________Out_________TCP/UDP_______any_________9362________any_________any


18 _Block out___________Out_________any___________any_________any_________any_________any
19 _Block in____________In___________any___________any_________any_________any_________any

[jutta]

noch einmal: um die ausgehenden verbindungen brauchst du dich nicht zu kümmern.
regel 18 solltest du einfach deaktivieren, wenn du nicht die absicht hast, einen kurs als firewall-administrator zu machen.

[wikkinger]

Ich will aber auch ausgehend möglichst alles blockieren.
Und bis auf Emule und Torrent geht auch alles mit aktiviertem Block out.

[wicked_one]

Wozu genau hälst du es für notwendig möglichst alles ausgehende zu blockieren?

[lordpeng]

>Wozu genau hälst du es für notwendig möglichst alles ausgehende zu blockieren?

ich seh eigentlich keinen fehler darin -> grundprinzip einer firewall -> alles blockieren, was nicht explizit erlaubt ist, egal in welche richtung ...

diese methode erfordert allerdings, netzwerkkentnisse bzw. setzt voraus, dass man weiss, welche dienste man wofür braucht ...

obs bei privat-anschlüssen wirklich notwendig ist, is natürlich die andere frage, IMHO is NAT völlig ausreichend ...

[wikkinger]

Bitte noch ein paar Leute die anstatt zu helfen, nur deppert fragen wieso ich die Firewall auch ausgehend blockieren will. Ich hab übrigens außer dem Privatteil auch ein unser Firmen-Heimbüro dran hängen und deswegen will ich möglichst viel sperren.

Hat also jemand Ahnung wie man die Firewall bei Emule und Torrent richtig ein/ausgehendend konfiguriert und wie man die ausgehenden hohen Ports jenseits 50.000 möglichst beschränkt?

Hat jemand sonst irgendwelche Tipps was für Firewallregeln sonst noch so nützlich wären?

[barbakuss]

mit den beiden regeln

Block out___________Out_________any___________any_________any_________any_________any
Block in____________In___________any___________any_________any_________any_________any

hast eh schon alles dicht gemacht

ev. würde ich noch port 8080 aufmachen

aber was du für connections nach aussen offen brauchst privat wie auch im büro kann ich oder auch sonst hier niemand beurteilen, kommt darauf an welche programme verwendet werden

[lordpeng]

>Ich hab übrigens außer dem Privatteil auch ein unser Firmen-Heimbüro
>dran hängen und deswegen will ich möglichst viel sperren.
hat dein router vielleicht einen separaten DMZ port? in dem fall könntest du
das ganze sauber in 2 netze aufteilen, anstelle in einem netz die dienste im router zu beschränken

wennst natürlich von privat- und geschäftspc's auf gemeinsame resourcen willst (server, netzwerkdrucker) bringt dir das so nix, aber du hättest auf jedenfall mehr sicherheit, da privat und firma voneinander getrennt ist

wenn das ding einen DMZ port hat, kannst vermutlich auch die regeln für den DMZ port getrennt verwalten ...

... ansonsten siehe beitrag von barbakuss

[wicked_one]

Dann mach ausgehend die Portrange von > 50.000 auf - oder stell den Rechner mit emule und torrent drauf in die DMZ und mach diese völlig auf?

[wikkinger]

Ich will aber keine DMZ! Was glaubt ihr warum ich mir extra eine Firewall gekauft habe, damit ich danach erst wieder die halben Rechner ungeschützt ins Netz stelle!?

[wicked_one]

Ich will aber keine DMZ! Was glaubt ihr warum ich mir extra eine Firewall gekauft habe, damit ich danach erst wieder die halben Rechner ungeschützt ins Netz stelle!?

Die Rede ist von 1 Rechner für emule und torrent, oder? wieso also die halben??

Du willst ausgehend soviel blocken wie nur möglich.
Aber fassen wir zusammen - du benutzt Programme die per zufall Ports aufmachen und kannst diese nicht eingrenzen?
Du willst keine DMZ, obwohl sie genau für solche Zwecke gedacht wäre.

All das im Kurzen überblickt - was denkst du bleiben jetzt noch für möglichkeiten?

[jutta]

upnp waere vielleicht noch moeglich.

[lordpeng]

>Ich will aber keine DMZ! Was glaubt ihr warum ich mir extra eine Firewall gekauft habe

bei der DMZ konfiguration gehts um was anderes, nämlich das ganze in 2 getrennte netze zu splitten, das hat mit der von dir angestrebten konfiguration so nichts zu zu tun, diese kannst ja dennoch so betreiben, in dem fall (also mit DMZ und gesperrten outgoing-ports) wärs wohl das optimum, da privat von firma zu 100 % getrennt ist und nur die sachen nach aussen kommunizieren können, die du explizit freigeschalten hast, vielleicht wärs sinnvoll dich erst einmal um die technischen möglichkeiten zu erkundigen, anstelle die leute die dir hier weiterhelfen wollen anzumotzen ...