Anleitung Firewall Webinterface

[Frazen]

Hallo Miteinander,

da ich nicht gerade der Befehlszeilen-Freak bin
aber zur Inbetriebnahme meines WL-500gPV2 wenigstens
die "WAN to LAN" Einstellungen über das Webinterface der
Oleg Firmware machen möchte suche ich hierzu eine Anleitung.

Kann mir da jemand weiterhelfen?

Danke schon mal

[newbiefan]

Hallo Miteinander,

da ich nicht gerade der Befehlszeilen-Freak bin
aber zur Inbetriebnahme meines WL-500gPV2 wenigstens
die "WAN to LAN" Einstellungen über das Webinterface der
Oleg Firmware machen möchte suche ich hierzu eine Anleitung.

Kann mir da jemand weiterhelfen?

Danke schon mal

Ok, sollte kein grosses Problem sein.
Aber du musst uns zumindest mitteilen, was du brauchst oder haben möchtest.
So kann z.Bspl. ein FTP oder Webserver in Betrieb sein, oder andere Dienste in deinem Netz. Vielleicht auch noch SSH Zugriff vom WAN usw. - das müssen wir wissen, dann kann dir gerne jemand helfen.
LG

[akbor]

Genau, das ist sehr einfach, betreibst du im LAN keine Server, die von aussen erreichbar sein sollen, dann bist du mit den Default-Einstellungen bestens bedient.

Hast du irgendwelche Server (wie Newbiefan schon sagte), dann musst du die Ports dafür erreichbar machen. Das machst du alles im Webinterface unter Firewall, Virtual Server zum Beispiel.

Gruß

Robert

[Frazen]

Ok, sollte kein grosses Problem sein.

Prima, danke erst mal.
Für den Anfang brauch ich nicht viel.
Entscheidend ist die "Syntax" im Webinterface.

Eigentlich soll von aussen alles geblockt werden und
von innen sollen die verschiedenen Standardports
(53, 80, 110, 123, 143, usw.) offen sein.

Wie trage ich das dann am besten über das
Webinterface ein?

[akbor]

...und von innen sollen die verschiedenen Standardports (53, 80, 110, 123, 143, usw.) offen sein.

Von innen sind sowieso alle Ports offen.

Eigentlich soll von aussen alles geblockt werden...

Und von aussen sind alle Ports dicht (bis eine Anwendung "raustelefoniert" und somit einen bestimmten Port für die Antwort von aussen öffnet). Das ist die Defaut-Konfiguration. Erst wenn ein oder mehrere Ports von aussen erreichbar sein sollen, dann musst du was konfigurieren. Scheint bei dir nicht der Fall zu sein.

Gruß

Robert

[Frazen]

Von innen sind sowieso alle Ports offen.

Und von aussen sind alle Ports dicht (bis eine Anwendung "raustelefoniert" und somit einen bestimmten Port für die Antwort von aussen öffnet). Das ist die Defaut-Konfiguration.

Gruß

Robert

Hat diese Default-Konfig mit der Einstellung "Packets(LAN to WAN) not specified will be: ACCEPT" zu tun?
Aus der bisherigen Firewall-Konfigurations-Erfahrung hätte ich alle Pakete
auf "DROP" gesetzt und nur die benötigten Ports expliziet geöffnet.
Das gleiche halt auf der WAN-Seite, erstmal alles verwerfen und dann bei
Bedarf die entsprechenden öffnen.

Was ist denn dann "sicherer"?

[akbor]

Ich persönlich würde nie alle unbenutzten Ports von innen defaultmässig dicht machen. Das kann einem nämlich schon mal stundenlange Fehlersuche bescheren, wenn man irgendeiner Anwendung den Port gekappt hat und im ersten Moment nicht daran denkt. Und wozu das ganze? Um die Trojaner daran zu hindern, durch irgendwelche exotischen Ports "nach Hause zu telefonieren"? Was ist dann mit dem TCP 80 zum Beispiel und allen anderen oft benutzten Ports? Macht irgendwie nicht so viel Sinn diese Massnahme...

Gruß

Robert

[Frazen]

...Macht irgendwie nicht so viel Sinn diese Massnahme...

Gruß

Robert

Hi Robert,

über Sinn oder Unsinn lässt sich sicher vortrefflich diskutieren und das Argument der längeren oder schwierigen Störungssuche, naja.
Aber noch mal zu meiner Frage: Hat diese Default-Konfig mit der Einstellung "Packets(LAN to WAN) not specified will be: ACCEPT" zu tun?

Danke schon mal für weitere Aufklärung.

[akbor]

Code:

->Internet Firewall
   ->WAN & LAN Filter
      -> Enable LAN to WAN Filter?	Yes (erst dann hat es was damit zu tun)
      -> Zeitangaben nach Wunsch
      -> Packets(LAN to WAN) not specified will be:	DROP
      -> Ausnahmeliste dann unter LAN to WAN Filter Table

und was heisst genau "naja"?

Gruß

Robert

[Frazen]

OK, danke. So hatte ich mir das auch gedacht und konfiguriert.
Mit "naja" wollte ich nur andeuten das mir Deine Argumente für eine
"automatisch" konfigurierte Firewall nicht entscheidend sind.
Ich möchte lieber klare Verhältnisse und auch verstehen und konrollieren
was da über meinen Router geht.
Die Einstellung "ist doch egal welcher Trojaner nach Hause telefoniert"
kann ich nicht nachvollziehen.

Trotzdem nochmal danke und ich werde hier bestimmt
noch weiter viel lesen und ausprobieren.

Gruß
Frazen

[wengi]

Hi,

Du wirst mit dem Blocken von Ports (LAN->WAN) keinen Trojaner aufhalten.
Die Kommunikation solcher Software läuft meist über Standardprotokolle und -ports (80, 443).

Von daher kann ich akbor nur Recht geben.

Das blocken von Ports (LAN->WAN) macht nur Sinn, wenn Du Clients in Deinem LAN einschränken willst.
Z.B. Mitarbeiter daran hindern willst ftp oder nntp Verbindungen aufzubauen.
Im Privaten eher unüblich.

wengi

[akbor]

OK, ich versuche es dir verständlicher zu machen, will dich aber auf keinen Fall bekehren, mach's einfach wie es dir gefällt.

Die von uns diskutierte Massnahme ist dazu gedacht, die Benutzer im LAN daran zu hindern, bestimmte Dienste zu benutzen, die standardmäßig über bestimmte Ports hinaus gehen. Damit kannst du z.B. erreichen, dass keiner bei dir zuhause sich an einem FTP-Server einloggen kann, oder VoIPen kann, oder Torrent-Netzwerk nutzen kann, etc., etc. Vielleicht willst du genau das.

Einige Standard-Ports von LAN zu WAN müssen einfach offen sein, es geht nicht anders. Es fängt mit TCP 80 für den Browser an und es kommen noch einige Anwendungen und Protokolle dazu. Wenn ein Trojaner irgendwelche Daten aus dem LAN nach aussen versenden will, kann er immer einen bereits offenen Port dazu verwenden. Er muss gar nicht erst anfangen, über irgendwelche exotische Ports zu senden, die du per default dicht machen willst.

Das ist schon alles, was ich sagen wollte.

P.S.: Wengi, Danke für die Unterstützung, es scheint, als hätte ich für meinen Post viel länger gebraucht als Du

Gruß

Robert

[Frazen]

OK, ich versuche es dir verständlicher zu machen, will dich aber auf keinen Fall bekehren, mach's einfach wie es dir gefällt.

Die von uns diskutierte Massnahme ist dazu gedacht, die Benutzer im LAN daran zu hindern, bestimmte Dienste zu benutzen, die standardmäßig über bestimmte Ports hinaus gehen. Damit kannst du z.B. erreichen, dass keiner bei dir zuhause sich an einem FTP-Server einloggen kann, oder VoIPen kann, oder Torrent-Netzwerk nutzen kann, etc., etc. Vielleicht willst du genau das.

Genau so soll es hier gemacht werden, viele unterschiedliche Nutzer, viele unterschiedliche "Vorlieben", ich als Anschlussinhaber bin haftbar.
Also werde ich alles bis auf die nötigen Standard-Ports dicht machen.

Meine Frage am Anfang bezog sich lediglich über die Einstellmöglichkeiten
über das Webinterface, ein kleines Beispiel wie der Port 53 geöffnet wird hätte ausgereicht.
Der Rest ergibt sich dann.

Nochmals Danke.

Gruss
Frazen