10
Draytek Router Firewall
Hi zusammen,
Ich habe einmal eine Frage zu meinem Draytek 2700 Router. Ich habe den Router bei mir zuhause stehen, somit ist es kein Firmenrouter. Ich habe bei dem Router bei den Ports keinen geöffnet, trotzdem habe ich keine Einschränkungen, sprich Outlook usw. arbeiten einwandfrei was ja normalerweise nicht sein dürfte -> also dachte ich mir vielleicht werden die anderen Ports erst geschlossen wenn ich tatsächlich mal einen geöffnet habe, gesagt getan doch wieder keine Einschränkungen... wo liegt das Problem? Firewall kann man es in dem Zustand wohl kaum nennen... Hat jemand evtl einen Tipp? Mit der Anleitung von Vigor bin ich kein bisschen schlauer geworden...
Danke im Voraus
Ingo
Ich habe einmal eine Frage zu meinem Draytek 2700 Router. Ich habe den Router bei mir zuhause stehen, somit ist es kein Firmenrouter. Ich habe bei dem Router bei den Ports keinen geöffnet, trotzdem habe ich keine Einschränkungen, sprich Outlook usw. arbeiten einwandfrei was ja normalerweise nicht sein dürfte -> also dachte ich mir vielleicht werden die anderen Ports erst geschlossen wenn ich tatsächlich mal einen geöffnet habe, gesagt getan doch wieder keine Einschränkungen... wo liegt das Problem? Firewall kann man es in dem Zustand wohl kaum nennen... Hat jemand evtl einen Tipp? Mit der Anleitung von Vigor bin ich kein bisschen schlauer geworden...
Danke im Voraus
Ingo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 153135
Url: https://administrator.de/contentid/153135
Printed on: April 24, 2024 at 05:04 o'clock
10 Comments
Latest comment
Hi,
auch ohne Firewall ist dein PC von aussen erstmal nicht zu sehen! Nur die öffentliche IP des Providers und dahinter steht der Router. Wenn du keine Portweiterleitung eingerichtet hast, kann keiner so leicht von aussen auf deinen Rechner! Anwendungskontrolle findet eh nur im gewissen Rahmen statt. Also z.B. P2P-Blocking.
Was hast du denn konkret eingestellt. Bzw. was erwartest du von deiner Firewall?
Hast du die Regel auch aktiviiert? Was ist mit dem Filter-Set?
Normal sind ja 2 von Haus aus aktiv! Wenn du ein neues erstellst, muss z.B. im Set 2 Next Filter Set 3 stehen!! Sonst bricht die "Filter-Kette" quasi ab. Weil die anderen Regeln im Set garnicht erst einbezogen werden!
So grob.
mfg Crusher
auch ohne Firewall ist dein PC von aussen erstmal nicht zu sehen! Nur die öffentliche IP des Providers und dahinter steht der Router. Wenn du keine Portweiterleitung eingerichtet hast, kann keiner so leicht von aussen auf deinen Rechner! Anwendungskontrolle findet eh nur im gewissen Rahmen statt. Also z.B. P2P-Blocking.
Was hast du denn konkret eingestellt. Bzw. was erwartest du von deiner Firewall?
Hast du die Regel auch aktiviiert? Was ist mit dem Filter-Set?
Normal sind ja 2 von Haus aus aktiv! Wenn du ein neues erstellst, muss z.B. im Set 2 Next Filter Set 3 stehen!! Sonst bricht die "Filter-Kette" quasi ab. Weil die anderen Regeln im Set garnicht erst einbezogen werden!
So grob.
mfg Crusher
Hallo,
die meisten Consumer Firewalls haben per Default leider die Standrad Ports auf.
mache doch auf deine externe IP mal einen netscan mit der Port Range 1 -1024 dann siehst du gleich mal welche Well Known Ports offen sind.
brammer
die meisten Consumer Firewalls haben per Default leider die Standrad Ports auf.
mache doch auf deine externe IP mal einen netscan mit der Port Range 1 -1024 dann siehst du gleich mal welche Well Known Ports offen sind.
brammer
Naja nun ich erwarte das ich - wenn ich keine Ports freigegeben habe - auch nicht mit bestimmten Diensten rechnen kann denn dafür ist die FW ja da. Du meinst wenn ich keine Portweiterleitung eingerichtet ist, ist es trotzdem sicher? Frage mich dann wieso Firmen dann so ein Wert darauf lege, dass alle Ports gesperrt sind bis auf die, die benötigt werden z.B. VPN-Port, Outlook-Port usw.
Was ich bis jetzt eingestellt habe... nunja die Ports geöffnet für die einzelnen PC's und in der Portumleitungstabelle habe ich nicht eingerichtet.
Danke!
Ingo
Was ich bis jetzt eingestellt habe... nunja die Ports geöffnet für die einzelnen PC's und in der Portumleitungstabelle habe ich nicht eingerichtet.
Danke!
Ingo
Bei Portweiterleitung auf dem Router geht es darum, den Zugang für bestimmte Netzwerkdienste von aussen zu ermöglichen.
[Internet] -> [Router] -> [VPN Server]
Will sich ein Benutzer über das Internet auf den VPN Server verbinden, muss auf dem Router eine Portweiterleitung auf den Server eingerichtet werden, da die Verbindung sonst nicht zustande kommt.
Von innen nach außen ist das Wurscht, da kommen die Netzwerk-Pakete ja an. Ich kenne diesen Vigor nicht, aber benutze selbst den IPCop um eine gescheite Firewall zu haben. Mit der kann man dann die Ports auch explizit freigeben und sperren.
Gruß Daniel
[Internet] -> [Router] -> [VPN Server]
Will sich ein Benutzer über das Internet auf den VPN Server verbinden, muss auf dem Router eine Portweiterleitung auf den Server eingerichtet werden, da die Verbindung sonst nicht zustande kommt.
Von innen nach außen ist das Wurscht, da kommen die Netzwerk-Pakete ja an. Ich kenne diesen Vigor nicht, aber benutze selbst den IPCop um eine gescheite Firewall zu haben. Mit der kann man dann die Ports auch explizit freigeben und sperren.
Gruß Daniel
Mh also beim Draytek ist ein VPN-Server auch ohne Portweiterleitung erreichbar... wie gesagt alles bisschen komisch...
Hat jmd vill ne Idee? Irgentwas kann da doch net richtig sein bei mir...
MfG
Hat jmd vill ne Idee? Irgentwas kann da doch net richtig sein bei mir...
MfG
Hi,
da erwartest du beim Vigor bissel viel! Normal kann man sofort drauf los surfen. Egal ob die Firewall an oder aus ist!
Du könntest alles blockieren und nur bestimmte Ports oder IPs freigegeben. Leider hat der Vigor da so seine Grenzen. Du kannst maximal 1x IP hinterlegen. Sollen es mehrere werden, musst du entweder versuchen mit den vorh. Regeln auszukommen (Anzahl) oder du sperrst Komplette Subnetze.
Nur dann kanns sein, das du auf einmal zig tausend IPs geblockt hast, die du gar nicht wolltest. Mit IP Gruppen und selbstdefinierten Port-Gruppen kann der 2700er nicht umgehen, bzw. bietet es nicht an. Somit sind die Möglichkeiten da eher begrenzt.
http://www.draytek.de/Beispiele.htm
Dort sind ein paar Beispiele. Wobei das letzte zum Punkt Firewall mit das interessantes ist, aber bei dir und meinen 2800er einfach nicht verfügbar ist.
Du musst wie gesagt normal überhaupt keine Ports öffnen! Nur wenn du einen Server betreibst, der vom Internet aus erreichbar sein soll, ist es nötig Ports für EINGEHENDE Verbindung zu öffnen. AUSGEHEND ist eh alles offen.
Portumleitung und Ports öffnen bewirken fast das gleiche. Man kommt von aussen in dein Netzwerk.
Beim öffnen ist der öffentliche und der intere Port der selbe. Deswegen kann man auch nur einen Port oder einen Bereich dort eintragen.
Bei der Portumleitung wird ein Port nach aussen geöffnet, der nicht gleich dem internen Port ist:
Z.B.: www.meineip.de:33080 -> 192.168.1.250:80
Wenn du einen Webserver hast, kann über die 32080 von aussen dieser erreicht werden. Obwohl er auf den alt bekannten Port 80 läuft. Nur die 33080 wird Standardmäßig nicht als Webserver vermutet. Erraten ist verdammt schwer. Angreifer würden erst die well-known-ports (1-1024) scannen.
Oder du hast mehrere Server, die alle über die öffentliche IP erreicht werden sollen. Ein FTP-Server auf Port 21 fühlt sich da ganz wohl. Nur bei öffnen der Ports kannst du nur eine IP dem Port 21 zuordnen.
Mit Portweiterlietung ist man flexibler. Durch "wilde Portkonstellationen" erhöht sich die Sicherheit ein wenig. Denn so oder so ist der Port nach aussen auf. Auch wenn man Ports > 1024 erraten oder scannen muss....
mfg Crusher
da erwartest du beim Vigor bissel viel! Normal kann man sofort drauf los surfen. Egal ob die Firewall an oder aus ist!
Du könntest alles blockieren und nur bestimmte Ports oder IPs freigegeben. Leider hat der Vigor da so seine Grenzen. Du kannst maximal 1x IP hinterlegen. Sollen es mehrere werden, musst du entweder versuchen mit den vorh. Regeln auszukommen (Anzahl) oder du sperrst Komplette Subnetze.
Nur dann kanns sein, das du auf einmal zig tausend IPs geblockt hast, die du gar nicht wolltest. Mit IP Gruppen und selbstdefinierten Port-Gruppen kann der 2700er nicht umgehen, bzw. bietet es nicht an. Somit sind die Möglichkeiten da eher begrenzt.
http://www.draytek.de/Beispiele.htm
Dort sind ein paar Beispiele. Wobei das letzte zum Punkt Firewall mit das interessantes ist, aber bei dir und meinen 2800er einfach nicht verfügbar ist.
Du musst wie gesagt normal überhaupt keine Ports öffnen! Nur wenn du einen Server betreibst, der vom Internet aus erreichbar sein soll, ist es nötig Ports für EINGEHENDE Verbindung zu öffnen. AUSGEHEND ist eh alles offen.
Portumleitung und Ports öffnen bewirken fast das gleiche. Man kommt von aussen in dein Netzwerk.
Beim öffnen ist der öffentliche und der intere Port der selbe. Deswegen kann man auch nur einen Port oder einen Bereich dort eintragen.
Bei der Portumleitung wird ein Port nach aussen geöffnet, der nicht gleich dem internen Port ist:
Z.B.: www.meineip.de:33080 -> 192.168.1.250:80
Wenn du einen Webserver hast, kann über die 32080 von aussen dieser erreicht werden. Obwohl er auf den alt bekannten Port 80 läuft. Nur die 33080 wird Standardmäßig nicht als Webserver vermutet. Erraten ist verdammt schwer. Angreifer würden erst die well-known-ports (1-1024) scannen.
Oder du hast mehrere Server, die alle über die öffentliche IP erreicht werden sollen. Ein FTP-Server auf Port 21 fühlt sich da ganz wohl. Nur bei öffnen der Ports kannst du nur eine IP dem Port 21 zuordnen.
Mit Portweiterlietung ist man flexibler. Durch "wilde Portkonstellationen" erhöht sich die Sicherheit ein wenig. Denn so oder so ist der Port nach aussen auf. Auch wenn man Ports > 1024 erraten oder scannen muss....
mfg Crusher
Mh also beim Draytek ist ein VPN-Server auch ohne Portweiterleitung erreichbar... wie gesagt alles bisschen komisch...
Wovon reden wir denn hier? Ist der VPN-Server der Draytek, oder eine Windowsserver?!?
Ansonsten ist es doch normal, daß von innen nach außen keine ports gesperrt sind. Ein SOHO-Router wäre somit unbenutzbar. Von innen nach außen ist ja wohl alles dicht, nehme ich mal an. Eine Deny-all Strategie gibt es erst bei höherpreisigen Routern, oder aber bei einer Monowall.
Gruß, Arch Stanton
Der "Kaiser" macht hier vermutlich einen entscheidenden Denkfehler und "denkt" nur von innen sprich dem lokalen Netzwerk. Die (NAT) Firewall wirkt aber auf die externe (Provider) IP.
Ohne Port Weiterleitung kann er ja gerne mal versuchen einen internen lokalen Dienst über die externe IP Adresse des Drayteks zu erreichen. Das wird ihm kläglich misslingen wie ein simpler und schneller Test mit Heise Security oder "Shields up" sofort offenbart:
http://www.grc.com/x/ne.dll?rh1dkyd2
Nicht mal ein dummer Speedport lässt solche Ports durch !
Ohne Port Weiterleitung kann er ja gerne mal versuchen einen internen lokalen Dienst über die externe IP Adresse des Drayteks zu erreichen. Das wird ihm kläglich misslingen wie ein simpler und schneller Test mit Heise Security oder "Shields up" sofort offenbart:
http://www.grc.com/x/ne.dll?rh1dkyd2
Nicht mal ein dummer Speedport lässt solche Ports durch !
Oder nochmal anders: Es gibt nicht DIE Firewall!
Firewall ist immer ein Konzep! Unter anderen gibt verschiedene Programme/ Dienste die auf dem eig. "Firewall Betriebssystem" laufen und versch. Funktionen bereit halten.
"Firewall" ist immer auch ein Verkaufsargument. Die "NAT-Firewall" ist auch erstmal mehr ein konstrukt. Es gibt NAT (Network Adress Translation) was in Routern eingesetzt wird um LAN und WAN zu verbinen. // halte es jetzt mal absichtlich so knapp! Der Vigo rhat ja auch eine DMZ (Demilitarisierte Zone). Aber strikte Abtrennung der in der Zone befindlichen Hots? Pustekuchen! Alles wird an dern Host geleitet, damit zum Bsp. einfach zocken kann, etc. etc.
Die Technik "NAT" ermöglicht nicht nur die Verbindung von LAN und WAN, sondern erhöht gleichzeitig auch noch die Sicherheit. Darum schreibt man meist das Wörtchen Firewall dahinter.
Es gibt zig Strategien zur Abwehr von Eindringlingen.
Firewall heisst ganz trivial erstmal nur Trennung. Wir trennen A von B ab. Je nach Technik, die auf dne Plattformen läuft, gelingt das mehr oder weniger gut.
Wie gesagt bei SOHO-Modellen sin die Schlagwörter Firewall, DMZ, etc. immer mehr ein Lockmittel. Der eig.Funktionsumfang ist geringer, als bei großen Modellen.
Aber wie aqui schon sagt, reicht die Sicherheit meist völlig aus!
Firewall ist immer ein Konzep! Unter anderen gibt verschiedene Programme/ Dienste die auf dem eig. "Firewall Betriebssystem" laufen und versch. Funktionen bereit halten.
"Firewall" ist immer auch ein Verkaufsargument. Die "NAT-Firewall" ist auch erstmal mehr ein konstrukt. Es gibt NAT (Network Adress Translation) was in Routern eingesetzt wird um LAN und WAN zu verbinen. // halte es jetzt mal absichtlich so knapp! Der Vigo rhat ja auch eine DMZ (Demilitarisierte Zone). Aber strikte Abtrennung der in der Zone befindlichen Hots? Pustekuchen! Alles wird an dern Host geleitet, damit zum Bsp. einfach zocken kann, etc. etc.
Die Technik "NAT" ermöglicht nicht nur die Verbindung von LAN und WAN, sondern erhöht gleichzeitig auch noch die Sicherheit. Darum schreibt man meist das Wörtchen Firewall dahinter.
Es gibt zig Strategien zur Abwehr von Eindringlingen.
Firewall heisst ganz trivial erstmal nur Trennung. Wir trennen A von B ab. Je nach Technik, die auf dne Plattformen läuft, gelingt das mehr oder weniger gut.
Wie gesagt bei SOHO-Modellen sin die Schlagwörter Firewall, DMZ, etc. immer mehr ein Lockmittel. Der eig.Funktionsumfang ist geringer, als bei großen Modellen.
Aber wie aqui schon sagt, reicht die Sicherheit meist völlig aus!
