Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Draytek Router Firewall

Mitglied: ingo.kaiser

ingo.kaiser (Level 1) - Jetzt verbinden

15.10.2010 um 13:50 Uhr, 7457 Aufrufe, 10 Kommentare

Hi zusammen,

Ich habe einmal eine Frage zu meinem Draytek 2700 Router. Ich habe den Router bei mir zuhause stehen, somit ist es kein Firmenrouter. Ich habe bei dem Router bei den Ports keinen geöffnet, trotzdem habe ich keine Einschränkungen, sprich Outlook usw. arbeiten einwandfrei was ja normalerweise nicht sein dürfte -> also dachte ich mir vielleicht werden die anderen Ports erst geschlossen wenn ich tatsächlich mal einen geöffnet habe, gesagt getan doch wieder keine Einschränkungen... wo liegt das Problem? Firewall kann man es in dem Zustand wohl kaum nennen... Hat jemand evtl einen Tipp? Mit der Anleitung von Vigor bin ich kein bisschen schlauer geworden...

Danke im Voraus

Ingo
Mitglied: Crusher79
15.10.2010 um 13:58 Uhr
Hi,

auch ohne Firewall ist dein PC von aussen erstmal nicht zu sehen! Nur die öffentliche IP des Providers und dahinter steht der Router. Wenn du keine Portweiterleitung eingerichtet hast, kann keiner so leicht von aussen auf deinen Rechner! Anwendungskontrolle findet eh nur im gewissen Rahmen statt. Also z.B. P2P-Blocking.

Was hast du denn konkret eingestellt. Bzw. was erwartest du von deiner Firewall?

Hast du die Regel auch aktiviiert? Was ist mit dem Filter-Set?

Normal sind ja 2 von Haus aus aktiv! Wenn du ein neues erstellst, muss z.B. im Set 2 Next Filter Set 3 stehen!! Sonst bricht die "Filter-Kette" quasi ab. Weil die anderen Regeln im Set garnicht erst einbezogen werden!

So grob.

mfg Crusher
Bitte warten ..
Mitglied: brammer
15.10.2010 um 13:59 Uhr
Hallo,

die meisten Consumer Firewalls haben per Default leider die Standrad Ports auf.
mache doch auf deine externe IP mal einen netscan mit der Port Range 1 -1024 dann siehst du gleich mal welche Well Known Ports offen sind.

brammer
Bitte warten ..
Mitglied: ingo.kaiser
15.10.2010 um 15:58 Uhr
Naja nun ich erwarte das ich - wenn ich keine Ports freigegeben habe - auch nicht mit bestimmten Diensten rechnen kann denn dafür ist die FW ja da. Du meinst wenn ich keine Portweiterleitung eingerichtet ist, ist es trotzdem sicher? Frage mich dann wieso Firmen dann so ein Wert darauf lege, dass alle Ports gesperrt sind bis auf die, die benötigt werden z.B. VPN-Port, Outlook-Port usw.

Was ich bis jetzt eingestellt habe... nunja die Ports geöffnet für die einzelnen PC's und in der Portumleitungstabelle habe ich nicht eingerichtet.

Danke!

Ingo
Bitte warten ..
Mitglied: danielfr
15.10.2010 um 17:21 Uhr
Bei Portweiterleitung auf dem Router geht es darum, den Zugang für bestimmte Netzwerkdienste von aussen zu ermöglichen.
[Internet] -> [Router] -> [VPN Server]
Will sich ein Benutzer über das Internet auf den VPN Server verbinden, muss auf dem Router eine Portweiterleitung auf den Server eingerichtet werden, da die Verbindung sonst nicht zustande kommt.
Von innen nach außen ist das Wurscht, da kommen die Netzwerk-Pakete ja an. Ich kenne diesen Vigor nicht, aber benutze selbst den IPCop um eine gescheite Firewall zu haben. Mit der kann man dann die Ports auch explizit freigeben und sperren.
Gruß Daniel
Bitte warten ..
Mitglied: ingo.kaiser
15.10.2010 um 17:24 Uhr
Mh also beim Draytek ist ein VPN-Server auch ohne Portweiterleitung erreichbar... wie gesagt alles bisschen komisch...
Hat jmd vill ne Idee? Irgentwas kann da doch net richtig sein bei mir...

MfG
Bitte warten ..
Mitglied: Crusher79
15.10.2010 um 17:47 Uhr
Hi,

da erwartest du beim Vigor bissel viel! Normal kann man sofort drauf los surfen. Egal ob die Firewall an oder aus ist!

Du könntest alles blockieren und nur bestimmte Ports oder IPs freigegeben. Leider hat der Vigor da so seine Grenzen. Du kannst maximal 1x IP hinterlegen. Sollen es mehrere werden, musst du entweder versuchen mit den vorh. Regeln auszukommen (Anzahl) oder du sperrst Komplette Subnetze.

Nur dann kanns sein, das du auf einmal zig tausend IPs geblockt hast, die du gar nicht wolltest. Mit IP Gruppen und selbstdefinierten Port-Gruppen kann der 2700er nicht umgehen, bzw. bietet es nicht an. Somit sind die Möglichkeiten da eher begrenzt.

http://www.draytek.de/Beispiele.htm

Dort sind ein paar Beispiele. Wobei das letzte zum Punkt Firewall mit das interessantes ist, aber bei dir und meinen 2800er einfach nicht verfügbar ist.

Du musst wie gesagt normal überhaupt keine Ports öffnen! Nur wenn du einen Server betreibst, der vom Internet aus erreichbar sein soll, ist es nötig Ports für EINGEHENDE Verbindung zu öffnen. AUSGEHEND ist eh alles offen.

Portumleitung und Ports öffnen bewirken fast das gleiche. Man kommt von aussen in dein Netzwerk.

Beim öffnen ist der öffentliche und der intere Port der selbe. Deswegen kann man auch nur einen Port oder einen Bereich dort eintragen.

Bei der Portumleitung wird ein Port nach aussen geöffnet, der nicht gleich dem internen Port ist:
Z.B.: www.meineip.de:33080 -> 192.168.1.250:80

Wenn du einen Webserver hast, kann über die 32080 von aussen dieser erreicht werden. Obwohl er auf den alt bekannten Port 80 läuft. Nur die 33080 wird Standardmäßig nicht als Webserver vermutet. Erraten ist verdammt schwer. Angreifer würden erst die well-known-ports (1-1024) scannen.

Oder du hast mehrere Server, die alle über die öffentliche IP erreicht werden sollen. Ein FTP-Server auf Port 21 fühlt sich da ganz wohl. Nur bei öffnen der Ports kannst du nur eine IP dem Port 21 zuordnen.

Mit Portweiterlietung ist man flexibler. Durch "wilde Portkonstellationen" erhöht sich die Sicherheit ein wenig. Denn so oder so ist der Port nach aussen auf. Auch wenn man Ports > 1024 erraten oder scannen muss....

mfg Crusher
Bitte warten ..
Mitglied: Arch-Stanton
15.10.2010 um 18:45 Uhr
Mh also beim Draytek ist ein VPN-Server auch ohne Portweiterleitung erreichbar... wie gesagt alles bisschen komisch...

Wovon reden wir denn hier? Ist der VPN-Server der Draytek, oder eine Windowsserver?!?

Ansonsten ist es doch normal, daß von innen nach außen keine ports gesperrt sind. Ein SOHO-Router wäre somit unbenutzbar. Von innen nach außen ist ja wohl alles dicht, nehme ich mal an. Eine Deny-all Strategie gibt es erst bei höherpreisigen Routern, oder aber bei einer Monowall.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
15.10.2010 um 21:54 Uhr
Der "Kaiser" macht hier vermutlich einen entscheidenden Denkfehler und "denkt" nur von innen sprich dem lokalen Netzwerk. Die (NAT) Firewall wirkt aber auf die externe (Provider) IP.
Ohne Port Weiterleitung kann er ja gerne mal versuchen einen internen lokalen Dienst über die externe IP Adresse des Drayteks zu erreichen. Das wird ihm kläglich misslingen wie ein simpler und schneller Test mit Heise Security oder "Shields up" sofort offenbart:
http://www.grc.com/x/ne.dll?rh1dkyd2
Nicht mal ein dummer Speedport lässt solche Ports durch !
Bitte warten ..
Mitglied: Crusher79
16.10.2010 um 10:18 Uhr
Oder nochmal anders: Es gibt nicht DIE Firewall!

Firewall ist immer ein Konzep! Unter anderen gibt verschiedene Programme/ Dienste die auf dem eig. "Firewall Betriebssystem" laufen und versch. Funktionen bereit halten.


"Firewall" ist immer auch ein Verkaufsargument. Die "NAT-Firewall" ist auch erstmal mehr ein konstrukt. Es gibt NAT (Network Adress Translation) was in Routern eingesetzt wird um LAN und WAN zu verbinen. // halte es jetzt mal absichtlich so knapp! Der Vigo rhat ja auch eine DMZ (Demilitarisierte Zone). Aber strikte Abtrennung der in der Zone befindlichen Hots? Pustekuchen! Alles wird an dern Host geleitet, damit zum Bsp. einfach zocken kann, etc. etc.


Die Technik "NAT" ermöglicht nicht nur die Verbindung von LAN und WAN, sondern erhöht gleichzeitig auch noch die Sicherheit. Darum schreibt man meist das Wörtchen Firewall dahinter.

Es gibt zig Strategien zur Abwehr von Eindringlingen.

Firewall heisst ganz trivial erstmal nur Trennung. Wir trennen A von B ab. Je nach Technik, die auf dne Plattformen läuft, gelingt das mehr oder weniger gut.

Wie gesagt bei SOHO-Modellen sin die Schlagwörter Firewall, DMZ, etc. immer mehr ein Lockmittel. Der eig.Funktionsumfang ist geringer, als bei großen Modellen.

Aber wie aqui schon sagt, reicht die Sicherheit meist völlig aus!
Bitte warten ..
Mitglied: aqui
22.10.2010 um 16:38 Uhr
@ingo.kaiser
Wenns das jetzt war dann bitte auch
https://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Ähnliche Inhalte
Router & Routing

Draytek Router - Firewall Regeln greifen nicht wie gewünscht

gelöst Frage von xensoredRouter & Routing3 Kommentare

Hallo zusammen, mir bereitet die Firewall eines Draytek 2920 Router etwas Kopfzerbrechen. Ich habe 2 tagged VLANs erstellt, die ...

LAN, WAN, Wireless

Draytek Router hinter Unitymedia Modem

Frage von tobmesLAN, WAN, Wireless7 Kommentare

Hi Experten, wir haben jetzt parallel noch einen UnityMedia Business Anschluss bekommen. Wir haben schon seit einiger Zeit einen ...

Netzwerkgrundlagen

Firewall hinter Router

gelöst Frage von DaemlicherFlandersNetzwerkgrundlagen14 Kommentare

Hallo, ich habe 2 Grundsatzfragen zum Aufbau eines Netzwerks mit DSL Router und Firewall bezogen auf den Aufbau im ...

Router & Routing

Austausch DrayTek Router gegen LANComrouter, was zu beachten?

Frage von PixL86Router & Routing6 Kommentare

Hallo werte Admingemeinschaft, aktuell haben wir 3 Standorte die jeweils über L2L.VPN (IPSEC, 3DES) verbunden sind über je einen ...

Neue Wissensbeiträge
Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 46 MinutenAdministrator.de Feedback4 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 18 StundenHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 1 TagGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Sicherheit

Intel gibt neue Spectre V2-Microcode-Updates frei (20.02.2018)

Information von kgborn vor 1 TagSicherheit

Intel hat zum 20. Februar 2018 weitere Microcode-Updates für OEMs freigegeben, um Systeme mit neueren Prozessoren gegen die Spectre ...

Heiß diskutierte Inhalte
Server-Hardware
Welche Rolle spielt Design bei Enterprise IT Hardware?
Frage von ApolloXServer-Hardware17 Kommentare

Ich arbeite für einen internationalen Elektronikhersteller in der Forschung und meine Aufgabe ist es, Feedback von Nutzern in Hinsicht ...

Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Switche und Hubs
Cisco SG350X-48 AdminIP in anderes VLAN
Frage von lcer00Switche und Hubs14 Kommentare

Hallo zusammen, ich habe ein Problem mir einem Cisco SG350X-48 bei der Erstinstallation wurde eine IP 192.168.0.254 (Default VLAN ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...