Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Hilfe bei Zywall 35 Konfiguration benötigt

Mitglied: SIPSIP

SIPSIP (Level 1) - Jetzt verbinden

04.09.2014, aktualisiert 17.09.2014, 2355 Aufrufe, 7 Kommentare, 1 Danke

Hallo zusammen
Ich bräuchte ein wenig Hilfe mit meiner Zyxel Zywall 35. Diese kommt zum Einsatz für eine DMZ mit einem Ubuntu Server, ein WLAN-Netz für Gäste und das LAN.
Nun da ich bisher keine Firewall in dem Ausmass konfiguriert habe, stellen sich mir einige Fragen.
Hier ein Screenshot meiner default-Rules:
993cbabd6bed89d8a2f39f8dfdf0f6f1 - Klicke auf das Bild, um es zu vergrößern
Für die DMZ habe ich die nötigen Ports für Dienste geöffnet (ein- und ausgehend). Dasselbe auch für das WLAN-Netz.
Das LAN habe ich noch nicht konfiguriert, da ich mal gelesen habe dass die Zywall dies Standardmässig gut handhabt.
Folgende Ports habe ich für das WLAN geöffnet: DNS UDP/TCP 53, HTTP TCP 80, HTTPS TCP 443, Google Play TCP/UDP 5228.

NAT habe ich nichts konfiguriert, da ich nicht genau weiss für was ich dies brauchen sollte.

Nun meine Fragen:
1. LAN Konfiguration so belassen?
2. Fällt euch noch ein sinnvoller Port für das WLAN ein?
3. Bin mir nich ganz sicher ob ich NAT Konfigurieren muss, da ich nur eine dynamische IP-Adresse meines Provider für gleich 3 Netze verwende. Falls doch dann was?
4. Sollte ich für die Dienste in der DMZ andere Ports als die Standardports benutzen und die dann mit NAT umleiten?

FYI:
WAN IP: dynamisch (1)
LAN IP: 192.168.1.0/24
WLAN IP: 192.168.2.0/24
DMZ IP: 192.168.3.0/24
IM LAN und WLAN ist dann jeweils ein Router, für DHCP etc. (Firewall ausgeschaltet)
PS: Ich weiss, hier gibt es einige Einträge für Gast-WLAN auch mit Captive Portal. Dies ist aber bei mir eine erste Version und wird evtl. noch mit einem Captive Portal erweitert.

Danke schonmal für die Hilfe, hoffe Ihr blickt bei meiner Erklärung durch.^^
Grüsse
Mitglied: aqui
04.09.2014, aktualisiert um 18:26 Uhr
1.) Ja, zum Starten reicht das erstmal.
2.) Es fehlen noch alle Ports zum Emailen sofern du das erlauben willst. Im Moment kannst du nur Browser Betrieb machen im WLAN (HTTP(S))
3.) NAT benötigst du nur wenn du am WAN Port in einem öffentlichen Netz bist und die internen IPs umsetzen musst, denn RFC 1918 IPs werden ja bekanntlich nicht geroutet.
Fährst du die Zywall als Kaskade mit einem NAT Router davor macht der ja schon NAT und ein doppeltes NAT wäre dann kontraproduktiv. Da kann es dann entfallen.
4.) Die Frage kann dir doch sinnvoll hier keiner benatworten, denn das hängt doch ganz davon ab was du selber für Dienste da bereitstellst !!
Da müssten wir dann unsere Kristallkugel hier bemühen wenn wir das raten sollten für dich !

Dieser Punkt ist etwas verwirrend, da technisch unklar:
IM LAN und WLAN ist dann jeweils ein Router, für DHCP etc. (Firewall ausgeschaltet)
Was genau meinst du damit ?? Du hast in den jeweiligen Segmenten nochmal zusätzlich einen separaten Hardware Router ??
Das wäre ja eigentlich Blödsinn, denn das machst du ja mit deiner Firewall ?!
Oder meintest du mit "jeweils ein Router" das entsprechende Router Interface der Firewall ??

Sieh dir hier mal die klassischen Firewall Foren Tutorials an. Sie behandeln zwar ein anderes Produkt, die Grundlagen und Filter Regeln und anderen Infos gelten aber global und generell für alle Firewalls:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Gast WLAN mit Hotspot:
https://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Routing Regel:
https://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: SIPSIP
05.09.2014, aktualisiert um 09:07 Uhr
Danke für deine ausführliche Antwort.
Ich hab das kurz mit Visio skizziert
424ffa23655d8a5112cfa285a3584f20 - Klicke auf das Bild, um es zu vergrößern
1. okay mein LAN werd ich so belassen
2. Email habe ich übersehen, werd ich noch hinzufügen
3. Dann werde ich NAT für meine 3 Netze konfigurieren
4. Es geht mir hier nicht um spezifische Dienste sondern darum dass ich mal gelesen habe, dass es sicherer ist nicht die Standardports zu benutzen.


Mit den Routern im LAN und WLAN dachte ich mir das folgendermassen:
Im WLAN ist ein TP-Link WLAN Router, welcher noch um ein AP erweitert wird. Den Router werde ich auch in den AP Modus setzen.
Im LAN wollt ich den Router behalten, so dass dieser den Traffic in diesem Netz übernimmt. Da ich im LAN noch ein NAS im Einsatz habe und die Zywall nur 100Mbit/s durchlässt, wollte ich den Router behalte da dieser einen Datendurchsatz von 1Gbit/s hat.

Danke für die Links, werde mich da mal durchlesen...
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.09.2014, aktualisiert 17.09.2014
Bei Punkt 4 was genau meinst du mit "dass es sicherer ist nicht die Standardports zu benutzen..." ??
Du MUSST ja einige Standardports benutzen wenn du damit TCP oder UDP Ports meinst. Ansonsten funktionieren Standard Applikationen wie Mail, Browser, Filetransfer etc. nicht.
Oder meinst du damit die physischen LAN Ports der Hardware ??

Was die anderen Punkte anbetrifft:
Im WLAN ist ein TP-Link WLAN Router, welcher noch um ein AP erweitert wird.
OK der arbeitet aber nicht als Router sondern nur als dummer WLAN Access Point, oder ??
In diesem Forums Tutorial in der Alternative 3 steht genau beschrieben wie man einen WLAN Router zu einem simplen Accesspoint "degradiert":
https://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Im LAN wollt ich den Router behalten, so dass dieser den Traffic in diesem Netz übernimmt.
Das wäre ja völliger Blödsinn, denn damit konterkarierst du dein gesamtes Firewall Konzept !!
Der Router gehört wenn überhaupt dann an den WAN Port der Firewall und nirgendwo sonst hin !!
Du willst doch gerade eine saubere und sichere Trennung deiner 3 Segmente LAN, DMZ, WLAN erreichen, oder ?
Wenn du dann zentral den gesamten externen Traffic über das LAN Segment leitest bist du hier dem kompletten Angriffssenario ausgesetzt. Das gesamte Firewall Konzept (was sonst ja richtig ist) wäre damit ad absurdum geführt und Blödsinn.
Leuchtet dir sicher selber ein, oder ?
Dieses Tutorial:
https://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
zeigt dir im Kapitel Internetanbindung solche sinnvollen Designs wie sie im Firewall bereich Standard sind !
Gehe also nochmal in dich und überdenke das !
Dein Argument:
Da ich im LAN noch ein NAS im Einsatz habe und die Zywall nur 100Mbit/s durchlässt, wollte ich den Router behalte da dieser einen Datendurchsatz von 1Gbit/s hat.
Ist ja auch unzutreffend, denn der Router bedinet ja den Internetzugang (geraten). Auch wenn du da im LAN 1 GiG hast kannst du ja am Router WAN/Internet Port nur max 50 Mbit loswerden sofern du VDSL hast. Bei ADSL entsprechend weniger.
Das Argument greift also nicht ?!
Oder hast du da einen Router der mindestens 2 Breitband Ports (Ethernet) mit 1 GiG hat ??
Und auch wenn ist noch lange nicht gesagt das der dann auch 1 GiG Paket Forwarding Rate macht ? Was für ein Modell ist das ??
Aber auch wenn alles passen sollte konterkarierst du dann dein ganzes Firewall Konzept. Dann hätte es auch der Router mit ein paa Accesslisten gemacht ohne den Mehraufwand Firewall !
Bitte warten ..
Mitglied: SIPSIP
05.09.2014 um 10:03 Uhr
zu Punkt 4: ich meine damit nicht die physischen Ports aber das hat sich somit für mich geklärt und ich werde die Standardports der Dienste verwenden.
Den Router im WLAN werde ich ausschließlich als AccessPoint benutzen, dies weil ich den schon hatte und daher keinen neuen kaufen muss.

Zu dem Router im LAN:
Ich glaube wir sprechen nicht vom selben.... Ich wollte den nur im LAN haben, um die Geschwindigkeit innerhalb des LAN Segments zu steigern. Damit der Transfer zwischen z.B. einem PC-Client und dem NAS 1Gbit/s ist und nicht über die Zywall(100Mbit/s) läuft. Dieser Router (Zyxel NBG5615) soll nur den Datenverkehr innerhalb des LAN steuern, alles was ins WAN geht muss natürlich über die Zywall. So zu sagen nur als Gateway...
Falls dies nicht möglich ist oder unnötig, werde ich den natürlich weglassen...

FYI
-der Router aus dem LAN ist ein Zyxel NBG5615
-das WAN wird an der Zywall angeschlossen (Modem von Provider noch davor)
-Klar möchte ich meine Netze sauber trennen, was auch mein Ziel ist. Ich versuche nur eine bestmögliche Lösung dafür zu suchen und wie gesagt ist dies das erste Mal, dass ich ein Netzwerk mit Firewall und verschiedenen Netzen konfiguriere.(noch in Ausbildung)
Bitte warten ..
Mitglied: SIPSIP
16.09.2014 um 09:56 Uhr
Hallo

Ich habe mein Netzwerk nun nach deinen Empfehlungen eingerichtet, die beiden Router dienen nur noch als AccessPoint.
Nun habe ich aber Schwierigkeiten mit der Zywall 35 und dem Server in meiner DMZ. Auf dem Server läuft ein TS3 Server und der DynDNS Dienst von www.No-IP.com. Die Firewall der Zywall ist folgendermassen Konfiguriert:
WAN - DMZ (Drop) und dann TS3 Server Ports geöffnet
Default port (UDP eingehend): 9987
Default filetransfer port (TCP eingehend): 30033
Default serverquery port (TCP eingehend): 10011
Default weblist port (UDP ausgehend): 2010
Default tsdns port (TCP eingehend): 41144
Default accounting port (TCP ausgehend): 2008

NAT Port Forwarding:
oben gennante (eingehende) Ports auf Server IP

Der Server erhält eine Private IP (192.168.2.10). Die Domain von No-IP löst auf die richtige IP-Adresse auf, jedoch kann ich nicht verbinden....

NAT Mapping:
WLAN und LAN: Many to One
DMZ: nichts

Siehst du vielleicht was ich falsch gemacht habe?
Bitte warten ..
Mitglied: aqui
LÖSUNG 17.09.2014, aktualisiert um 11:39 Uhr
Ja, deine FW Logik ist falsch !
WAN - DMZ (Drop) und dann TS3 Server Ports geöffnet
Du kannst in einer FW nicht erst was verbieden was du hinterher wieder erlaubst ! Richtig ist:
WAN - DMZ TS3 Server Ports geöffnet und dann den Rest (Drop)

Dann funktioniert es auch !
Merke: In Einer Firewall gelten Regeln immer inbound und dann first Match wins. Also beim ersten Match wird der Rest der Regelliste NICHT mehr weiter abgearbeitet !
Deshalb scheitert deine Regel oben !
Bitte warten ..
Mitglied: SIPSIP
17.09.2014, aktualisiert um 11:42 Uhr
Erstmal dank dir für die Antowrt.
Ich hab dies so konfiguriert, da mir mal bei einer Ubuntu UFW Firewall beigebracht wurd alles zu schliessen und dann ein Port nach dem anderen zu öffnen, was bei dieser Zywall wohl anders funktioniert.
Ich sehe aber nicht ganz wie ich der Firewall sagen kann, das sie den Rest verbieten soll, werds aber heute Abend auprobieren(evtl. hab ich eine Einstellung übersehen).


Edit: Hab vergessen zu erwähnen, dass ich inzwischen schon versucht habe diese Rule (WAN1-DMZ) auf Permit zu setzen, wass auch nicht geholfen hat.
Bitte warten ..
Ähnliche Inhalte
VB for Applications
VBA Macro Hilfe benötigt
gelöst Frage von reissaus73VB for Applications6 Kommentare

Ich habe eine Frage zu einem Macro. Und zwar habe ich in einer Excel Datei folgende Spalten A Incident ...

Microsoft Office
Access Hilfe benötigt
Frage von DieAzubinneMicrosoft Office13 Kommentare

Hallo, ich bastel gerade an einer Access Datenbank die eine Tabelle auf einem gesonderten Monitor als Bericht ausgeben soll. ...

LAN, WAN, Wireless
Mikrotik Dual WAN Hilfe benötigt
Frage von stonie2oo4LAN, WAN, Wireless7 Kommentare

Hallo zusammen, hab ein Problem bei dem ich mir langsam die Zähne ausbeiß. Ich hoff ihr könnt mir vieleicht ...

Viren und Trojaner

Hilfe bei der Orientierung im www dringend benötigt :-)

gelöst Frage von keine-ahnungViren und Trojaner14 Kommentare

Moin at all, gestern hat TrendMicro per email auf ein kritisches patch für worry-free advanced 9.0 hingewiesen. Als guter ...

Neue Wissensbeiträge
Windows 10

USB Maus und Tastatur versagen Dienst unter Windows 10

Erfahrungsbericht von hardykopff vor 1 TagWindows 105 Kommentare

Da steht man ziemlich dumm da, wenn der PC sich wegen fehlender USB Tastatur und Maus nicht bedienen lässt. ...

Administrator.de Feedback
Update der Seite: Alles zentriert
Information von Frank vor 1 TagAdministrator.de Feedback18 Kommentare

Hallo User, die größte Änderung von Release 5.8 ist das Zentrieren der Webseite (auf großen Bildschirmen) und ein "Welcome"-Teaser ...

Humor (lol)

WhatsApp-Nachrichten endlich auch per Bluetooth versendbar

Information von BassFishFox vor 1 TagHumor (lol)4 Kommentare

Genau darauf habe ich gewartet! ;-) Der beliebte Messaging-Dienst WhatsApp erhält eine praktische neue Funktion: Ab dem nächsten Update ...

Google Android

Googles "Android Enterprise Recommended" für Unternehmen

Information von kgborn vor 2 TagenGoogle Android3 Kommentare

Hier eine Information, die für Administratoren und Verantwortliche in Unternehmen, die für die Beschaffung und das Rollout von Android-Geräten ...

Heiß diskutierte Inhalte
Windows Netzwerk
WSUS4 und Windows 10 Updates automatisch installieren
Frage von sammy65Windows Netzwerk15 Kommentare

Hallo miteinander, ich habe mit einen neuen WSUS Server aufgesetzt Server 2016 darauf einen aktuellen WSUS. Grund, wir stellen ...

Speicherkarten
Vergessliche USB-Sticks?
Frage von hanheikSpeicherkarten14 Kommentare

Ich habe in den letzten Tagen 500 USB-Sticks mit Bilddateien bespielt. Obwohl ich die Dateien mit größter Sorgfalt kopiert ...

Windows Netzwerk
Backup über WAN
Frage von petereWindows Netzwerk11 Kommentare

Hallo, ich muss aus einem entfernten WAN (synchrone 1Gbit) Daten sichern. Dabei handelt es sich sowohl um wenige große ...

Hyper-V
Hyper-V mit altem XEON-Server. Was ist falsch?
Frage von LollipopHyper-V11 Kommentare

Hallo Bin etwas frustriert. Kleinbetrieb, ca. 15 PC's, 2 Stk. Server mit einigen virtuellen PC's für Fernwartung, VaultServer für ...