Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Draytek Router Firewall

Frage Netzwerke Router & Routing

Mitglied: ingo.kaiser

ingo.kaiser (Level 1) - Jetzt verbinden

15.10.2010 um 13:50 Uhr, 6673 Aufrufe, 10 Kommentare

Hi zusammen,

Ich habe einmal eine Frage zu meinem Draytek 2700 Router. Ich habe den Router bei mir zuhause stehen, somit ist es kein Firmenrouter. Ich habe bei dem Router bei den Ports keinen geöffnet, trotzdem habe ich keine Einschränkungen, sprich Outlook usw. arbeiten einwandfrei was ja normalerweise nicht sein dürfte -> also dachte ich mir vielleicht werden die anderen Ports erst geschlossen wenn ich tatsächlich mal einen geöffnet habe, gesagt getan doch wieder keine Einschränkungen... wo liegt das Problem? Firewall kann man es in dem Zustand wohl kaum nennen... Hat jemand evtl einen Tipp? Mit der Anleitung von Vigor bin ich kein bisschen schlauer geworden...

Danke im Voraus

Ingo
Mitglied: Crusher79
15.10.2010 um 13:58 Uhr
Hi,

auch ohne Firewall ist dein PC von aussen erstmal nicht zu sehen! Nur die öffentliche IP des Providers und dahinter steht der Router. Wenn du keine Portweiterleitung eingerichtet hast, kann keiner so leicht von aussen auf deinen Rechner! Anwendungskontrolle findet eh nur im gewissen Rahmen statt. Also z.B. P2P-Blocking.

Was hast du denn konkret eingestellt. Bzw. was erwartest du von deiner Firewall?

Hast du die Regel auch aktiviiert? Was ist mit dem Filter-Set?

Normal sind ja 2 von Haus aus aktiv! Wenn du ein neues erstellst, muss z.B. im Set 2 Next Filter Set 3 stehen!! Sonst bricht die "Filter-Kette" quasi ab. Weil die anderen Regeln im Set garnicht erst einbezogen werden!

So grob.

Mit freundlichen Grüßen Crusher
Bitte warten ..
Mitglied: brammer
15.10.2010 um 13:59 Uhr
Hallo,

die meisten Consumer Firewalls haben per Default leider die Standrad Ports auf.
mache doch auf deine externe IP mal einen netscan mit der Port Range 1 -1024 dann siehst du gleich mal welche Well Known Ports offen sind.

brammer
Bitte warten ..
Mitglied: ingo.kaiser
15.10.2010 um 15:58 Uhr
Naja nun ich erwarte das ich - wenn ich keine Ports freigegeben habe - auch nicht mit bestimmten Diensten rechnen kann denn dafür ist die FW ja da. Du meinst wenn ich keine Portweiterleitung eingerichtet ist, ist es trotzdem sicher? Frage mich dann wieso Firmen dann so ein Wert darauf lege, dass alle Ports gesperrt sind bis auf die, die benötigt werden z.B. VPN-Port, Outlook-Port usw.

Was ich bis jetzt eingestellt habe... nunja die Ports geöffnet für die einzelnen PC's und in der Portumleitungstabelle habe ich nicht eingerichtet.

Danke!

Ingo
Bitte warten ..
Mitglied: danielfr
15.10.2010 um 17:21 Uhr
Bei Portweiterleitung auf dem Router geht es darum, den Zugang für bestimmte Netzwerkdienste von aussen zu ermöglichen.
[Internet] -> [Router] -> [VPN Server]
Will sich ein Benutzer über das Internet auf den VPN Server verbinden, muss auf dem Router eine Portweiterleitung auf den Server eingerichtet werden, da die Verbindung sonst nicht zustande kommt.
Von innen nach außen ist das Wurscht, da kommen die Netzwerk-Pakete ja an. Ich kenne diesen Vigor nicht, aber benutze selbst den IPCop um eine gescheite Firewall zu haben. Mit der kann man dann die Ports auch explizit freigeben und sperren.
Gruß Daniel
Bitte warten ..
Mitglied: ingo.kaiser
15.10.2010 um 17:24 Uhr
Mh also beim Draytek ist ein VPN-Server auch ohne Portweiterleitung erreichbar... wie gesagt alles bisschen komisch...
Hat jmd vill ne Idee? Irgentwas kann da doch net richtig sein bei mir...

Mit freundlichen Grüßen
Bitte warten ..
Mitglied: Crusher79
15.10.2010 um 17:47 Uhr
Hi,

da erwartest du beim Vigor bissel viel! Normal kann man sofort drauf los surfen. Egal ob die Firewall an oder aus ist!

Du könntest alles blockieren und nur bestimmte Ports oder IPs freigegeben. Leider hat der Vigor da so seine Grenzen. Du kannst maximal 1x IP hinterlegen. Sollen es mehrere werden, musst du entweder versuchen mit den vorh. Regeln auszukommen (Anzahl) oder du sperrst Komplette Subnetze.

Nur dann kanns sein, das du auf einmal zig tausend IPs geblockt hast, die du gar nicht wolltest. Mit IP Gruppen und selbstdefinierten Port-Gruppen kann der 2700er nicht umgehen, bzw. bietet es nicht an. Somit sind die Möglichkeiten da eher begrenzt.

http://www.draytek.de/Beispiele.htm

Dort sind ein paar Beispiele. Wobei das letzte zum Punkt Firewall mit das interessantes ist, aber bei dir und meinen 2800er einfach nicht verfügbar ist.

Du musst wie gesagt normal überhaupt keine Ports öffnen! Nur wenn du einen Server betreibst, der vom Internet aus erreichbar sein soll, ist es nötig Ports für EINGEHENDE Verbindung zu öffnen. AUSGEHEND ist eh alles offen.

Portumleitung und Ports öffnen bewirken fast das gleiche. Man kommt von aussen in dein Netzwerk.

Beim öffnen ist der öffentliche und der intere Port der selbe. Deswegen kann man auch nur einen Port oder einen Bereich dort eintragen.

Bei der Portumleitung wird ein Port nach aussen geöffnet, der nicht gleich dem internen Port ist:
Z.B.: www.meineip.de:33080 -> 192.168.1.250:80

Wenn du einen Webserver hast, kann über die 32080 von aussen dieser erreicht werden. Obwohl er auf den alt bekannten Port 80 läuft. Nur die 33080 wird Standardmäßig nicht als Webserver vermutet. Erraten ist verdammt schwer. Angreifer würden erst die well-known-ports (1-1024) scannen.

Oder du hast mehrere Server, die alle über die öffentliche IP erreicht werden sollen. Ein FTP-Server auf Port 21 fühlt sich da ganz wohl. Nur bei öffnen der Ports kannst du nur eine IP dem Port 21 zuordnen.

Mit Portweiterlietung ist man flexibler. Durch "wilde Portkonstellationen" erhöht sich die Sicherheit ein wenig. Denn so oder so ist der Port nach aussen auf. Auch wenn man Ports > 1024 erraten oder scannen muss....

Mit freundlichen Grüßen Crusher
Bitte warten ..
Mitglied: Arch-Stanton
15.10.2010 um 18:45 Uhr
Mh also beim Draytek ist ein VPN-Server auch ohne Portweiterleitung erreichbar... wie gesagt alles bisschen komisch...

Wovon reden wir denn hier? Ist der VPN-Server der Draytek, oder eine Windowsserver?!?

Ansonsten ist es doch normal, daß von innen nach außen keine ports gesperrt sind. Ein SOHO-Router wäre somit unbenutzbar. Von innen nach außen ist ja wohl alles dicht, nehme ich mal an. Eine Deny-all Strategie gibt es erst bei höherpreisigen Routern, oder aber bei einer Monowall.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: aqui
15.10.2010 um 21:54 Uhr
Der "Kaiser" macht hier vermutlich einen entscheidenden Denkfehler und "denkt" nur von innen sprich dem lokalen Netzwerk. Die (NAT) Firewall wirkt aber auf die externe (Provider) IP.
Ohne Port Weiterleitung kann er ja gerne mal versuchen einen internen lokalen Dienst über die externe IP Adresse des Drayteks zu erreichen. Das wird ihm kläglich misslingen wie ein simpler und schneller Test mit Heise Security oder "Shields up" sofort offenbart:
http://www.grc.com/x/ne.dll?rh1dkyd2
Nicht mal ein dummer Speedport lässt solche Ports durch !
Bitte warten ..
Mitglied: Crusher79
16.10.2010 um 10:18 Uhr
Oder nochmal anders: Es gibt nicht DIE Firewall!

Firewall ist immer ein Konzep! Unter anderen gibt verschiedene Programme/ Dienste die auf dem eig. "Firewall Betriebssystem" laufen und versch. Funktionen bereit halten.


"Firewall" ist immer auch ein Verkaufsargument. Die "NAT-Firewall" ist auch erstmal mehr ein konstrukt. Es gibt NAT (Network Adress Translation) was in Routern eingesetzt wird um LAN und WAN zu verbinen. // halte es jetzt mal absichtlich so knapp! Der Vigo rhat ja auch eine DMZ (Demilitarisierte Zone). Aber strikte Abtrennung der in der Zone befindlichen Hots? Pustekuchen! Alles wird an dern Host geleitet, damit zum Bsp. einfach zocken kann, etc. etc.


Die Technik "NAT" ermöglicht nicht nur die Verbindung von LAN und WAN, sondern erhöht gleichzeitig auch noch die Sicherheit. Darum schreibt man meist das Wörtchen Firewall dahinter.

Es gibt zig Strategien zur Abwehr von Eindringlingen.

Firewall heisst ganz trivial erstmal nur Trennung. Wir trennen A von B ab. Je nach Technik, die auf dne Plattformen läuft, gelingt das mehr oder weniger gut.

Wie gesagt bei SOHO-Modellen sin die Schlagwörter Firewall, DMZ, etc. immer mehr ein Lockmittel. Der eig.Funktionsumfang ist geringer, als bei großen Modellen.

Aber wie aqui schon sagt, reicht die Sicherheit meist völlig aus!
Bitte warten ..
Mitglied: aqui
22.10.2010 um 16:38 Uhr
@ingo.kaiser
Wenns das jetzt war dann bitte auch
http://www.administrator.de/index.php?faq=32
nicht vergessen !!
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Router & Routing
The Router rumble: Ars DIY build Router/Firewall (2)

Link von Kuemmel zum Thema Router & Routing ...

Router & Routing
gelöst ASUS RT-AC68 Router Firewall Fehlfunktion? (43)

Frage von pk-911 zum Thema Router & Routing ...

LAN, WAN, Wireless
Draytek Router hinter Unitymedia Modem (7)

Frage von tobmes zum Thema LAN, WAN, Wireless ...

Firewall
PfSense Firewall mit Speedport Hybrid Router (2)

Frage von maddig zum Thema Firewall ...

Heiß diskutierte Inhalte
Windows Server
DHCP Server switchen (24)

Frage von M.Marz zum Thema Windows Server ...

SAN, NAS, DAS
gelöst HP-Proliant Microserver Betriebssystem (14)

Frage von Yannosch zum Thema SAN, NAS, DAS ...

Grafikkarten & Monitore
Win 10 Grafikkarte Crash von Software? (13)

Frage von Marabunta zum Thema Grafikkarten & Monitore ...

Erkennung und -Abwehr
Spam mit eigener Domain (12)

Frage von NoobOne zum Thema Erkennung und -Abwehr ...