111784
Jan 29, 2014
4228
18
0
Firewall ALLOW-ALL
Hallo zusammen,
spricht etwas in einem sehr einfach gehaltenem Netz - 3 PCs - etwas gegen dieses Firewall Konzept?
- Von außen kommt niemand ohne Port-forwarding auf Ports die von innen erreichbar sind, z.B. Server 443
- Wenn ich ein Port-forwarding einrichte, muss ich dies an einer stelle machen und nicht noch zusätzlich in der Firewall
Ich habe hier einen LANCOM Router 1821+. Dieser ist default schon so konfiguriert.
Ebenso wenn ich ein VPN einrichte.
Ich sehe noch nicht so richtig, wieso ich alles sperren sollte und anschließen einzelne Ports/Protokolle wieder freigeben soll.
Ohne Port-forwarding kommt ja schließlich so schon keiner in mein LAN.
Vielleicht könnt Ihr mir kurz die Augen öffnen.
spricht etwas in einem sehr einfach gehaltenem Netz - 3 PCs - etwas gegen dieses Firewall Konzept?
- Von außen kommt niemand ohne Port-forwarding auf Ports die von innen erreichbar sind, z.B. Server 443
- Wenn ich ein Port-forwarding einrichte, muss ich dies an einer stelle machen und nicht noch zusätzlich in der Firewall
Ich habe hier einen LANCOM Router 1821+. Dieser ist default schon so konfiguriert.
Ebenso wenn ich ein VPN einrichte.
Ich sehe noch nicht so richtig, wieso ich alles sperren sollte und anschließen einzelne Ports/Protokolle wieder freigeben soll.
Ohne Port-forwarding kommt ja schließlich so schon keiner in mein LAN.
Vielleicht könnt Ihr mir kurz die Augen öffnen.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 228104
Url: https://administrator.de/contentid/228104
Printed on: April 19, 2024 at 16:04 o'clock
18 Comments
Latest comment
Mit allow all ist die Frage: Warum nicht eine einfache FritzBox? Sorry, aber...kurzgedacht.
Naja..
Primär zwecks VPN.
Da wird es dann ggf. eine Regel geben, die den Zugriff vom zweiten LAN (VPN) auf die Firewall blockt.
Ich denke nicht, dass das mit einer FirtzBox möglich ist.
Nur was bringt es mir, wenn ich deny all sage und dann anschließend wieder alles öffne, wie z.B. von LAN ins WAN
Primär zwecks VPN.
Da wird es dann ggf. eine Regel geben, die den Zugriff vom zweiten LAN (VPN) auf die Firewall blockt.
Ich denke nicht, dass das mit einer FirtzBox möglich ist.
Nur was bringt es mir, wenn ich deny all sage und dann anschließend wieder alles öffne, wie z.B. von LAN ins WAN
Dann mach es bitte ordentlich. Es gibt schon genug Netze mit any-any Verschnitt.
Abgesehen davon, willst du wirklich alles vom LAN ins WAN lassen? Ich nicht.
Abgesehen davon, willst du wirklich alles vom LAN ins WAN lassen? Ich nicht.
Und was soll da passieren wenn das LAN mit any ins WAN kann.
Wenn bei uns 1 Server und 2 PCs stehen dann sieht das ungefähr so aus:
Deny all
open SMTP -> WAN
open HTTP -> WAN
open HTTPS -> WAN
open FTP -> WAN
etc...
sehe da keinen wirklichen Verschnitt
Wenn bei uns 1 Server und 2 PCs stehen dann sieht das ungefähr so aus:
Deny all
open SMTP -> WAN
open HTTP -> WAN
open HTTPS -> WAN
open FTP -> WAN
etc...
sehe da keinen wirklichen Verschnitt
Das ist aber kein allow all. Was dürfen die Leute denn noch mehr?
Die sollen alles dürfen.
Vom LAN auf den Server
Vom LAN auf den Router
Vom LAN ins Internet
Einfach alles, keine Einschränkungen
Vom LAN auf den Server
Vom LAN auf den Router
Vom LAN ins Internet
Einfach alles, keine Einschränkungen
Warum fragst du dann hier, wenn die sowieso "alles" dürfen inkl. diverse Botserver über ausgehend Port 13344 anzapfen.
LG
LG
Genau der Gedanke hat mir irgendwie gefehlt.
Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine Chance.
Klar Wald <-> Baum und so.
Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?
Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine Chance.
Klar Wald <-> Baum und so.
Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?
Zitat von @111784:
Genau der Gedanke hat mir irgendwie gefehlt.
Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine
Chance.
Klar Wald <-> Baum und so.
Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?
Genau der Gedanke hat mir irgendwie gefehlt.
Also wenn ich nur HTTP, HTTPs, FTP per Firewall öffne, haben dann logischerweise solche dinge wie Botserver kaum noch eine
Chance.
Klar Wald <-> Baum und so.
Und mal rein interessehalber, wenn Du einen Kunden hast mit zwei PCs Peer to Peer kein Server, kein Exchange nix.
Sieht es dann genauso aus mit deny any?
Darf ich dich mal Fragen, wofür du sonst Firewalls einsetzt?
Nun, Kunden ohne Server gibt es nur im privaten, denen eine Firewall anzudrehen ist, wie deinen Lancom mit any any zu betreiben. I.d.R verantwortungslos.
Für stabile VPN Site to Site Verbindungen
Es gibt garantiert genügend "Firmen" mit 1-2 PCs die keinen Server haben.
Und genauso werden die auch nur eine Fritz!Box haben.
Zahnärzte zum Beispiel
Und genauso werden die auch nur eine Fritz!Box haben.
Zahnärzte zum Beispiel
Zitat von @111784:
Für stabile VPN Site to Site Verbindungen
Für stabile VPN Site to Site Verbindungen
Da kannst du auch ne Fritte nehmen, wofür brauchen die denn Ihre VPN?
Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen
Zitat von @111784:
Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen
Das sind kleine außenzentralen die über das VPN Ihre ausgedrucken Packzettel bekommen
Gut, und was hast du auf der anderen Seite?
Spätestens wenn Du eine zweite WAN-Leitung in Betrieb nehmen willst, dann ist das deny-all Konzept zwingend, Stichwort policy based routing. Hast Du Dir schon einmal die vorgefertigten Scripte für deny all auf der Lancom-Seite angeschaut?
Gruß, Arch Stanton
Gruß, Arch Stanton
Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.
Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet. Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl. Mailserver der Spam verschicken kann und es merkt keiner.
Grüße
Dani
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.
Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet. Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl. Mailserver der Spam verschicken kann und es merkt keiner.
Grüße
Dani
Zitat von @Dani:
Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast
Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.
Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet.
Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl.
Mailserver der Spam verschicken kann und es merkt keiner.
Grüße
Dani
Moin,
Am besten du liest dich in das Thema Firewalltechnik in Ruhe ein. Es nutzt niemand, wenn du irgendwas konfigurierst und hast
Löcher in der Firewall.
Wir diskutieren hier sonst bis nächste Woche.
Deny All ist die Basisregel. Nach und nach werden allow Regeln für Ports, Protokolle, Source / Destination IPs eingerichtet.
Das ist ein Aufwand, Ja aber das gehört zu einem sicheren Regelwerk hinzu. Stell dir vor auf einem Rechner läuft ein kl.
Mailserver der Spam verschicken kann und es merkt keiner.
Grüße
Dani
Treiben wir es auf die Spitze, stell dir vor, auf einem der Rechner der Zahnärzte ist ein kleiner Mailserver, der fein die "Kundendaten" in die Welt streut. Da ist der ZA ganz schnell seinen 1950er BMW nebst dem aktuellen x6 los..jetzt rat mal, wo er die (zu Recht) wieder holt? ;)
Hallo,
Netzwerk gar nicht mehr Dein Netzwerk ist!
Ich würde ein DMZ einrichten wollen und dort den Server
hinein "stellen" wo auch Ports vorne geöffnet werden die auf
den Server zeigen und die PCs sind dann eben im LAN.
Danach würde ich alles unterbinden was rein will ins LAN und
nicht von innen angefordert wurde.
Und dann würde ich Sachen freigeben die nach außen wollen
und das auch dürfen.
Gruß
Dobby
Und was soll da passieren wenn das LAN mit any ins WAN kann.
Das sich ein PC über eine Webseite infiziert und dann "Dein"Netzwerk gar nicht mehr Dein Netzwerk ist!
Ich würde ein DMZ einrichten wollen und dort den Server
hinein "stellen" wo auch Ports vorne geöffnet werden die auf
den Server zeigen und die PCs sind dann eben im LAN.
Danach würde ich alles unterbinden was rein will ins LAN und
nicht von innen angefordert wurde.
Und dann würde ich Sachen freigeben die nach außen wollen
und das auch dürfen.
Gruß
Dobby
1
