Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Hilfe bei Zywall 35 Konfiguration benötigt

Frage Sicherheit Firewall

Mitglied: SIPSIP

SIPSIP (Level 1) - Jetzt verbinden

04.09.2014, aktualisiert 17.09.2014, 2037 Aufrufe, 7 Kommentare, 1 Danke

Hallo zusammen
Ich bräuchte ein wenig Hilfe mit meiner Zyxel Zywall 35. Diese kommt zum Einsatz für eine DMZ mit einem Ubuntu Server, ein WLAN-Netz für Gäste und das LAN.
Nun da ich bisher keine Firewall in dem Ausmass konfiguriert habe, stellen sich mir einige Fragen.
Hier ein Screenshot meiner default-Rules:
993cbabd6bed89d8a2f39f8dfdf0f6f1 - Klicke auf das Bild, um es zu vergrößern
Für die DMZ habe ich die nötigen Ports für Dienste geöffnet (ein- und ausgehend). Dasselbe auch für das WLAN-Netz.
Das LAN habe ich noch nicht konfiguriert, da ich mal gelesen habe dass die Zywall dies Standardmässig gut handhabt.
Folgende Ports habe ich für das WLAN geöffnet: DNS UDP/TCP 53, HTTP TCP 80, HTTPS TCP 443, Google Play TCP/UDP 5228.

NAT habe ich nichts konfiguriert, da ich nicht genau weiss für was ich dies brauchen sollte.

Nun meine Fragen:
1. LAN Konfiguration so belassen?
2. Fällt euch noch ein sinnvoller Port für das WLAN ein?
3. Bin mir nich ganz sicher ob ich NAT Konfigurieren muss, da ich nur eine dynamische IP-Adresse meines Provider für gleich 3 Netze verwende. Falls doch dann was?
4. Sollte ich für die Dienste in der DMZ andere Ports als die Standardports benutzen und die dann mit NAT umleiten?

FYI:
WAN IP: dynamisch (1)
LAN IP: 192.168.1.0/24
WLAN IP: 192.168.2.0/24
DMZ IP: 192.168.3.0/24
IM LAN und WLAN ist dann jeweils ein Router, für DHCP etc. (Firewall ausgeschaltet)
PS: Ich weiss, hier gibt es einige Einträge für Gast-WLAN auch mit Captive Portal. Dies ist aber bei mir eine erste Version und wird evtl. noch mit einem Captive Portal erweitert.

Danke schonmal für die Hilfe, hoffe Ihr blickt bei meiner Erklärung durch.^^
Grüsse
Mitglied: aqui
04.09.2014, aktualisiert um 18:26 Uhr
1.) Ja, zum Starten reicht das erstmal.
2.) Es fehlen noch alle Ports zum Emailen sofern du das erlauben willst. Im Moment kannst du nur Browser Betrieb machen im WLAN (HTTP(S))
3.) NAT benötigst du nur wenn du am WAN Port in einem öffentlichen Netz bist und die internen IPs umsetzen musst, denn RFC 1918 IPs werden ja bekanntlich nicht geroutet.
Fährst du die Zywall als Kaskade mit einem NAT Router davor macht der ja schon NAT und ein doppeltes NAT wäre dann kontraproduktiv. Da kann es dann entfallen.
4.) Die Frage kann dir doch sinnvoll hier keiner benatworten, denn das hängt doch ganz davon ab was du selber für Dienste da bereitstellst !!
Da müssten wir dann unsere Kristallkugel hier bemühen wenn wir das raten sollten für dich !

Dieser Punkt ist etwas verwirrend, da technisch unklar:
IM LAN und WLAN ist dann jeweils ein Router, für DHCP etc. (Firewall ausgeschaltet)
Was genau meinst du damit ?? Du hast in den jeweiligen Segmenten nochmal zusätzlich einen separaten Hardware Router ??
Das wäre ja eigentlich Blödsinn, denn das machst du ja mit deiner Firewall ?!
Oder meintest du mit "jeweils ein Router" das entsprechende Router Interface der Firewall ??

Sieh dir hier mal die klassischen Firewall Foren Tutorials an. Sie behandeln zwar ein anderes Produkt, die Grundlagen und Filter Regeln und anderen Infos gelten aber global und generell für alle Firewalls:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
Gast WLAN mit Hotspot:
http://www.administrator.de/wissen/wlan-oder-lan-gastnetz-einrichten-mi ...
Routing Regel:
http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: SIPSIP
05.09.2014, aktualisiert um 09:07 Uhr
Danke für deine ausführliche Antwort.
Ich hab das kurz mit Visio skizziert
424ffa23655d8a5112cfa285a3584f20 - Klicke auf das Bild, um es zu vergrößern
1. okay mein LAN werd ich so belassen
2. Email habe ich übersehen, werd ich noch hinzufügen
3. Dann werde ich NAT für meine 3 Netze konfigurieren
4. Es geht mir hier nicht um spezifische Dienste sondern darum dass ich mal gelesen habe, dass es sicherer ist nicht die Standardports zu benutzen.


Mit den Routern im LAN und WLAN dachte ich mir das folgendermassen:
Im WLAN ist ein TP-Link WLAN Router, welcher noch um ein AP erweitert wird. Den Router werde ich auch in den AP Modus setzen.
Im LAN wollt ich den Router behalten, so dass dieser den Traffic in diesem Netz übernimmt. Da ich im LAN noch ein NAS im Einsatz habe und die Zywall nur 100Mbit/s durchlässt, wollte ich den Router behalte da dieser einen Datendurchsatz von 1Gbit/s hat.

Danke für die Links, werde mich da mal durchlesen...
Bitte warten ..
Mitglied: aqui
LÖSUNG 05.09.2014, aktualisiert 17.09.2014
Bei Punkt 4 was genau meinst du mit "dass es sicherer ist nicht die Standardports zu benutzen..." ??
Du MUSST ja einige Standardports benutzen wenn du damit TCP oder UDP Ports meinst. Ansonsten funktionieren Standard Applikationen wie Mail, Browser, Filetransfer etc. nicht.
Oder meinst du damit die physischen LAN Ports der Hardware ??

Was die anderen Punkte anbetrifft:
Im WLAN ist ein TP-Link WLAN Router, welcher noch um ein AP erweitert wird.
OK der arbeitet aber nicht als Router sondern nur als dummer WLAN Access Point, oder ??
In diesem Forums Tutorial in der Alternative 3 steht genau beschrieben wie man einen WLAN Router zu einem simplen Accesspoint "degradiert":
http://www.administrator.de/wissen/kopplung-von-2-routern-am-dsl-port-4 ...
Im LAN wollt ich den Router behalten, so dass dieser den Traffic in diesem Netz übernimmt.
Das wäre ja völliger Blödsinn, denn damit konterkarierst du dein gesamtes Firewall Konzept !!
Der Router gehört wenn überhaupt dann an den WAN Port der Firewall und nirgendwo sonst hin !!
Du willst doch gerade eine saubere und sichere Trennung deiner 3 Segmente LAN, DMZ, WLAN erreichen, oder ?
Wenn du dann zentral den gesamten externen Traffic über das LAN Segment leitest bist du hier dem kompletten Angriffssenario ausgesetzt. Das gesamte Firewall Konzept (was sonst ja richtig ist) wäre damit ad absurdum geführt und Blödsinn.
Leuchtet dir sicher selber ein, oder ?
Dieses Tutorial:
http://www.administrator.de/wissen/preiswerte-vpn-fähige-firewall- ...
zeigt dir im Kapitel Internetanbindung solche sinnvollen Designs wie sie im Firewall bereich Standard sind !
Gehe also nochmal in dich und überdenke das !
Dein Argument:
Da ich im LAN noch ein NAS im Einsatz habe und die Zywall nur 100Mbit/s durchlässt, wollte ich den Router behalte da dieser einen Datendurchsatz von 1Gbit/s hat.
Ist ja auch unzutreffend, denn der Router bedinet ja den Internetzugang (geraten). Auch wenn du da im LAN 1 GiG hast kannst du ja am Router WAN/Internet Port nur max 50 Mbit loswerden sofern du VDSL hast. Bei ADSL entsprechend weniger.
Das Argument greift also nicht ?!
Oder hast du da einen Router der mindestens 2 Breitband Ports (Ethernet) mit 1 GiG hat ??
Und auch wenn ist noch lange nicht gesagt das der dann auch 1 GiG Paket Forwarding Rate macht ? Was für ein Modell ist das ??
Aber auch wenn alles passen sollte konterkarierst du dann dein ganzes Firewall Konzept. Dann hätte es auch der Router mit ein paa Accesslisten gemacht ohne den Mehraufwand Firewall !
Bitte warten ..
Mitglied: SIPSIP
05.09.2014 um 10:03 Uhr
zu Punkt 4: ich meine damit nicht die physischen Ports aber das hat sich somit für mich geklärt und ich werde die Standardports der Dienste verwenden.
Den Router im WLAN werde ich ausschließlich als AccessPoint benutzen, dies weil ich den schon hatte und daher keinen neuen kaufen muss.

Zu dem Router im LAN:
Ich glaube wir sprechen nicht vom selben.... Ich wollte den nur im LAN haben, um die Geschwindigkeit innerhalb des LAN Segments zu steigern. Damit der Transfer zwischen z.B. einem PC-Client und dem NAS 1Gbit/s ist und nicht über die Zywall(100Mbit/s) läuft. Dieser Router (Zyxel NBG5615) soll nur den Datenverkehr innerhalb des LAN steuern, alles was ins WAN geht muss natürlich über die Zywall. So zu sagen nur als Gateway...
Falls dies nicht möglich ist oder unnötig, werde ich den natürlich weglassen...

FYI
-der Router aus dem LAN ist ein Zyxel NBG5615
-das WAN wird an der Zywall angeschlossen (Modem von Provider noch davor)
-Klar möchte ich meine Netze sauber trennen, was auch mein Ziel ist. Ich versuche nur eine bestmögliche Lösung dafür zu suchen und wie gesagt ist dies das erste Mal, dass ich ein Netzwerk mit Firewall und verschiedenen Netzen konfiguriere.(noch in Ausbildung)
Bitte warten ..
Mitglied: SIPSIP
16.09.2014 um 09:56 Uhr
Hallo

Ich habe mein Netzwerk nun nach deinen Empfehlungen eingerichtet, die beiden Router dienen nur noch als AccessPoint.
Nun habe ich aber Schwierigkeiten mit der Zywall 35 und dem Server in meiner DMZ. Auf dem Server läuft ein TS3 Server und der DynDNS Dienst von www.No-IP.com. Die Firewall der Zywall ist folgendermassen Konfiguriert:
WAN - DMZ (Drop) und dann TS3 Server Ports geöffnet
Default port (UDP eingehend): 9987
Default filetransfer port (TCP eingehend): 30033
Default serverquery port (TCP eingehend): 10011
Default weblist port (UDP ausgehend): 2010
Default tsdns port (TCP eingehend): 41144
Default accounting port (TCP ausgehend): 2008

NAT Port Forwarding:
oben gennante (eingehende) Ports auf Server IP

Der Server erhält eine Private IP (192.168.2.10). Die Domain von No-IP löst auf die richtige IP-Adresse auf, jedoch kann ich nicht verbinden....

NAT Mapping:
WLAN und LAN: Many to One
DMZ: nichts

Siehst du vielleicht was ich falsch gemacht habe?
Bitte warten ..
Mitglied: aqui
LÖSUNG 17.09.2014, aktualisiert um 11:39 Uhr
Ja, deine FW Logik ist falsch !
WAN - DMZ (Drop) und dann TS3 Server Ports geöffnet
Du kannst in einer FW nicht erst was verbieden was du hinterher wieder erlaubst ! Richtig ist:
WAN - DMZ TS3 Server Ports geöffnet und dann den Rest (Drop)

Dann funktioniert es auch !
Merke: In Einer Firewall gelten Regeln immer inbound und dann first Match wins. Also beim ersten Match wird der Rest der Regelliste NICHT mehr weiter abgearbeitet !
Deshalb scheitert deine Regel oben !
Bitte warten ..
Mitglied: SIPSIP
17.09.2014, aktualisiert um 11:42 Uhr
Erstmal dank dir für die Antowrt.
Ich hab dies so konfiguriert, da mir mal bei einer Ubuntu UFW Firewall beigebracht wurd alles zu schliessen und dann ein Port nach dem anderen zu öffnen, was bei dieser Zywall wohl anders funktioniert.
Ich sehe aber nicht ganz wie ich der Firewall sagen kann, das sie den Rest verbieten soll, werds aber heute Abend auprobieren(evtl. hab ich eine Einstellung übersehen).


Edit: Hab vergessen zu erwähnen, dass ich inzwischen schon versucht habe diese Rule (WAN1-DMZ) auf Permit zu setzen, wass auch nicht geholfen hat.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(8)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Router & Routing
OpenVpn Verbindung Synology NAS hinter Zywall USG 40 (2)

Frage von Tirgel zum Thema Router & Routing ...

Windows 7
Verteillösung für IT-Raum benötigt (12)

Frage von TheM-Man zum Thema Windows 7 ...

Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (10)

Frage von Venator zum Thema Netzwerkmanagement ...

SAN, NAS, DAS
Storage RAID LUN Konfiguration - Wie macht ihr es (4)

Frage von Marco-83 zum Thema SAN, NAS, DAS ...

Heiß diskutierte Inhalte
Microsoft
Ordner mit LW-Buchstaben versehen und benennen (20)

Frage von Xaero1982 zum Thema Microsoft ...

Outlook & Mail
gelöst Outlook 2010 findet ost datei nicht (19)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (18)

Frage von Unwichtig zum Thema Netzwerkmanagement ...

Festplatten, SSD, Raid
M.2 SSD wird nicht erkannt (14)

Frage von uridium69 zum Thema Festplatten, SSD, Raid ...