Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Ports sperren für FritzBox

Frage Netzwerke Router & Routing

Mitglied: SilverHawk1984

SilverHawk1984 (Level 1) - Jetzt verbinden

13.09.2006, aktualisiert 25.04.2007, 26159 Aufrufe, 33 Kommentare

Hallo!

ich habe paar Fragen bezüglich Routern und Ports.

Hintergrund: Ich ziehe in ein Studentenwohnheim und werde da höchstwahrscheinlich ein WLAN Internetzugang für alle anderen Bewohner einrichten und verwalten. Der Vermieter möchte nicht das irgendwelche illegale Sachen von Studenten fabriziert werden. Sprich Tauschbörsen.

Test: Habe bei mir Zuhause die FritzBox 7050 von AVM. Habe die UPnP Funktion von der Fritzbox deaktivert und die Software von meinem Notebook runtergeworfen. In Router selbst ist nur noch der TCP Port 80 freigegeben.
Trotzdem komme ich mit ICQ, MSN und Outlook nach draußen! Sperrt die Fritzbox die Ports nicht richtig? Mit eMule komme ich auch nach draußen, aber nur mit LowID. Sprich dort ist schon was gedrosselt. Aber nicht ganz gesperrt.
Sperrt wohl meine Fritzbox die Ports nicht richtig?

Die Geräte sind noch nicht gekauft für das Studentenwohnheim, somit ne andere Frage: Sind andere Geräte besser bzw. sicherer als die Fritzbox?
Die Fritzbox gefällt mir soweit, weil sie macht was ich will und die UPnP Funktion ist ne gute Funktion um einfach Ports freizuschalten, speziell auch ganze Bereiche wie für Netmeeting. WLAN einrichten ist auch kein Problem.

Hatte in der Vergangenheit mal paar Auseinandersetzungen mit Routern diverser Firmen, da klappte es nie, wie ich wollte. Jaja, ich weiß, wenn ich hier mit ner FritzBox ankomme in einem Admin Forum dann hagelt es bestimmt gleich: Billig Gerät, nur für Doofe etc.
Aber das Ding läuft und ist einfach zu bedienen. Nun überzeugt mich vom Gegenteil ;)


Ich hoffe ihr könnt mir bei meinen Fragen weiterhelfen und bedanke mich schon mal im Vorraus.

PS: Die Suchfkt des Forums habe ich auch schon genutzt, aber nicht so das passende gefunden.


Schöne Grüße
Daniel
33 Antworten
Mitglied: thekingofqueens
13.09.2006 um 23:42 Uhr
Wenn du Ports in der FritzBox freigibst dann sind das eingehende Ports und nicht die ausgehenden.
Bitte warten ..
Mitglied: SilverHawk1984
13.09.2006 um 23:45 Uhr
Wenn du Ports in der FritzBox freigibst dann
sind das eingehende Ports und nicht die
ausgehenden.

Ja und wie bekomme ich nun erstmal alles dicht? Denke fast das es diese Fkt nicht gibt oder?
Bitte warten ..
Mitglied: thekingofqueens
13.09.2006 um 23:49 Uhr
Mit ner Firewall die auch ausgehenden Traffic kontrolliert, z.B. ZoneAlarm, Sygate (beide kostenlos) oder halt was kostenpflichtiges von Gdata, Symantec, Sophos und wenn es da noch alles gibt.
Bitte warten ..
Mitglied: fugu
13.09.2006 um 23:51 Uhr
Moinz,

nein die gibt es leider nicht. Alle Standard-Router blocken zwar alles, was rein will (abgesehen von Ports, die man explizit frei gibt, lassen aber alles rein, was von innen angefragt wurde.

D. h. wenn Outlook über Port 110 oder 25 ins Internet will, wird das immer erlaubt. Auch die Antworten kommen auf dem gleichen Port zurück und werden durchgelassen.

Wenn du wirklich dicht machen willst, dann brauchst du schon was anderes. IPCop oder Squid oder beides

Greetz, Fugu
Bitte warten ..
Mitglied: thekingofqueens
14.09.2006 um 00:05 Uhr
Bei der Firewall ZoneAlarm kannst du z.b. jedes Programm festlegen das ins Internet darf und welches nicht. Aber ist ein ziemlicher Aufwand und die Firewall müsste auf jedem PC laufen wenn du nur ne FritzBox als Router nehmen würdest. Und was an MSN, ICQ und Outlook so schlimm sein soll weiß ich nun auch nicht.
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 00:16 Uhr
nein die gibt es leider nicht. Alle
Standard-Router blocken zwar alles, was rein
will (abgesehen von Ports, die man explizit
frei gibt, lassen aber alles rein, was von
innen angefragt wurde.

D. h. wenn Outlook über Port 110 oder
25 ins Internet will, wird das immer erlaubt.
Auch die Antworten kommen auf dem gleichen
Port zurück und werden durchgelassen.

Sprich dadurch kommt die LowID zustande bei emule. Geht per 4662 raus, kommt auch über den Port wieder rein, aber die paar anderen Ports, die berechnet werden und +/- 2-3 liegen sind nicht frei. Da emule nicht über diese Ports was angefragt hat, sondern nur was rein will von anderen Usern.


Wenn du wirklich dicht machen willst, dann
brauchst du schon was anderes. IPCop oder
Squid oder beides

Habe mich da nur kurz reingelesen. Sieht für mich aber komplex bzw. übertrieben aus, für das was ich vorhabe.


ich glaub ich sehe wodrauf es hinausläuft, es gibt nicht das, was ich habn will. Na Emule wird dann im gewissen Maße blockiert. Wie siehst den mit den anderen Tauschbörsen aus? BitTorrent und co? Arbeiten die auch über verschiedene Ports und werden teilweise blockiert, wie emule?
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 00:19 Uhr
Bei der Firewall ZoneAlarm kannst du z.b.
jedes Programm festlegen das ins Internet
darf und welches nicht. Aber ist ein
ziemlicher Aufwand und die Firewall
müsste auf jedem PC laufen wenn du nur
ne FritzBox als Router nehmen würdest.
Und was an MSN, ICQ und Outlook so schlimm
sein soll weiß ich nun auch nicht.

Ja, das ist es halt die Firewall müsste auf jedem PC laufen. Aber die anderen Studenten haltet ja nichts davon ab, die einfach zu deinstallieren. Ich bräuchte ein System, was extern läuft und nicht auf 30-40 Rechnern.

MSN, ICQ und outlook waren nur ein Beispiel, dafür das ich die nicht blockiert kriege. Die sollte natürlich freigegeben werden. Genauso wie Online Games.

Was könnte man den noch so für Blödsinn treiben? Außer Tauschbörsen? Speziell auf das Thema Ports bezugen.
Bitte warten ..
Mitglied: filippg
14.09.2006 um 01:06 Uhr
Hallo,

wie soll denn die Infrastruktur generell aussehen? Jeder Student kriegt bei sich auf das Zimmer DSL? Wenn jeder DSL bei einem "normalen" ISP hat, dann ist das ganze sowieso nicht dein Probelm oder das des Wohnheims, dann sollten da ja auch Verträge nur zwischen Studis und ISP bestehen. Oder stellt ihr einen DSLAM in den Keller und jeder kriegt das DSL von euch? Oder soll eine Fritzbox für alle reichen?
Grundsätzlich: dein "Billig Gerät, nur für Doofe etc." kann ich nicht teilen. Aber wahrscheinlich doch keins, was dafür geeignet ist, wirklich den Internetzugang für eine ganze Studentenhorde zu erledigen.
Also: wenn du ein bisschen was zur Infrastruktur schreibst werden dir hier bestimmt noch einige Vorschläge unterbreitet werden.

Filipp
Bitte warten ..
Mitglied: Supaman
14.09.2006 um 08:11 Uhr
schonmal gedanken zur bandbreitenkontrolle gemacht? sonst machen dir 1-2 user mit einem ganz normalen, legalen download von ein paar linux ISOs die leitung dicht.
Bitte warten ..
Mitglied: leknilk0815
14.09.2006 um 08:19 Uhr
Hi,
wie oben beschrieben, ist das nicht machbar. Firewall ist bei XP SP2 ohnehin onboard, könnte auch alle Kriterien erfüllen, aber die läßt sich eben auch von jedem PC- Eigentümer konfigurieren (es sei den, der Vermieter ist Eigentümer und sperrt die Kisten dementsprechend, was ich aber nicht glaube). Es läßt sich also den Studenten nicht einfach "ein Maulkorb" umbinden. Wie will denn der Vermieter z.B. verhindern, daß einer von Euch einen bösen Brief schreibt? MS-Word von den Kisten verbannen? Eine Firewall hilft hier auch nicht.
Wenn Du alle diese Ports dichtmachen willst, hilft nur ein Proxy- Server, über den der ganze Netzverkehr läuft und damit das Filtern und Blocken übernimmt. Am Besten dann noch ein Progrämmchen drauf, das bei bestimmten verdächtigen Wörtern eine Alarmmail an den Vermieter generiert (ggf. kann auch noch der Verfassungsschutz mit eingebunden werden).

Gruß - Toni

P.S.: Derjenige, der die Bewertungen in dem Beitrag gegeben hat, sollte sich mal die Bewertungskriterien durchlesen, ich finde nicht, daß alle Beiträge einen Punktabzug rechtfertigen (eher im Gegenteil!)
Bitte warten ..
Mitglied: 27119
14.09.2006 um 08:36 Uhr
Doppelpost
Bitte warten ..
Mitglied: 27119
14.09.2006 um 08:36 Uhr
Über die Funktion Fritz!DSL Protect kann man ausgehende Pakete von bestimmten Anwendungen blocken.

http://www.avm.de/de/Service/Handbuecher/FRITZBox/Handbuch_FRITZBox_Fon ...
Bitte warten ..
Mitglied: leknilk0815
14.09.2006 um 08:44 Uhr
Hi,
das macht auch jede Firewall, nur daß dieses Prog mitgeliefert wird.
Aber der Admin (Eigentümer) des Rechners kann damit machen, was er will,
da es ja auf seinem PC installiert ist.
Bringt also auch nicht wirklich was...

Gruß - Toni
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 11:39 Uhr
wie soll denn die Infrastruktur generell
aussehen? Jeder Student kriegt bei sich auf
das Zimmer DSL? Wenn jeder DSL bei einem
"normalen" ISP hat, dann ist das
ganze sowieso nicht dein Probelm oder das des
Wohnheims, dann sollten da ja auch
Verträge nur zwischen Studis und ISP
bestehen. Oder stellt ihr einen DSLAM in den
Keller und jeder kriegt das DSL von euch?
Oder soll eine Fritzbox für alle
reichen?

Die Infrastruktur soll so aussehn: Es ist ein L-förmiges doppelstöckiges Haus. In der Mitte soll ein Router auf den Dachboden und an die Enden sollen jeweils 1 Repeater. Da das Haus an die 35m lang zu jeder Seite. Denke mal bei 2 Stockwerken und der Entfernung ist es sinnvoll an den Enden des Hauses nochmals 2 Repeater zu installieren.

Desweiteren hat der Student seinen eigenen PC oder Notebook und bekommt von uns oder kauft sich selbst einen WLAN Stick. Sprich auf den PC kann der Studi machen was er will.

Verschlüsselt werden soll das ganze natürlich auch. Aber schon was sicheres, nicht die Standard Verschlüsselung (WEP heißt die glaub ich). Dazu nochmal nur Zugriff per eingetragende MAC Adresse. Da der Student nur Internet bekommen soll, wenn der seinen Beitrag zahlt.
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 11:45 Uhr
schonmal gedanken zur bandbreitenkontrolle
gemacht? sonst machen dir 1-2 user mit einem
ganz normalen, legalen download von ein paar
linux ISOs die leitung dicht.

Ne nicht wirklich. Wie könnte ich den das realisieren? Mit nem Router?

Wie wäre es einfach einen alten PC zwischen Router und DSL Modem zwischen zuschalten und über den diverse Sachen abzuwickeln? Wie Banbreitenkontrolle, Ports sperren,...
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 11:55 Uhr
Hi,
wie oben beschrieben, ist das nicht machbar.
Firewall ist bei XP SP2 ohnehin onboard,
könnte auch alle Kriterien
erfüllen, aber die läßt sich
eben auch von jedem PC- Eigentümer
konfigurieren (es sei den, der Vermieter ist
Eigentümer und sperrt die Kisten
dementsprechend, was ich aber nicht glaube).
Es läßt sich also den Studenten
nicht einfach "ein Maulkorb"
umbinden. Wie will denn der Vermieter z.B.
verhindern, daß einer von Euch einen
bösen Brief schreibt? MS-Word von den
Kisten verbannen? Eine Firewall hilft hier
auch nicht.
Wenn Du alle diese Ports dichtmachen willst,
hilft nur ein Proxy- Server, über den
der ganze Netzverkehr läuft und damit
das Filtern und Blocken übernimmt. Am
Besten dann noch ein Progrämmchen drauf,
das bei bestimmten verdächtigen
Wörtern eine Alarmmail an den Vermieter
generiert (ggf. kann auch noch der
Verfassungsschutz mit eingebunden werden).

Gruß - Toni

P.S.: Derjenige, der die Bewertungen in dem
Beitrag gegeben hat, sollte sich mal die
Bewertungskriterien durchlesen, ich finde
nicht, daß alle Beiträge einen
Punktabzug rechtfertigen (eher im Gegenteil!)

Ne ne. So extrem soll das ja nicht sein. Der Vermieter selbst hat keine Ahnung von Internet und co. Ich ziehe halt dort ein und fragte ob es auch Internet gäbe. Dann hatte ich ihm einfach mal den Vorschlag gemacht, dass ich im alles installiere und verwalte. Da ihm die Kosten für Kabel verlegen zu teuer sind, habe ich ihm das WLAN erklärt und vorgeschlagen.

Er selbst wohnt nicht in dem Haus, sondern woanders. Würde dann für die Internetgeschichte einen extra Telefonanschluss von der Telekom installieren lassen und der würde auf dem Dachboden liegen.
Wie siehst den dann aus, wenn jemand Mist baut mit dem Internet? Außen ist ja nur die IP Adresse von dem Router sichtbar. Sprich es ist nicht möglich zurückzuverfolgen, wer wann wo was runtergeladen hat oder sonst was verbockt hat oder?
Im Prinzip könnte auch keine Polizei eine Hausdurchsuchung machen, zwecks ilegaller Raubkopien etc. , da auf dem Dachboden ja keiner wirklich wohnt. Und jede Studiwohung könne sie ja auch schlecht durchsuchen. Der Anschluss würde zwar auf dem Vermieter laufen, aber nachweisen könnten Sie ihm ja nichts, da er das ja nicht nutzt und wie ich ihn nun kenne, gar keine Machenschaften mit illegalen Sachen hat.
Wie sieht die ganze Sache den nun rechtlich aus? Wer muss dafür haften, wenn Mist gebaut wird?
Bitte warten ..
Mitglied: leknilk0815
14.09.2006 um 11:58 Uhr
Hi,
die Infrastruktur sollte wohl funktionieren, solange keiner wirklich "saugt", Du mußt mitbedenken, daß die Repeater die Bandbreite halbieren (ausser, man verkabelt die Dinger). Je nachdem, wie viele gleichzeitig drin sind und was sie tun, kann es ohne Bandbegrenzung dann schon mal eng werden.
Verschlüsselung: sollte WPA sein
MAC: ganz nett (schadet auf keinen Fall), allerdings sollte man wissen, daß mit Tools wie Ethereal die MAC's nach ein paar Minuten kein Geheimnis mehr sind. Und eine MAC zu klonen, dauert auch nicht länger.
Das Port- Problem würde ich schriftlich lösen (Nutzungsvertrag), da es technisch in dem Umfeld wohl kaum lösbar scheint, abgesehen davon gibt es weit schlimmere Dinge als den Esel, wie sollte man z.B. jemanden dran hindern, sich "nette" Bildchen runterzuladen?

Gruß - Toni
Bitte warten ..
Mitglied: filippg
14.09.2006 um 11:58 Uhr
Die Infrastruktur soll so aussehn: Es ist
ein L-förmiges doppelstöckiges
Haus. In der Mitte soll ein Router auf den
Dachboden und an die Enden sollen jeweils 1
Repeater. Da das Haus an die 35m lang zu
jeder Seite. Denke mal bei 2 Stockwerken und
der Entfernung ist es sinnvoll an den Enden
des Hauses nochmals 2 Repeater zu
installieren.
Je nach Bauart des Hauses kann das reichen, muss aber bei weitem nicht. Du solltest das auf jeden Fall mal testen. (Stell deine Fritzbox an die entsprechenden Stellen, und schau dann mal in welchen Zimmern du sie empfängst, wobei dir bewusst sein sollte, dass die Empfangsleistungen verschiedern WLAN-Sticks stark schwanken können.)

Verschlüsselt werden soll das ganze
natürlich auch. Aber schon was sicheres,
nicht die Standard Verschlüsselung (WEP
heißt die glaub ich).
Dazu nochmal nur
Zugriff per eingetragende MAC Adresse.
MAC-Authentifizierung ist völliger Unsinn. Die MAC-Adresse lässt sich bei nahezu jeder Karte einfach über die Treibersoftware einstellen. Das haben die Hersteller mal eingeführt, als der Ruf nach Sicherheit aufkam, sie aber keine Ahnung hatten wie, und wenigstens irgendwas von "Authentifizierung" und "Security" in ihren Produktbeschreibungen haben wollten.

Da der
Student nur Internet bekommen soll, wenn der
seinen Beitrag zahlt.
Für sowas sind z.B. RADIUS-Server gedacht. Natürlich wirst du einen solchen nicht aufsetzen wollen. Aber manche Router (haben hier z.B. einen einfachen Zyxel) bieten selber eine Minimalimplementierung davon, d.h. hier kann man ganz einfach Nutzer einrichten und freigeben/sperren. Eine entsprechende Authentifizierung sollte auch von nahezu jedem WLAN-Treiber unterstützt werden.
Was die FritzBox in die Richtung kann weiss ich nicht, habe noch nie eine in den Händen gehalten. Du könntest dir aber auch die Linksys WRT54G - Geräte mal anschauen. Für die gibt es mehrere Firmwares auf Linuxbasis, die eine unmenge an Features bieten (und die man auch erweitern kann). Damit liesse sich eine sehr saubere Authentifizierung aufbauen: das WLAN kann man einfach unverschlüsselt betreiben, und statt dessen auf dem WRT einen VPN Endpunkt aufbauen. D.h. jeder kann in das WLAN, um aber ins Netz zu kommen muss er VPN-Zugangsdaten haben (d.h. sich persönlich authentifizieren). Das ist in der Client-Konfiguration ziemlich einfach, VPNs lassen sich unter Windows mit Bordmitteln einrichten, das ist oft leichter als die WLAN-Verschlüsselung zu aktivieren. Und auf der Serverseite (also dem WRT) ist das zwar erstmal ein klein wenig Aufwand zu betreiben, dazu gibts aber sicher Tutorials, und dann ist das dafür auch sicher. Daneben bietet der WRT auch ordentliche Firewall (mit alternativer Firmware) und Sachen wie Bandbreitenmanagement.

Filipp
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 12:48 Uhr
Hi,
die Infrastruktur sollte wohl funktionieren,
solange keiner wirklich "saugt", Du
mußt mitbedenken, daß die
Repeater die Bandbreite halbieren (ausser,
man verkabelt die Dinger). Je nachdem, wie
viele gleichzeitig drin sind und was sie tun,
kann es ohne Bandbegrenzung dann schon mal
eng werden.

Gut zu wissen das mit der Halbierung. Ich denke, dass der Dachboden durchgehen sein wird und somit würde ich dann die Reapter mit dem Router per Kabel verbinden.
Thema Bandbreite: Es sind 36 Wohnungen. Im extrem Fall, wenn jeder Internet haben will, könnte es eventuell eng werden. Als Vorteil würde hier die DSL16000 Leitung kommen, die macht ja schon was her.

Verschlüsselung: sollte WPA sein
MAC: ganz nett (schadet auf keinen Fall),
allerdings sollte man wissen, daß mit
Tools wie Ethereal die MAC's nach ein paar
Minuten kein Geheimnis mehr sind. Und eine
MAC zu klonen, dauert auch nicht
länger.

Habs mir schon fast gedacht, dass man die MAC Adressen austauschen kann. Für normal User stellen die MAC Adresse ja schon ein Problem dar, na für Leute die bisschen mehr wissen ein Kinderspiel

Das Port- Problem würde ich schriftlich
lösen (Nutzungsvertrag), da es technisch
in dem Umfeld wohl kaum lösbar scheint,
abgesehen davon gibt es weit schlimmere Dinge
als den Esel, wie sollte man z.B. jemanden
dran hindern, sich "nette" Bildchen
runterzuladen?

Gruß - Toni

Nutzungsvertrag hatte ich auch schon ins Blickfeld gezogen, aber bringt das den wirklich was? Da ich ja nicht aufzeichnen kann, wer wann wie was macht. Wäre auch ein zu großer Aufwand.
Schlimmere Dinge als Esel? Wenn Studis sich nette Bildchen und co runterladen, sprich Pornos, kann es mir doch egal sein. Ist ja nichts illegales dran.
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 12:55 Uhr
Je nach Bauart des Hauses kann das reichen,
muss aber bei weitem nicht. Du solltest das
auf jeden Fall mal testen. (Stell deine
Fritzbox an die entsprechenden Stellen, und
schau dann mal in welchen Zimmern du sie
empfängst, wobei dir bewusst sein
sollte, dass die Empfangsleistungen
verschiedern WLAN-Sticks stark schwanken
können.)

Was meinste sollte reichen? Ein Router oder ein Router mit 2 Repeatern?

Für sowas sind z.B. RADIUS-Server
gedacht. Natürlich wirst du einen
solchen nicht aufsetzen wollen. Aber manche
Router (haben hier z.B. einen einfachen
Zyxel) bieten selber eine
Minimalimplementierung davon, d.h. hier kann
man ganz einfach Nutzer einrichten und
freigeben/sperren. Eine entsprechende
Authentifizierung sollte auch von nahezu
jedem WLAN-Treiber unterstützt werden.
Was die FritzBox in die Richtung kann weiss
ich nicht, habe noch nie eine in den
Händen gehalten.

Also die Fritzbox hat keine solche Fkt. habe mir das schon angeguckt.

Du könntest dir
aber auch die Linksys WRT54G - Geräte
mal anschauen. Für die gibt es mehrere
Firmwares auf Linuxbasis, die eine unmenge an
Features bieten (und die man auch erweitern
kann). Damit liesse sich eine sehr saubere
Authentifizierung aufbauen: das WLAN kann man
einfach unverschlüsselt betreiben, und
statt dessen auf dem WRT einen VPN Endpunkt
aufbauen. D.h. jeder kann in das WLAN, um
aber ins Netz zu kommen muss er
VPN-Zugangsdaten haben (d.h. sich
persönlich authentifizieren). Das ist in
der Client-Konfiguration ziemlich einfach,
VPNs lassen sich unter Windows mit
Bordmitteln einrichten, das ist oft leichter
als die WLAN-Verschlüsselung zu
aktivieren. Und auf der Serverseite (also dem
WRT) ist das zwar erstmal ein klein wenig
Aufwand zu betreiben, dazu gibts aber sicher
Tutorials, und dann ist das dafür auch
sicher. Daneben bietet der WRT auch
ordentliche Firewall (mit alternativer
Firmware) und Sachen wie
Bandbreitenmanagement.

Filipp

Das mit dem LinkSys hört sich alles klasse an. Die Frage ist nur, kriege ich das hin. Will mich ja nicht als doof bezeichnen, aber der wirkliche Netzwerk Admin bin ich nicht.
Aber wenn im Netz gute Anleitungen gibt für den Router, dann ist das denk ich mal kein Problem für mich.

Bräuchte ich dann 1 Linksys Router oder mehrere? (Die Geschichte mit den Reaptern)
Bitte warten ..
Mitglied: leknilk0815
14.09.2006 um 12:58 Uhr
Esel ist Urheberrecht, das gibt Geldstrafe, Bildchen mit sehr jungen Motiven gibt Knast.
Da hinter dem Router nicht festgestellt werden kann, welcher PC nun der Sauger war (NAT), bleibt für die Ermittler nur der Inhaber des DSL- Anschlusses. Da die in so einem Fall ohnehin alle PC's kassieren, läßt sich der Schuldige zwar ermitteln, aber vorab hast Du mal den Ärger an der Backe. Inwieweit ein Vertrag hierbei hilfreich wäre, weiß ich nicht, besser als nichts ist es allemal.

Gruß - Toni
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 13:55 Uhr
Esel ist Urheberrecht, das gibt Geldstrafe,
Bildchen mit sehr jungen Motiven gibt Knast.
Da hinter dem Router nicht festgestellt
werden kann, welcher PC nun der Sauger war
(NAT), bleibt für die Ermittler nur der
Inhaber des DSL- Anschlusses. Da die in so
einem Fall ohnehin alle PC's kassieren,
läßt sich der Schuldige zwar
ermitteln, aber vorab hast Du mal den
Ärger an der Backe. Inwieweit ein
Vertrag hierbei hilfreich wäre,
weiß ich nicht, besser als nichts ist
es allemal.

Gruß - Toni

Ja das ist alles klar. Aber es reicht ja nicht, den Vermieter anzuklagen oder in den Knast zu bringen, wenn die keine reelen Beweise haben gegen IHN haben. Ärger gäbe es eh, da man solchen jungen Bilder Geschichten ja nicht unterbinden kann.

Im Prinzip tun Menschen mit normalen Menschenverstand ja nicht solche Sachen. Nur Esel will jeder haben. Das geht ja leicht zu unterbinden. Nun müsste man abwägen, ob das man gewisse Risiko eingehn will oder nich.

Thema Vertrag: Gibt es dort irgendwelche Vordrucke? Bzw. hat jemand schon ein Grundgerüst was drinne stehen sollte.
Bitte warten ..
Mitglied: filippg
14.09.2006 um 15:28 Uhr
Was meinste sollte reichen? Ein Router oder
ein Router mit 2 Repeatern?
Ein Router mit ziemlicher Sicherheit nicht.
Auch die Repeater wirst du wohl nicht wirklich ans Ende setzen können, weil da schon kein Empfang mehr sein wird (ausser du bist wirklich im Dachstuhl, da hats ja meist keine Wände). Solltest du aber im Dachstuhl sein, so kannst du da ja wahrscheinlich auch ein Kabel legen, dann würde ich dir auf jeden Fall empfehlen, zwei einfache APs zu nehmen (und eben über Netzwerkkabel zu verbinden).
Übrigens stellen Decken oft unüberwindbare Hindernisse dar. Aber sowas ist schwer zu schätzen, das muss man ausprobieren.

Also die Fritzbox hat keine solche Fkt. habe
mir das schon angeguckt.
Das ist schlecht. Wie gesagt: das mit den MACs bringt nichts.
Du kannst übrigens auch davon ausgehen, dass deine WPA-Schlüssel nach einer gewissen Zeit korrumpiert werden, wenn da bei jemand mal ein Freund zu besuch ist, dann wird der Key halt weitergegeben... Das wäre wieder der Charme der VPN-Lösung. An WEP hast du hoffentlich gar nicht erst gedacht?


Das mit dem LinkSys hört sich alles
klasse an. Die Frage ist nur, kriege ich das
hin. Will mich ja nicht als doof bezeichnen,
aber der wirkliche Netzwerk Admin bin ich
nicht.
Aber wenn im Netz gute Anleitungen gibt
für den Router, dann ist das denk ich
mal kein Problem für mich.
Etwas Arbeit wird das schon machen... ich würde dir auch empfehlen, dir jemand ins Boot zu holen, der sich mit sowas auskennt. Wenn man etwas Computer-Affin ist, ist das ganze auf jeden Fall schaffbar. Schlecht ist es halt, wenn dir die Mitbewohner auf den Deckel steigen, weil das Netz zu oft wegbricht, oder das Studentenwerk, weil doch jemand Schindluder treibt. Du solltest halt schauen, was du da für Vereinbarungen triffst.

Bräuchte ich dann 1 Linksys Router oder
mehrere? (Die Geschichte mit den Reaptern)
Nutzerverwaltung, Firewallconfig etc. solltest du nur auf einem Gerät haben, sonst gibt das Probleme mit der Administration (Inkonstistenz). Es sei denn, du hast konkrete Vorteile davon, die Last verteilen zu können (z.B. 3 APs mit jeweils einem Admin, der dann dafür zuständig ist, aber auch dann solltest du eine zentrale Firewall haben).
Neben dem Linksys gibt es übringes noch ein paar andere Routermodelle, eine Liste für openWRT findest du unter http://wiki.openwrt.org/TableOfHardware Daneben gibt es auch noch ander Firmeware-Projekte, eine kleine Übersicht: http://www.sveasoft.de/
Bitte warten ..
Mitglied: SilverHawk1984
14.09.2006 um 17:00 Uhr
Ein Router mit ziemlicher Sicherheit nicht.
Auch die Repeater wirst du wohl nicht
wirklich ans Ende setzen können, weil da
schon kein Empfang mehr sein wird (ausser du
bist wirklich im Dachstuhl, da hats ja meist
keine Wände). Solltest du aber im
Dachstuhl sein, so kannst du da ja
wahrscheinlich auch ein Kabel legen, dann
würde ich dir auf jeden Fall empfehlen,
zwei einfache APs zu nehmen (und eben
über Netzwerkkabel zu verbinden).
Übrigens stellen Decken oft
unüberwindbare Hindernisse dar. Aber
sowas ist schwer zu schätzen, das muss
man ausprobieren.

Ja, die Dinger sollen auf den Dachstuhl. Denke mal das dort keine Wände sind und die 2APs zum Router mit Kabel verbinden werde.
Das mit den Decken ist mir auch bewusst. Deswegen ja die Geschichte mit den 2APs an den Enden des Hauses.

An WEP hast du hoffentlich
gar nicht erst gedacht?

Nein, an den Kram hab ich nicht gedacht. Ich weiß das es unsicher ist.

Etwas Arbeit wird das schon machen... ich
würde dir auch empfehlen, dir jemand ins
Boot zu holen, der sich mit sowas auskennt.
Wenn man etwas Computer-Affin ist, ist das
ganze auf jeden Fall schaffbar. Schlecht ist
es halt, wenn dir die Mitbewohner auf den
Deckel steigen, weil das Netz zu oft
wegbricht, oder das Studentenwerk, weil doch
jemand Schindluder treibt. Du solltest halt
schauen, was du da für Vereinbarungen
triffst.

Solche Probleme stellen natürlich alles in Frage. Da ich das ja auch nur mache um umsonst einen Internetzugang zu haben und event. Miete zu drücken. Aus Spaß mache ich das nicht, höchstens Zuhause ;) Na aber nen gewissen Reiz sowas auf die Beine zu stellen besteht natürlich schon. Nur wirds blöd sein, wenn das alles nicht klappt, mein Vermieter mir im Nacken sitzt und alles nicht so funktioniert wie es soll. Somit habe ich auch ein gewissen Risiko. Ja klar, ich könnte dem ne WEB WLAN Kram installieren, aber dann kommt am Ende noch Ärger mit irgendwelchen die sich eingehackt haben.
Bitte warten ..
Mitglied: 27119
15.09.2006 um 07:55 Uhr
Ich weiss nicht wie man zu diesem einfachen Thema so lange diskutieren kann.

Einfach alle Ports blocken (dichtmachen) ausser 80, 443, 25, 110, 143 und jeder kann surfen und mailen.
Andere Ports für einzelne (oder alle Benutzer) u. U. absprechen, zb. für SSH P. 22 oder was halt gebraucht wird.
Die Öffnung zusätzl. Ports bringt halt immer die Möglichkeit, seinen Filesharing-Client auf diesen Port umzubiegen.

Home-Firewall prinzipiell:
Meist wird auf gängigen WLAN Routern eine Statefull Inspection Firewall verwendet.
Diese lässt ALLES raus, aber NUR das rein, was von drinnen angefordert wurde, z.b. eine Webseite. Daher "statefull". Die Firewall checkt ob eine Verbindung "established" ist und lässt für DIESE Verbindung die Antwortpakete aus dem Internet rein. Die Antwortpakete werden daran erkannt, dass sie als Zielport den anfragenden Port der Benutzeranfrage-Pakete haben (das ist ein beim Verbindungsaufbau zufällig gewählter Port zwischen 1025 und 65535), und dass in den Paketen das "SYN" und "Acknowledge" Flag gesetzt sind.
Eine Anfrage dagegen hat nur das "SYN! Flag gesetzt. (TCP/IP).
So ungefährt funktioniert das.

Man kann jedoch auch einstellen, dass nicht ALLES rausgelassen wird, sondern nur bestimmte Ports von drinnen nach draussen kontaktiert werden dürfen.
Das ist genau das was du brauchtst.
Von AUSSEN macht die Statefull Inspection Firewall eh dicht, ausser man hat Portforwarding konfiguriert. Falls die Fritzbox das nicht möglich macht, einen anderen Router holen (zb SMC, D-Link, Netgear).


Andere Firewalls machen erstmal ALLES DICHT, und man öffnet dann manuell ein- und ausgehend Port für Port den man benötigt. Aufwendig, aber man hat die totoale Kontrolle.

WPA Verschlüsselung benutzen, den Schlüssel verteilen.
Je nachdem wieviele Leute mindestens DSL6000, besser noch DSL16000 einsetzen.
Kostet ja fast nix mehr, vor allem wenn man es mit mehreren Leuten teilt.

Dann haste alles - Sicherheit, P2P wird massiv erschwert, und alle haben genug Bandbreite.

Themawechsel...
Bitte warten ..
Mitglied: filippg
15.09.2006 um 11:55 Uhr
Die Antwortpakete
werden daran erkannt, dass sie als Zielport
den anfragenden Port der
Benutzeranfrage-Pakete haben (das ist ein
beim Verbindungsaufbau zufällig
gewählter Port zwischen 1025 und 65535),
und dass in den Paketen das "SYN"
und "Acknowledge" Flag gesetzt
sind.
Eine Anfrage dagegen hat nur das "SYN!
Flag gesetzt. (TCP/IP).
So ungefährt funktioniert das.
So ungefähr.. grob gesagt.
Das der Zielport der Antwort der Ausgehende der Anfrage ist ergibt sich schon aus dem NAT, dazu braucht man überhaupt keine Firewall. Was Stateful dagegen noch macht ist auch die IPs auszuwerten. Daneben ist das SYN-Flag nur bei dem ersten Paket jeder Seite gesetzt, später nicht mehr. Wenn man schon tolle Sätze wie "Ich weiss nicht wie man zu diesem einfachen Thema so lange diskutieren kann." schreibt, dann sollte man doch ein wenig aufpassen, dass etwas näher an der Richtigkeit liegt als nur "so ungefähr". Abgesehen davon ging die Frage noch etwas weiter.

Filipp
Bitte warten ..
Mitglied: 27119
15.09.2006 um 14:04 Uhr
Naja, ganz so weit von der Richtigkeit war meine Aussage ganz und garnicht.
Einen dreiseitigen Report über TCP/IP kann man in diesem Thread wohl nicht erwarten.

User sendet Anfrage an Webserver (schematisch-vereinfachte Darstellung)

User>>syn>>>WEbserver

Webserver antwortet auf die Anfrage

User<<<syn..acknowledge<<<Webserver

User sendet Anfrage mit syn flag, entfernter Rechner antwortet mit syn und ack.
Das ist nicht falsch, sondern richtig. Eine Statefull Inspection erkennt anhand der Ports, Flags, des Verbindungs-Zustandes ("State") und IPs, welche Antwortpakete aus dem Inet für welchen User bestimmt sind und lässt sie gegebenenfalls durch.


de.wikipedia.org/wiki/Bild:Tcp-handshake.png


Amen.

Was den WLAN Router angeht - ich würd wohl zu Netgear (hohe Reichweite, gute Statefull Inspection Firewall mit Blocking Funktion (beliebige Ports können komplett geblockt werden, ausgehend), SMC oder D-Link probieren.
Am besten beim Fachhändler (zb. www.arlt.com oder www.alternate.de wo man das ganze binnen paar Wochen wieder umtauschen kann wenns nicht geht wie es soll.

Übrigens könntet Ihr statt WLAN auch Powerline (zb. Netgear oder Devolo) ins Auge fassen. Schöne Lösung, über das STromnetz des Hauses.
Bitte warten ..
Mitglied: filippg
15.09.2006 um 14:35 Uhr
Naja, ganz so weit von der Richtigkeit war
meine Aussage ganz und garnicht.
Nein, sie war nicht weit davon entfernt, aber sie war auch nicht da. Und zusammen mit deiner tollen Einleitung über "einfaches Thema" ist knapp daneben leider auch viel zu weit.

Was den WLAN Router angeht - ich würd
wohl zu Netgear (hohe Reichweite, gute
Statefull Inspection Firewall mit Blocking
Funktion (beliebige Ports können
komplett geblockt werden, ausgehend), SMC
oder D-Link probieren.
Am besten beim Fachhändler (zb.
www.arlt.com oder www.alternate.de wo man das
ganze binnen paar Wochen wieder umtauschen
kann wenns nicht geht wie es soll.
Was diskutierst du denn jetzt noch so ewig über so ein einfaches Thema herum...

Filipp
Bitte warten ..
Mitglied: SilverHawk1984
15.09.2006 um 22:07 Uhr
Streitet euch doch nicht :P

auf jedenfall sehe ich nun, dass es alles nen bisschen komplizierter wird, als angenommen. Werde nun erstmal eine zweite Fritzbox mitnehmen und mal gucken wie der empfang so is in den stockwerken, auch wenn noch kein internet vorhanden ist.

werde dann das alles nochmal dem vermieter vorstellen und dann werden wir sehn, wie es weiter geht und welche geräte gekauft werden.

werden nun die nächste woche alles nötige klären und mich dann nochmal melden

Ich bedanke mich schon mal für die Hilfe aller!

grüße
Daniel
Bitte warten ..
Mitglied: 27119
18.09.2006 um 08:33 Uhr
MuhahahHAAHAHhahahaha.
Naja, manche Leute sticheln eben gerne hab ich den Eindruck.
Wie wärs mit einem Spatziergang? Macht gute Laune!
Bitte warten ..
Mitglied: filippg
18.09.2006 um 15:01 Uhr
Zumindest habe ich mich über dein erstes Posting ordentlich geärgert. Und nachdem du das auch nicht auf dir sitzen lassen wolltest...

Wie wärs mit einem Spatziergang?
Nein, dann lieber weitersticheln. Mit Federvieh (Spatz) habe ich nichts am Hut.

Filipp
Bitte warten ..
Mitglied: 47362
25.04.2007 um 18:32 Uhr
ach kommt jungs, am anfang klang die Diskussion echt vielversprechend, und dann wird auf einmal ein nerdgespräch draus, das dann ohne ordentliche Lösung beendet wird.
Ich hab dasselbe Problem: ich will ein WLAN-Netzwerk nur für surfen und Emails öffnen. Ich dachte auch, dass dies mit dem Schließen von Ports (nach innen UND außen) möglich ist. Ich habe einen Linksys WRT54GL Router. Gibts da ne Firmware mit der das möglich ist? Oder ne andere Lösung?
Das Problem ist doch noch nicht gelöst denke ich.
Und an den Ersteller: Wie hast DU das jetzt denn gemacht?
Mit freundlichen Grüßen, blissini
Bitte warten ..
Mitglied: SilverHawk1984
25.02.2009 um 16:47 Uhr
Hi,

nen bissel spät meine Antwort:

Ich habe das WLAN Netzwerk doch nicht für den Vermieter eingerichet, da er nicht so ganz davon überzeugt war. Hatte mir dann einen eigenen DSL Anschluss besorgt und erstmal an 3 andere Personen weiterverteilt.

So nach und nach, bin ich dann auf ca. 15 Mitbenutzer meines WLAN Netzwerkes gekommen. Mit nur einer 3000er Leitung
Außerdem hab ich noch 2 andere Fritzboxen als WDS Repeater im Einsatz um die Reicheweiten zu realisieren.

Das ich nicht alles sperren konnte, war mir dann relativ egal. Ich hatte auf die Angsttheorie gesetzt: Allen verständlich gemacht, wenn die illegale Sachen machen dann stehen die auch vor deren Tür.
Außerdem konnte ich bei der Fritzbox immer gut die Auslastung der Leitung beobachten mit Hilfe eines Tools vom AVM.

Jetzt nach fast 3 Jahren hatte soweit alles eigentlich super geklappt. AVM gab immer wieder neue Firewares raus, wodurch immer neue tolle Funktionen verfügbar waren.
Noch ca. 3 Wochen, dann ziehe ich aus der Wohnung aus und das halbe Wohnheim ist ohne Internet. Jedenfalls hat es Spaß gemacht, mal ein "großes" Netzwerk im privaten Bereich zu realisieren und zu verwalten. Außerdem kam ja auch immer das Kleingeld am Anfang des Monat von den anderen. Somit habe ich nie Geld für Internet bezahlt und habe nur auch ne Menge an Hardware die mir gehören.
Wobei ich auch sagen muss, dass es auch ein gewisser administrativer Aufwand war, wenn mal was nich lief.


Jedenfalls nochmals danke an alle, die mir damals geholfen haben!

Grüße
Daniel
Bitte warten ..
Neuester Wissensbeitrag
Humor (lol)

Linkliste für Adventskalender

(3)

Information von nikoatit zum Thema Humor (lol) ...

Ähnliche Inhalte
Netzwerkmanagement
IPTV hinter einer Firewall (T-Entertain an Fritzbox+ZyWALL) (7)

Frage von Venator zum Thema Netzwerkmanagement ...

Windows Server
gelöst Windows Server 2012 mit Fritzbox per VPN verbinden (13)

Frage von StefanT81 zum Thema Windows Server ...

LAN, WAN, Wireless
Fritzbox 3170 als modem und Lancom 1781ew+ als Router (6)

Frage von ItGeek zum Thema LAN, WAN, Wireless ...

Heiß diskutierte Inhalte
Exchange Server
gelöst Exchange 2010 Berechtigungen wiederherstellen (20)

Frage von semperf1delis zum Thema Exchange Server ...

Windows Server
DHCP Server switchen (20)

Frage von M.Marz zum Thema Windows Server ...

Hardware
gelöst Negative Erfahrungen LAN-Karten (19)

Frage von MegaGiga zum Thema Hardware ...

Exchange Server
DNS Einstellung - zwei feste IPs für Mailserver (15)

Frage von ivan0s zum Thema Exchange Server ...