Hallo,
mein DSL-Router samt integriertem Modem (T-Sinus 154 Basic) hat eine Firewall und ich frage mich, wie ich diese konfigurieren soll.
Insbes., welche Ports ich öffnen bzw. schließen soll. Ich möchte alles dicht machen und dann einzelne Ports zulassen, eben nur die, die ich brauche zum normalen Surfen plus E-Mail und ggf. FTP. Weiß jemand, welche Ports ich dazu brauche, auch die vielleicht weniger offensichtlichen?
80 allein wird wohl nicht reichen und ich möchte nicht mühsam Stück für Stück herausfinden müssen, was noch offen sein muss, damit alles funktioniert.

editiert by Nangie

[ 19. Juni 2004, 15:08: Beitrag editiert von: Nangie ]

@Nangie: Ein gefährlicher Tip.

@Martin: Zum Surfen müssen bei deinem DSL-Router gar keine Ports offen sein. Der Router leitet die Verbindungsanfragen deines Rechners ins Internet weiter. Er selbst muß und darf keine Verbindungen aus dem I-Net annehmen, und wenn du kein Filesharing (emule o. dgl.) machst, brauchst du auch keine Weiterleitungen/Portforwardings zu deinem Rechner einzurichten.

HTH,
docprantl

So isses (warum poste ich eigentlich /heute/ stets 1min später als prantelchen?).

Cobra

PS: edit /heute/

[ 19. Juni 2004, 13:38: Beitrag editiert von: Cobra ]

Hab mich selber `zensiert`

Wenn du den Paketfilter konfigurierst, kannst du inbound alles auf geschlossen oder stealth setzen. Outbound benötigst du verschiedene Ports:
25 und 110 zum mailen
80 zum surfen
443 für ssl-Verbindungen ( z.B. Bank )
53 zumindest für T-Online DNS
Wenn du etwas via FTP abwickeln musst ( upload ) dann noch Port 21.
Wenn das nicht funktioniert, versuche mal Port 20 auch noch, NOB benötigt das z.B.
Du kannst aber auch mit dem kostenlosen Programm active-Ports erstmal schaun, welche deiner Programme überhaupt ne Verbindung nach "aussen" benötigen.
Rudi

</font><blockquote>Zitat:</font><hr />Original erstellt von Rudi Carrera:
Outbound benötigst du verschiedene Ports:</font>[/QUOTE]Erklär mal, warum er als Privatanwender "outbound" nur einige und nicht alle Ports freigeben soll und welches "Mehr an Sicherheit" ihm das bringen soll.

*Keuch* *Ächz* *Brüll*

Himmel, Rudi, was redest Du denn da für einen Blödsinn?

Cobra (jetzt Fußball)

PS: Du mußt ganz sicher keine Ports freigeben, schon gar keine, die Server benötigen.

Hi,

"inbound" "outbound": komm schon völlig durcheinander damit. Komme besser klar mit rausgehenden bzw. ankommenden Traffic. Habe begriffen, dass ich bei meinem neuen Router Teledat 630 Ports für den rausgehenden Traffic sperren bzw. freigeben kann. IM Menu Dienste werden nun in einem Pulldown.Menu eine Reihe von Ports und deren Bezeichnungen genannt, die man sperren bzw. freigeben kann. Bei TCP und UDP habe ich noch eine vage Vorstellung, was sich dahinter verbergen könnte. und dass man diese benötigt. Bei vielen anderen Bezeichnungen allerdings nicht. Hier einige Beispiele:

AUTH; BGP; BOOTP-CLIENT; BOOTP-SERVER; CU-SEEME; FTP H.323HTTP;HTTPS; IPSEC-TRANSPORT/TUNNEL...;IPSEC-TUNNEL; NFS; NNTP; PPTP; RCMD; REAL-AUDIO; REXEC; RLOGIN; RTELNET; RTSP; SFTP;SMTP; SQL-NET;SSDP; SSH; STRMWORKSSYSLOG; TRACAS; TELNET; TFTP; VDOLIVE
Ich meine hier irgendwo eine Port-Liste gesehen zu haben, bei der aber lediglich nur die Bezeichnungen für die Ports angegeben waren, jedoch keine Erklärungen zu den jeweiligen Diensten fehlten.

Würde mich freuen, wenn ihr mir sagen könnte, wo ich eine Portliste finde, die nicht nur den Dienst für den jeweiligen Port benennt, sondern auch erklärt. Nur wenn ich weiß, was sich hinter einzelnen Bezeichnungen verbirgt kann ich entscheiden, was ich blockiere und was nicht.

Gruß
Wattwurm

Das wird dir nun ganz genau Cobra erörtern! mail ihn ruhig an. er wird dir dann auch erklären, wie du bei einem T-Online-Account Port 53 schliesst und es trotzdem funzt!
Rudi

PS: Ich vergaß, ich möchte in meinem Netz nur die eben notwendigen Ports freigeben. Sollte ein Programm ( was auch immer ) versuchen über einen anderen Port ins Internet zu gelangen, so hats halt Pech! Des Weiteren kann ich auch so steueren, wer was darf und wer nicht! Bedenke, es gibt auch noch Schutzbefohlene!

[ 19. Juni 2004, 21:01: Beitrag editiert von: Rudi Carrera ]

Hallo,
offenbar unterliege ich einem grundsätzlichem Verständnisirrtum...
Der Router ist doch zwischen Web und PC und steuert den Datenverkehr zwischen diesen beiden und das in beide Richtungen. Wenn ich nicht z.B. 80 am Router freigebe, dann kommt doch nichts rein zum PC und auch nichts raus (z.B. meine normalen Anforderungen)!? Müsste dementsprechend nicht 80 in beide Richtungen offen sein? Analog E-Mail-Ports ect.?

"Er selbst muß und darf keine Verbindungen aus dem I-Net annehmen, und wenn du kein Filesharing (emule o. dgl.) machst, brauchst du auch keine Weiterleitungen/Portforwardings zu deinem Rechner einzurichten".
Auch wenn der Router selbst nichts annimmt, sondern "nur" weiterleitet: Leitet er dann echt an 80 weiter, obwohl ich im Router 80 nicht freigegeben habe?

Hallo docprantl,

habe, glaube ich, dieselben Verständnisproblem wie Martin.

Auf Martins Frage:

"Wenn ich nicht z.B. 80 am Router freigebe, dann kommt doch nichts rein zum PC und auch nichts raus ...Müsste dementsprechend nicht 80 in beide Richtungen offen sein?"

Du verweist als Antwort auf ein früheres Posting in dem es heißt

"Er (der Router) selbst muß und darf keine Verbindungen aus dem I-Net annehmen"

Ich weiß nicht wie es Martin damit geht, vielleicht bin auch zu doof, um das zu verstehen.
Deswegen nochmals die Bitte um eine für einen Laien nachvollziehbare Antwort für folgende Frage:

Wie kann ich surfen, wenn laut docprantl der Router, der ja wie Martin schon sagte auch nach meinen Verständnis so eine Art Haupttor zwischen Internet und PC darstellt, "keine Verbindung aus dem Netz annehmen muss und darf " ??

Vielleicht liegt das Problem darin, dass (bei uns)
nicht so richtig klar wird, was in welcher Richtung kontrolliert wird. Beim Teledat Router 630 gibt es zwei grundsätzliche Möglichkeiten bei der Portfreigabe einzugreifen.

1. über das Menu Stateful-Inspection-Firewall&gt;Dienste. Hier könne eine Reihe von Ports "für den aktiven Verbindungsaufbau des Routers mit einzelnen Diensten gesperrt werden". Um welche Dienste es sich handelt, habe ich oben bereits gesagt. So wie ich es verstanden habe, handelt es sich hierbei um Dienste/Anfragen des PC's an das Internet, d.h. um raussgehenden Traffic.

2. Erweiterte Nat-Konfiguration: Dabei geht es laut anleitung darum, Anfragen aus dem Internet ohne (Routerkontrolle?) direkt an bestimmte Computer im lokalen Netzwerk freizugeben. Wozu das gut sein soll, habe ich noch nicht so richtig verstanden. Habe aber den Eindruck, dass zunächst einmal Punkt (1) entscheidend ist.

Wäre schön, wenn ihr bei der Behebung von Missverständnissen, Wissenslücken auch hier weiterhelfen könntet.

@Rudi: Habe keinen T-Online-Account,also darf ich dns nicht sperren oder ? Cobra habe ich angemailt. Fände es gut, wenn Cobra die Antwort ins Forum stellen würde. Dafür ist es doch da oder ?

Gruß
Wattwurm

PS: Benutze seit neuestem Opera. Kann mir jemand sagen, warum ich keine Vorschau mehr machen kann?
Klicke ich auf den Button "Vorschau" passiert nichts.

Normalerweise sollte es auch ohne Port53 gehen. Da ich das nur bei T-Online ausprobiert habe, bei denen gehts nicht, kann ich zu anderen Providern nichts sagen ( probiers doch einfach mal aus ). Da von den beiden anderen Herren ja recht konstruktives kommt....., was die beiden meinen, ist das "Dichtmachen" aller Ports inbound, also " eingehend"! Es funktioniert auch, wenn ihr outbound, also "ausgehend" den Paketfilter ausschaltet. Da ich von hier nicht beurteilen kann, wie euer LAN sonst so aussieht, ob es da vielleicht den ein oder anderen User ( Kind ) gibt, für den/die bestimmte Dinge nicht erlaubt sein sollen, müsst ihr das mal posten. Wir unterbinden damit bestimmte Möglichkeiten, die ich hier aber nicht näher erläutern werde. das muss ein jeder mit sich selbst ausmachen!
Nur mal so eine Geschichte von Freunden von uns: Da steht doch tatsächlich irgendwann einmal ein seltsamer Herr vor der Türe und möchte sich mit der 19 jährigen Tochter treffen....es gibt aber nur ne 13jährige, die sich im Chat, als die Eltern nicht da waren, eben als die 19 jährige ausgegeben hat. Nach einem sehr ernsten gespräch, kamen dann Sachen rauzs, da vergehen einem hören uns sehen. Die Familie hat heute auch ne andere Telefonummer.
Aufklärung und ein gewisser Schutzmechanismus für die Kleinen, sowie ein gerüttet Maß an Kontrolle sind ein probates Mittel, solchen Unsinn, der gefährlich werden kann, zu unterbinden. Auch dafür kann man einen Paketfilter und einen Contentfilter gebrauchen. Und das gerade in einem privaten LAN!
Es soll nämlich auch Familen mit mehreren Rechnern geben.....
Auch so mancher Wurm bringt keine Daten über nen geschlossenen Port raus!
Rudi

PS: Es gäbe zwei Rückschlüsse von Cobras Post:
1) du lässt alle Ports offen
2) du sperrst alle, hast zwar größtmögliche Sicherheit, nur haste auch keine Verbindung zum I-Net!!
Na, da bin ich ja mal gespannt....

Hi Wattwurm,

habe mir mal die Bedienungsanleitung Deines Routers angesehen. Für meine Begriffe ist das eine sehr fragwürdige Option, die wenig bis nichts zur Sicherheit des Netzes beiträgt. Zur Erklärung: mit dieser Option kann man dem gesamten LAN den Zugriff auf verschiedene Dienste vorenthalten. Wie auf S. 33 geschildert, könnte man somit erreichen, daß die Anfrage nach einem ftp-Server (Server- bzw. inbound port 21) verworfen wird. Das hat nichts mit einem Port zu tun, den man clientseitig schließt! Noch einmal: Du schließt hier keine Ports! Schließlich läuft der ftp-Dienst, den man erreichen will, nicht auf einem der Clients, sondern eben auf einem (remote) Server. Man schießt sich gewissermassen nur selbst in den Fuß, da man u.U. wichtige Dienste nicht mehr erreichen kann.

Ich würde diese Option höchstens dann für einsichtig halten, wenn man sie auf bestimmte Rechner innerhalb des LANs beschränken könnte. Eine Art Kindersicherung, weil man z.B. nicht will, daß Sohnemann sich permanent etwas von zwielichtigen ftp-Servern herunterlädt. Leider ist das laut Bedienungsanleitung nicht der Fall, sondern betrifft stets alle Rechner im LAN.

Jetzt könnte man argumentieren: ja, aber dann kann sich auch keine Malware mit einem ftp-Server verbinden! Das wäre aber grundfalsch, denn zum einen startet die Malware den Server, und zum anderen ist diese in den seltensten Fällen so primitiv gestrickt, daß man dadurch einen Zuwachs an Sicherheit hat.

Lange Rede kurzer Sinn: ich würde hier keinen Dienst blockieren. Falls Du das doch willst, gib zumindest diejenigen frei, die Du ganz sicher brauchst (http, https, ftp) und behalte im Hinterkopf, daß Du den Zugriff auf eine Reihe von Diensten unterbunden hast, falls mal etwas nicht gehen sollte.

Wichtiger für Deine Sicherheit ist, daß bei Dir alle Ports zu sind. Überprüfen kannst Du das z.B. hier:

http://check.lfd.niedersachsen.de/start.php

</font><blockquote>Zitat:</font><hr />
Würde mich freuen, wenn du mir sagen könnte, wo ich eine Portliste
finde, die nicht nur den Dienst für den jeweiligen Port benennt, sondern auch erklärt. Nur wenn ich weiß, was sich hinter einzelnen Bezeichnungen verbirgt kann ich entscheiden, was ich blockiere und was nicht.
</font>[/QUOTE]Eine solche Liste gibt es nicht. Stell Dir mal vor, wie lang die wär (bei 65535 ports).... Da mußt Du leider in den sauern Apfel beißen und nach den einzelnen Bezeichnungen googeln.

Hoffe, das Dir die Sache jetzt klarer ist.

Cobra

PS: Fast hätte ich's per Mail abgeschickt, aber Du hast recht: hier ist das sinniger. Das Zitat stammt deshalb aus Deiner Mail.

</font><blockquote>Zitat:</font><hr />Original erstellt von Wattwurm:
1. über das Menu Stateful-Inspection-Firewall&gt;Dienste. Hier könne eine Reihe von Ports "für den aktiven Verbindungsaufbau des Routers mit einzelnen Diensten gesperrt werden". Um welche Dienste es sich handelt, habe ich oben bereits gesagt. So wie ich es verstanden habe, handelt es sich hierbei um Dienste/Anfragen des PC's an das Internet, d.h. um raussgehenden Traffic.
</font>[/QUOTE]Richtig. Da hätte ich mir mein langes Gerede oben ja sparen können, wenn ich vor dem Posten nochmal gelesen hätte....
</font><blockquote>Zitat:</font><hr />
2. Erweiterte Nat-Konfiguration: Dabei geht es laut anleitung darum, Anfragen aus dem Internet ohne (Routerkontrolle?) direkt an bestimmte Computer im lokalen Netzwerk freizugeben. Wozu das gut sein soll, habe ich noch nicht so richtig verstanden. Habe aber den Eindruck, dass zunächst einmal Punkt (1) entscheidend ist.
</font>[/QUOTE]Betrifft Server, die Du auf Deinem Rechner laufen lassen willst. Ein bekanntes Beispiel ist Emule. Normalerweise mußt Du hier nichts eintragen.
</font><blockquote>Zitat:</font><hr />
PS: Benutze seit neuestem Opera. Kann mir jemand sagen, warum ich keine Vorschau mehr machen kann?
Klicke ich auf den Button "Vorschau" passiert nichts. </font>[/QUOTE]Die Vorschau erfordert Javascript und ist ein Popup ("block unwanted popups" einstellen).

Cobra