Hallo.
Ich habe schon mal im Forum nachgesehen, aber leider keine Lösung gefunden. Es geht um folgendes:
Ich möchste natürlich die Firewall so dicht wie möglich machen, also möchte ich einige Regeln erstellen, die für mehr Sicherheit sorgen, was ich aber nicht hinbekomme.
Beispiel:
http => Eingehende Pakete kommen von einer beliebigen IP, aber immer von Port 80. Bei mir kommen sie aber immer auf Ports > 1024 an.
Dies bedeutet, ich müßte eine Regel erstellen, die als Sourceport=80 und DPT=>1024 hat.

Wie bekomme ich das hin?
Hab ich was nicht verstanden?

Danke für Eure Hilfe.

PS: Hab den Router jetzt 2 Tage und bin bisher sehr zufrieden...

Hi,

was hast Du denn auf Deiner Seite, was man von außen erreichen muss?

Ein "Umbiegen" von Ports geht (derzeit) nicht. Steht auch schon auf der Wunschliste.

Chris

Hm, ich glaube, ich habe mich noch nicht klar genug ausgedrückt.
Es geht mir darum, möglichst alle Ports von außen dicht zu machen. Wenn ich beispielsweise nur http zulassen will (also mit meinem Browser eine Seite ansehen will), dann gehe ich von intern (mein lokales Netz bzw Router) auf den Webserver. Dieser antwortet mit seinem Sourceport 80 auf einen beliebigen (Destination-)Port >1024 zu meinem Browser. Ich muß also bei mir sagen können:
Laße nix rein, es sei denn, es ist von beliebiger IP mit dem Sourceport 80.
Damit würde ich dann http-Verkehr erlauben.
Zur Zeit muß ich von extern alle Ports >1024 reinlassen, da ich ja nicht einstellen kann, von wo die Pakete kommen.

Ist das so, oder sehe ich da was falsch ?

Hm, keiner eine Idee ??
:(

Wenn Du (Dein Rechner) nach außen eine Anfrage stellt (und dabei ist es egal welcher Sourceport es auf Deiner Seite ist) wird eine Antwort automatisch durch die SPI Firewall durchgelassen. Das ist ja Sinn und Zweck der SPI Firewall, denn die "merkt", daß das Paket angefordert wurde und somit rein darf. Deswegen brauchst Du für's normale Surfen auch keine Ports extra aufmachen.

Aber das war sicher nicht die Antwort.

Es werden bei einer SPI Firewall alle Pakete abgeprüft, ob sie angefordert worden sind oder nicht. Wenn nein, dann werden sie verworfen. Wenn ja, dürfen sie rein...

Und da du keinem Hacker eine Einladung schickst, kommt auch keiner rein.

Wo ist jetzt das Problem?

Chris

Das bedeutet wohl, daß ich beispielsweise Regel 17 nicht brauche, oder?
1 Ping Allow Incoming icmp any
2 Ping Allow Outgoing icmp any
3 DNS Allow Incoming udp 53
4 DNS Allow Outgoing udp 53
5 FTP Allow Incoming tcp 20-21
6 FTP Allow Outgoing tcp 20-21
7 HLSW Allow Incoming <ServerIP> udp 7130
8 Steam 1 Allow Incoming udp 1200
9 Steam 2 Allow Incoming udp 27000-27015
10 Steam 3 Allow Incoming tcp 27030-27039
11 Staem 4 Allow Incoming udp 1829
12 Steam 5 Allow Incoming udp 1889
13 SSH Allow Incoming tcp 22
14 SSH Allow Incoming udp 22
15 SSH Allow Outgoing udp 22
16 SSH Allow Outgoing udp 22
17 HTTP Allow Incoming tcp 1024-65535
18 HTTP Allow Outgoing tcp 80
19 HTTPS Allow Incoming tcp 443
20 HTTPS Allow Outgoing tcp 443
21 EMail POP3 Allow Incoming <ServerIP> tcp 110
22 EMail POP3 Allow Incoming <ServerIP> tcp 110
23 EMail SMTP Allow Outgoing <ServerIP> tcp 25
24 EMail SMTP Allow Incoming <ServerIP> tcp 25
25 deny all Deny Incoming all

Mir ist das Prinzip dieser FW schon klar, aber wenn ich Regel 17 lösche, kommt kein http-Paket mehr rein => surfen unmöglich.
Desweiteren will ich ja auch nicht meinen Sourceport öffnen, sondern ich will eine Regel erstellen, die abfragt, von welchem Sourceport des Servers die Daten kommen und diese dann ggf reinlassen.
Ein sinnvilles Regelkonzept läßt erstmal nichts rein und macht dann die Ports auf, die benötigt werden, deswegen ja auch die letzte Regel.
Aber was ganz anderes: Wo steht, das dieses eine SPI-FW ist? ich muß das wohl überlesen haben.

Ich bin der festen Überzeugung, daß Du so einige Regeln nicht brauchst.

Die SPI Firewall ist immer aktiv. Die schließt zunächst alle Ports. Da man aber mache Ports auf machen muß, kann man das auf zwei Arten machen: entweder Virtual Server -> der Port x wird für (interne) IP y freigeschaltet. Oder über dem Punkt Firewall, wo man dediziert Ports dann aber fürs gesamte Netzwerk auf und /oder zu machen kann.
Ein sinnvilles Regelkonzept läßt erstmal nichts rein und macht dann die Ports auf, die benötigt werden, deswegen ja auch die letzte Regel.
Aber was ganz anderes: Wo steht, das dieses eine SPI-FW ist? ich muß das wohl überlesen haben.
ACK!! Und deswegen ist die SPI Firewall immer da und aktiv. Mit dem Punkt "Firewall" kann man sich nur gezielt Löcher da reinbauen (oder eben absolut zu machen). Und Du hast ne Menge Löcher eingebaut.

Ach: http://www.ovislink.de/WMU9000.htm

Chris

Also wenn ich das richtig sehe, brauche ich keinerlei Regeln, da alles annährend automatisch geht, richtig?
Kannst Du mir eventuell mal eine Liste sinnvoller Ports nennen, die man aufmachen sollte, oder muß ich im Endeffekt nichts aufmachen.

Sorry, hab bisher nur Linux-FW´s zusammengebaut (ohne SPI), und da isses etwas anders...

PS: Danke für die Hilfe und für die Unterstützung meiner Blindheit :wink:

Ja, Du siehst das richtig. Eigentlich brauchst Du keine besonderen Regeln definieren. Außer Du hast einen Server im LAN, der auch von draußen zu erreichen sein muss. Wobei ich dann das Loch über Virtual Server machen würde. Das beschränkt zumindest die Ziel-IP auf eine und Du hast kein komplettes Loch im Netz.

Ansonsten alle Regeln löschen und fertig :) So einfach kann's sein!

Chris