Betreffende Geräte (incl. Hersteller-, Hardware Revision- sowie Firmware Version- und Build -Angaben): DIR-300
Betreffender WLAN-Client Adapter (incl. Hersteller-, Hardware Revision- sowie Treiber Versions- und Build Angaben): Hardware-Version : B1 Firmware-Version : 2.04
Welche WLAN-Verschlüsselung ist aktiviert?: Keine
--------------------------------------------------------------------------------------------------------------------
Betriebssystem & ServicePack: winxp sp3
I-Net Browser:
--------------------------------------------------------------------------------------------------------------------
Provider & Zugangsart:
MTU-Wert im Router:
MRU-Wert im Modem/Modem-Router:
VPI-Wert im Modem/Modem-Router:
VCI-Wert im Modem/Modem-Router:
--------------------------------------------------------------------------------------------------------------------
Ist eine Software-Firewall vorhanden (auch wenn deaktiviert)?: Nein, weder installiert noch deaktiviert
Software-Firewall:
--------------------------------------------------------------------------------------------------------------------
Ist Filesharing im Einsatz?: Nein
Filesharing-Programm u. Vers.:
--------------------------------------------------------------------------------------------------------------------
Wie bezeichnest Du Deinen LAN/WLAN Wissensstand?: Einsteiger (= ich habe noch keinen bzw. schon mal einen PC an das Internet angeschlossen)
--------------------------------------------------------------------------------------------------------------------
Was hast Du gemacht und/oder installiert, bevor das Problem aufgetreten ist?:
Was hast Du bereits versucht, um das Problem zu lösen?:
garfieldhh hat folgendes geschrieben:
Und hier nun meine detailierte Fehlerbeschreibung und Nachricht:
Hi,
ich frage mich gerade wie ich in den Firewallsettings das ganze so einstellen kann, dass nur zugelassene IP's von meinem Router akzeptiert werden.
Ich kann zwar immer alles blockieren, aber ich kann nicht sagen, alles ist geblockt, außer z.b. SRC: 101.100.2.204.
Wie mache ich das?
Moin garfieldhh
Deine Threadbezeichnung:
garfieldhh hat folgendes geschrieben: Titel: Firewall Regeln
ist sowas von nichtsaussagend, dass ich deine Anfrage fast in unsere Temp-Kammer verschoben wollte. Du kennst unsere Regeln und Hinweise genau, also halte dich bitte auch daran :!:
Zu deiner Frage:
1) Was ist "SRC" bei dir?
2) In deinem dt. DIR-300 Handbuch auf Seite 54 ist doch alles dazu einwandfrei und gut verständlich dazu beschrieben!
Zitat: Zugangskontrolle
Mit MAC-Filtern (Media Access Control) können Sie den Netzwerkzugriff für LAN-Computer (Local Area Network) mit bestimmten MAC-Adressen verweigern oder
genehmigen. Die MAC-Adresse kann entweder manuell eingegeben oder aus einer Liste der Clients ausgewählt werden, die mit dem Breitbandrouter verbunden sind.
Quelle: Dein dt. DIR-300 Handbuch
3) Sollte ich deine Frage nicht richtig verstanden haben, dann stelle sie bitte so das sie verständlich ist. :wink:
danke für deine Antwort. Möchte dir hiermit gerne ausführlich auf deine Punkte antworten.
Ich bin hier neu und kenne somit die Regeln und Hinweise nicht "genau". Muss gestehen, dass die Informationsflut doch ziemlich erheblich ist die hier auf einen einströmt und somit verliert man dann schon den Blick für das vielleicht für euch Wesentliche. Auch bin ich keine technisch gut betuchte Person und bin der Meinung, dass ich alles wichtigen Informationen verpackt habe.
Daher weiß ich nicht genau was ich falsch gemacht habe oder welche Information fehlt. Ich habe ein DIR-300, Hardware: B1, Firmware: 2.04 und versuche die Firewall so zu konfigurieren, dass generell alles geblockt ist, außer die IP-Adresse welche ich freigeben möchte.
Ich bin also bei Erweitert>Firewall & DMZ. Von MAC rede ich also überhaupt nicht. Vielleicht habe ich hier aber ganz falsche Vorstellung von der Funktion.
Ich wollte alles blockieren und z.b. nur Google ganz simple über die IP-Range von 209.0.0.0 - 209.255.0.0 freigeben und somit nur noch Google auf dem PC aufrufbar machen. Das ist als reines Beispiel zu verstehen.
Unter Umständen gibt es dafür ein besseres Sub-Forum für derartige Fragen? Dachte ich beziehe mich lieber direkt auf das Forum meines erworbenen Routers.
Z.b. wäre da auch die Frage, ob alle nicht angeforderten Anfragen durch die Firewall rigeros verworfen werden? Ich vermute es wenn ich in das Protokoll schaue und etwas lese von wegen "Drop TCP packet from WAN (src:X.X.X.X:7632, dst:Y.Y.Y.Y:80) by default rule".
Lässt sich irgendwo diese default rule deaktivieren?
garfieldhh hat folgendes geschrieben:
Z.b. wäre da auch die Frage, ob alle nicht angeforderten Anfragen durch die Firewall rigeros verworfen werden? Ich vermute es wenn ich in das Protokoll schaue und etwas lese von wegen "Drop TCP packet from WAN (src:X.X.X.X:7632, dst:Y.Y.Y.Y:80) by default rule".
Lässt sich irgendwo diese default rule deaktivieren?
Hallo garfieldhh
Bei einem Gateway-Router mit einer NAT und Firewall werden alle Anfragen aus dem LAN an das WAN bei Eintreffen der Antworten vom Zielserver durch den Router durchgelassen und an den anfragenden LAN Client weitergeleitet. Oder andersherum: Alles was nicht aus dem LAN an das WAN bestellt wird, wird vom Router geblockt. Vorausgesetzt man hat nicht irgendwelche Einstellungen im Router getätigt, die dieses verhindern, oder einen LAN Client in die DMZ gelegt.
Es würde also schon deswg. keinen Sinn machen irgendwelche WAN IP Adressen zu blockieren. Außerdem solltest du dich fragen, wie so ein Hobby-Router über 4 Milliarden IPv4 Adressen für Regeln aufnehmen könnte, nur weil einer lediglich die Server IP von sagen wir mal Google erlauben möchte! :wink:
ich finde schon, dass es Sinn machen kann alles zu blockieren und nur gewünschtes durchzulassen. Rein theoretisch kann es ja passieren, dass mein Computer Dinge anfordert die ich gar nicht haben möchte. In dem Fall wäre ein solch konfigurierter Router genau das richtige "Bollwerk" um ins Internet zu gehen und nur ausschließlich das Gewünschte anzufordern und geliefert zu bekommen
Praktisch wäre noch zu Wissen in welcher Reihenfolge die Regeln anzulegen sind, damit dies möglich wird. Solche praxisbezogenen Informationen fehlen in dem Handbuch und sind auch irgendwie schwer zu erhalten. Ich glaube nun bin ich wohl von alleine durch rumprobieren auf die Lösung gestoßen.
garfieldhh hat folgendes geschrieben:
1) ich finde schon, dass es Sinn machen kann alles zu blockieren und nur gewünschtes durchzulassen. Rein theoretisch kann es ja passieren, dass mein Computer Dinge anfordert die ich gar nicht haben möchte. In dem Fall wäre ein solch konfigurierter Router genau das richtige "Bollwerk" um ins Internet zu gehen und nur ausschließlich das Gewünschte anzufordern und geliefert zu bekommen
2) Praktisch wäre noch zu Wissen in welcher Reihenfolge die Regeln anzulegen sind, damit dies möglich wird. Solche praxisbezogenen Informationen fehlen in dem Handbuch und sind auch irgendwie schwer zu erhalten. Ich glaube nun bin ich wohl von alleine durch rumprobieren auf die Lösung gestoßen.
n´Abend garfieldhh
1) Nun muss ich dir aber mal etwas klarstellen:
Du erwartest scheinbar von einem DIR-300 20,00 Euro Heim- und Hobby-Router Sicherheits-/Firewall-Features die lediglich Profigeräte ab ca. 300 bis über 2.000 Euro bieten. Mit Verlaub, aber irgendwie scheinst du da ein wenig an der Realität vorbei zu denken. Wenn du wirklich solche Sicherheits-Features willst, dann frage ich mich warum du dir dann einen Billig-Router, und der DIR-300 ist fast einer der billgsten Gateway-Router überhaupt, gekauft hast! :wink:
Wenn, dann käme für deine Ansprüche, deine Anforderungen doch nur eine Hardware Gateway Firewall in Betracht.
Hier mal ein paar Beispiele, welche sicherlich für dich nicht in betracht kommen würden. Schon deswg nicht, weil deren Administration, Einrichtung einiges mehr an fundierten Kenntnisse verlangt als die Bedienung und Einrichtung eines 20 Euro DIR-300 Routers!
Ob für dich eine der div., aus meiner Sicht unnützen Heim- und Hobby Software in Frage kommen könnte kann ich nicht beurteilen. Empfehlen kann ich sowas jedenfalls nicht.
Zum Lesen:
:arrow: http://www.fefe.de/pffaq/
Die größte Sicherheitslücke ist der Anwender selber und nicht seine Technik! \:D/
2) Dann würden sich sicherlich viele freuen, wenn du deine Lösung(en) hier bekannt geben würdest - Danke.
mit diesen Erwartung bin ich an den Router herrangegangen, egal ob ihn andere nun als Haus und Wiesen Router bezeichnen, da die Adminpoberfläche etwas in dieser Richtung verlauten lässt.
Die Firewallregeln werden so interpretiert, dass die oberste die höhste Priorität hat. Das widerspricht allerdings der menschlichen Art von oben nach unten zu lesen.
DENY Source * Protokoll: ALL
WAN *
ALLOW Source * Protokoll: ALL
WAN 209.85.149.147
Erwarten tut man alles blockieren und folgend die Ausnahme(n) [google ip] erlauben. Man muss diese Regeln aber genau andersherum anordnen um das gewünschte zu erreichen.
Beispiel:
DENY Source * Protokoll: ALL
WAN 209.85.149.147
ALLOW Source * Protokoll: ALL
WAN 209.0.0.0 - 209.255.0.0
DENY Source * Protokoll: ALL
WAN *
Von unten angefangen: Alles blockieren, dann eine Range freigeben in der sich Google befindet und dann eine einzelne IP dieser Range wieder sperren.
Wie gesagt, in der Natur des Menschen liegt es eben von oben nach unten zu lesen. Wenn man sich vor Augen führt, dass man keine Regeln einfügen kann bzw. deren Reihenfolge nachträglich nicht verändern darf, bleibt einem nur zu sagen, dass die Usabilityverantwortlichen geschlafen haben. Soetwas würde ich auch bei einem 20 € Router nicht entschuldigen wollen.
Vielen Dank für dein Lösungsbeispiel.
Allerdings stellt sich mir nun die Frage, ob dann auch alle WAN-Antworten/-Pakete geblockt werden, welche von einem LAN Client an das WAN angefordert wurden?
mit den Regeln wird bei mir nichts mehr an das Internet gesendet. Die Firewall blockiert damit alle ausgehenden Verbindungen, außer eben jene die man erlaubt hat.
Apr 5 23:49:36 Drop TCP packet from LAN (src:192.168.0.100:1130, dst:213.183.195.34:80) by firewall rule.
In dem Zusammenhang bin ich aber auf eine andere Schwäche gestoßen die mich natürlich im ersten Moment etwas beunruhigt hat. Im Protokoll/Log werden nur ankommende (vom WAN->LAN) geblockte Verbindungsversuche auf Port 80 protokolliert. Alles andere wird nicht im Log aufgeführt. Das finde ich ziemlich daneben, handelt sich aber nach erster Erkenntnis nur um einen Anzeigefehler.
Andererseits werden alle ausgehenden (vom LAN->WAN) genau mitprotokolliert., ob nun HTTPS 443, FTP 21 oder TELNET 23.
Darauf werde ich vermutlich keine passable Antwort erhalten können? Außer vielleicht, dass ich solche Bugs bei einem 20€ Router akzeptieren muss?
Telefon Support
|
