|
Port Forwarding
Hallo Alle,
Ein Thema, dass ich bis jetzt gänzlich ignoriert habe ist Port Forwarding. Allerdings habe ich festgestellt, dass ich um einiges schneller unterwegs bin, wenn ich die Port Forwarding Funktion meines Routers dezidiert nutze. Warum ist das eigentlich so? Bzw. sollte ich dann für alle meine Applikationen Port Forwarding einrichten, oder nur für bestimmte? (Ein bisserl hab ich auch schon im Internet geschaut, aber ich würd's halt so gern auch von Euch wissen! ;)) lg & Danke, revell |
du sollst überhaupt keine ports forwarden ausser du betreibst einen server, also zb. 80 beim webserver, oder 21 beim ftp server. Schneller wird dadurch auch nichts, ausser vielleicht beim netgear router der einfach nur auf mysteriöse art und weise funktioniert wenn überhaupt.
|
Zitat:
|
.
Schneller ist schon möglich weil die RechenLeistung vom Router bergrenzt ist und forwarding zuerst ausgeführt wird, also Vorrang hat. Ist am Router ein Port-forwarding eingerichtet leitet der Router einkommende Pakete für diesen Port ungeprüft weiter, normal würde NAT eine bestehende ausgehende Verbindung prüfen und nur Pakete anenehmen wenn eine Verbindung zuvor von dir zum Absender aufgebaut wurde. Den Vorteil von NAT hast also verloren, daher mußt die Verbindung auf dem Port mit einer Firewall beschränken um die Tür zuzumachen. Allerdings haben sowohl Hardwall wie Softwall eine Durchlaufzeit was den Ping wieder etwas drücken wird. |
Das spielt sich aber bei jedem halbwes vernünftigen Router (und damit meine ich auch absolute Billigsdorfergeräte) im nicht-wahrnehmbaren Bereich ab.
Außerdem wofür soll er den Port-Forwarding einrichten? Die meisten Client-Anwendungen verwenden dynamische Ports. |
Zitat:
Stimmt nicht, die meisten Anwendungen haben einen festen Bereich von Ports den sie nutzen, dazu erlauben viele Router PortRange-forwarding einzurichten, forwarding wird zuerst ausgeführt und ist praktisch ein Tunnel die Paktete müssen nicht berechnet oder gespeichert werden und damit haben sie in jedem Router die geringste Durchlaufzeit. Bei Freigabe der gesammten PortRange hast immer noch die Netze getrennt, erzielst die gleiche Perfomance wie bridging-transparent und hast dennoch eine Trennung der Netze. VPN schließt die Nezte explizite zusammen. Zitat:
Dennoch wird es nötig sein um Server zum laufen zu bekommen. Server sind Anwendungen die Daten ans Netze schicken oder welche Empfangen ohne Benutzerzutun, daher alle Spiele, FileShareing, VoIP ect. Die Ports diese Progis mußt dann mit einer Firewall beschränken, daher die offene Tür zumachen. |
Zitat:
Immerhin, ein ping auf meine dyndns Adresse verleiht mir zumindest die Sicherheit: Strom hat er. Ich Depp kaufe auch noch den teuersten Router weil ich auf Nummer sicher gehen wollte und damit dem Apache, FTP und Fileserver dahinter nichts passiert. Und selbst nach Firmwareupdate, einem ganzem Wochenende FAQ und Forumslesereien ... nix geht. Dafür komme ich seit dem Firmwareupdate von keinem der angeschlossenen Rechner mehr auf ebay oder worth1000.com Netgear => zukünftig in der Geldbörslblocklist. :hammer: Was soll ich als Konsument viel machen ???? Kaufst heute Billigschrott ... angsch.... Kaufst heute das Teuerste ... angsch.... Und in der Firma mache ich derzeit nichts anderes als Motherboards wechseln weil sich bei den Intel boxed CPUs irgendwie eine weißliche Flüssigkeit von den auf den Kühlkörpern vormontierten Wärmeleitpads absondert und die Brettln im Anschluß nur mehr ins Bios aber nicht mehr weiter kommen. Oder es bördelt die die CPU umgebenden Elkos auf. Ganz ohne Blitz oder Überspannung. Komisch .. mein alter C64 läuft noch heute .... |
naja, zu C64 Zeiten gab's auch noch 'ne Qualitätssicherungsabteilung mit 25 Frau/Mann ...
heutzutage müssen das die Putzfrauen miterledigen :p ... :lol: Mike |
vielleicht meint revell auch den emule client. da ist man mit "portforwarding" schon um einiges schneller unterwegs ;)
|
also so sicher is NAT auch wieder nicht - hast am Rechner einen Trojaner und keine Firewall am Router dann hast ein Problem :-)
|
Zitat:
Willst du damit sagen du hast einen Weg gefunden dich per Firewall "mit Sicherheit" vor Trojaner zu schützen? =WeltPatent=Friedensnobelpreis-Verdächtig |
:hammer: :roflmao:
|
hab auch ne kleine frage zu dem thema.
hab so nen billig-home-router von devolo (bei nem wcm gewinnspiel gewonnen :) und das komische teil hat die funktion "port-forwarding". soweit so gut, nur es findet sich auch eine funktion names "port-trigger". ist das die selbe funktion, nur für portranges? und was mich noch weiter verwirrt: auch das einrichten von "virtuellen servern" ist möglich, was meiner logik nach doch wieder das selbe ist, oder? bin ich zu doof dafür, oder liegts am herstellen?? |
Zitat:
eine firewall kann nicht nur für incoming sondern auch outgoing genutzt werden. die meisten trojaner zielen auf ein gewisses port am anderen ende. wenn das für outgoing nicht erlaubt ist, dann hat der trojaner wohl pech gehabt. firewall-prinzip für outgoing: "verboten ist was nicht explizit erlaubt ist" - ist ja nicht neu.;) |
Genau! Nur kann man von einer Firewall die diese Regeln alle kennt bevor ein neuer Trojaner wohin zugreifen leider wohl nur träumen ... :bier:
|
.
Wenn jemand eine gute FirewallingAnleitung kennt, immer her damit. (PN) Zitat:
Wie sind dann die ganze Rules-List aus? |
Zitat:
nochmals: "verboten ist was nicht explizit erlaubt ist"! also grundsätzlich nur das outgoing berechtigen, was wirklich benötigt wird. und wenn möglich für port80 und port443 vorher einen internen proxy verwenden. d.h dann sollte ein trojaner nur über port 80 bzw. 443 hinaus können, bringt aber net viel weils dann bei der antwort am proxy hängen bleibt. man könnte den bogen auch noch weiter spannen - socks bzw. application level gateway - aber für privat ist das eher off topic. |
.
http(x) muß nicht auf 80/443 beschränkt sein, vorallem Downloads kommen von verschiedenen Ports. Meist bleibt dir die eigentliche DownloadURL verborgen und du kannst den Download nicht starten ohne die Hosen ganz herunterzulassen. Zitat:
Kannst mir bitte eine Liste zukommen lassen von allen Verboten die du setzt. Mir kommt vor du redest von TCP/UDP aber da sind noch ~viele weitere Protokolle, die kann man nicht blocken, denke ich. Eine Liste bitte! PN mir! |
Zitat:
Zitat:
Bezüglich der vielen weiteren Protokolle: Im Internet wird nunmal ausschließlich TCP/IP verwendet, das unterteilt sich dann in TCP, UDP, ICMP und einigen weiteren, die dann z.B. für VPN´s und so intressant sind ... Zum Normalen Internet-surfen wirst du aber vermutlich keines der VPN-Protokolle brauchen, ebenso kannst du icmp pings abschalten usw. ... Und für Protokolle wie dem guten alten NetBUI oder wie das hieß, IPX, ... is sowieso spätestens beim Router Endstation |
Einige Beiträge weiter oben:
Zitat:
ip access-list extended FromExternal permit tcp any eq 80 any deny ip any any => alles was von irgendwo, Port 80 kommt darf rein, Rest (TCP != 80 als Quellport, UDP, ICMP, ...) bleibt draußen |
.
Warum sich der TCP Port 80 nicht auch für einen Trojaner eigenen sollte bleibt mir verschlossen:conf2: Glaub jeder Router in A. muß ATM fähig sein, ein weiteres Protokoll was nicht geblockt werden kann. Dann noch ARP und RFC darauf hast auch keinen Einfluss. Ich denk mir der Router ist eh mehr so ein Emmentaler und auf die Lücken durch Forwarding kommts dann auch nicht mehr an. |
Es is auch ned Sinn einer Firewall, ATM zu blocken, genauso wenig wie es Sinn is, vor einem VPN-Server eine Firewall zu betreiben, der VPN-Zugriff verhindert. Außerdem glaube ich is ATM eine Netzwerkform und kein Protokoll...
|
grundsätzlich hab ich bis jetzt von appl-ports gesprochen. tcp/udp/icmp liegt eine ebene drunter.
ich mach kein geheimnis draus, was bei mir outgoing berechtigt ist. und das ist nur http, https, dns und mail. außerdem läuft ein log mit, das mir anzeigt welches prog bzw. welcher proc hinaus will. sollte ich kurz ein anderes port benötigen, dann mach ich es für die kurze verbindungszeit auf - und nimm es dann aus der permit rule wieder raus. ATM = Netzwerkprotokoll ist auf DLC-Ebene (Ebene2). Darunter auf Ebene1 ist z.B. SDH/Sonet, Kupfer (wie bei xDSL, wenn zum DSLAM ATM und nicht Ethernet aktiv ist), u.a. |
Zitat:
Wenn er dem Internet Server-Anwendungen zugänglich machen will, wird er sowieso ein FW einrichten müssen, da von außen nach innen keine Verbindungen aufgebaut werden dürfen, solange das nicht explizit erlaubt ist (NAT/PAT). Ich weiß nicht, wie man hier Port-FW für Performancesteigerungszwecke nützen könnte. Entweder man braucht es sowieso oder man braucht es nicht... |
Zitat:
Viele Anwendungen laufen auch passiv daher mußt du zuerst die Verbindung aufbauen damit der Router Daten reinläßt. Das ist natürlich mit Rechenleistung verbunden die Zeit kostet. Forwarding wird jetzt aber für bestimmt IPs/Rechner eingerichtet, daher haben nicht alle Rechner im Netz einen Tunnel sondern z.B. nur deiner. Zitat:
|
Ja, klar wir haben ja alle ne DMZ *daheim*... :lol: :lol: :lol:
|
Zitat:
Hast du SpeedTouch hast du DMZ = default Server. |
Hab jetzt seit Jahren verschiedene Linux-Firewallgateways im Einsatz und noch nie irgendwelche sicherheitstechnischen Probleme gehabt, sind auch meist ein Haufen Ports geöffnet bzw. geforwardet(P2P, verschiedene Server, Inet-Games, etc). Dabei läuft allerdings auch immer ein Intrusion Detection & Prevention Filter.
Ebenselber hats witzigerweise mal geschafft aussschliesslich miranda-user nach wenigen Sekunden die Verbindung zu trennen, bzw. gar nicht aufbauen zu lassen. Mit jedem anderen ICQ Client hats noch funktioniert... Diese Regeln sollten also auch gepflegt werden. :-) Zitat:
http://www.clarkconnect.com/ http://www.ipcop.org/ etc... |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 19:07 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag