|
Nicht benötigte Ports sperren
Hallo, geschätzte User!
Ich möchte via WLAN (Linksys WRT54GL-EU) einen Internetzugang für Freunde einrichten, wobei der hausinterne ADSL Zugang verwendet werden soll. Die Freunde sollen mit ihren Notebooks zwar im Internet surfen und ihre E-Mails abrufen und versenden können, aber sonst NICHTS (kein Zugriff auf das hausinterne Netzwerk (auch wenn sie es gezielt versuchen sollten)). Ich habe mir das so vorgestellt: Den WLAN Router mit einem anderen IP-Bereich (als hausintern) konfigurieren und DHCP sowie WPA aktivieren. Meine Frage wäre nun: --> Ist diese Vorgangsweise praktikabel (oder Blödsinn)? --> Welche Ports werden unbedingt für ein problemloses Internetsurfen und e-Mail Versand und Empfang benötigt? --> Welche Ports sollten unbedingt gesperrt werden? |
Bei den meisten Router sind eh die meisten Ports geschlossen bis auf die Standardsachen http, email, msn, ftp
Mit hausintern weiss ich nicht was du genau meinst? Wenn du keine Datenfreigabe aktiviert hast, dann kann man sowieso nicht zugreifen. Beim Router kann man zwar die IP ändern, aber wenn er Passwort (kein Standardpasswort, sondern ein eigenes!) geschützt ist kommt sowieso niemand rein. |
Danke für die Antwort.
Mit "hausintern" meine ich dass sich im Netzwerk noch mehrere Rechner befinden, die natürlich untereinander kommunizieren und somit diverse Freigaben vorhanden sind. Natürlich sollen die Freunde nicht in den Router kommen, aber auch nicht in das dahinter liegende hausinterne Netzwerk. Das sollte dann so aussehen: Netzwerkschema |
hi,
das gent nicht mit 1 Router! Welche BS sind installiert? dazu brauchst einen Server mit 2 Netzkarten mit unterschiedlichen IP´s. Jeder USER MUSS sich auf seinen PC Anmelden->Server-> Domäne damit ist die SPERRE gegeben! entweder kommunizieren oder nicht-> sobald eine Freigabe besteht kann auf diese zugegriffen werden-> ist ja logisch! den Public-Ordner verwenden. Anschluss: Telefondose-> Modem-> Server(192.168.78.1) 1te IP vom Provider mit DHCP Reservierung (192.168.77.80-98)fixer Client IP´s(Domäne) 2te IP -> router 192.168.77.99-> WLAN-> Verschlüsselung-> PC |
wie schon gepostet wurde, genügt es einfach den Router zu konfigurieren, damit deine Freunde auf das Internet zugreifen können, der Zugriff auf dein Netzwerk sollte damit unterbunden werden, anderer IP Bereich vorausgesetzt
Grund dafür ist, dass ich nach deiner Zeichnung annehme, dass dein ADSL Modem, welches an dem Lan Switch hängt, bereits ein Router ist. Du kannst natürlich auch einen Server mit 2 Netzwerkarten dafür erstellen, bzw. eine WLan Karte in den Server stecken, aber imho ist das Unfug, vom administrativen Aufwand, bzw. Folgekosten für z.B. Strom usw. ... |
http://www.heise.de/netze/artikel/78397
http://www.heise.de/netze/artikel/77979 lesenswert zu dem Thema |
Zitat:
Werde es so machen. |
hi,#
ich bin mir da nicht so sicher-> Auszug von Heise-> Die beiden Router können von demselben Typ sein, damit man sich nicht in zwei unterschiedliche Konfigurationsoberflächen einarbeiten muss. Damit steigt jedoch die Gefahr, dass man sich bei den unterschiedlichen Einstellungen vertut. Die Anforderungen an die Geräte unterscheiden sich wenig: Das WAN-Interface des inneren, sekundären Routers sollte mindestens 100 MBit/s übertragen, damit es die Zugriffe aus dem -> LAN auf den "DMZ-Server" nicht ausbremst.==wer macht das!!!! Das WAN-Interface des externen Routers muss dagegen nur zur Internet-Leitung passen. Hier kann also durchaus ein Router mit integriertem DSL-Modem stehen, oder einer mit langsamem Ethernet-Port, wenn die Internet-Bandbreite nicht gar so hoch ist. Allerdings sollte dieser Router einen ausgefeilten Paketfilter haben, -> um den DMZ-Server abzuschotten <- und seine eigenen Konfigurationsseiten nur ausgewählten Rechnern zur Verfügung zu stellen. Der externe Router bedient wie üblich die DSL-Strecke per PPPoE mit den Zugangsdaten vom Provider, wobei der Admin den Idle-Timeout ab- und das "Keep Alive" einschaltet, damit die Verbindung immer besteht. Sofern dieses Feature vorhanden ist, gibt der Router seine externe Adresse per DynDNS bekannt, sonst läuft ein entsprechendes Programm auf dem DMZ-Server. Im Router wird ein Port-Forwarding ("Virtual Server") auf den Server eingerichtet, das nur Pakete für den Port weiterreicht, auf dem der Server arbeitet. Zur weiteren Absicherung richtet man möglichst einen Filter ein, der Pakete vom Server nur mit diesem Quell-Port ins Internet weiterleitet. Auf der LAN-Seite des externen Routers deaktiviert man den DHCP-Server, denn in diesem Netz – der DMZ – befinden sich nur der Server und der sekundäre Router, die ohnehin feste IP-Adressen brauchen. Der Konfigurationszugang des Routers muss unbedingt mit einem sicheren Passwort verschlossen werden. Außerdem darf der Zugriff auf die Konfigurationsseiten nur von der IP-Adresse des sekundären Routers möglich sein, damit ein Hacker, der den DMZ-Server übernimmt, die Einstellungen nicht ändern kann. Falls die Firmware des Routers eine solche Einschränkung nicht erlaubt, muss der Verwalter den Zugang über Filterregeln beschränken |
Danke Powerman für die Tipps. Es wird einiges davon berücksichtigt werden.
|
hi,
das ist nicht von mir-> Links sind von enjoy2 kannst nach deiner Konfiguration schreiben mit welchen "2 Router" und Einstellungen du es geschafft hast? Danke. |
| Alle Zeitangaben in WEZ +2. Es ist jetzt 02:40 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
© 2009 FSL Verlag