Nicht benötigte Ports sperren

Resimausi · 30.06.2007, 23:06

Hallo, geschätzte User!
Ich möchte via WLAN (Linksys WRT54GL-EU) einen Internetzugang für
Freunde einrichten, wobei der hausinterne ADSL Zugang verwendet werden soll.
Die Freunde sollen mit ihren Notebooks zwar im Internet surfen und ihre E-Mails abrufen
und versenden können, aber sonst NICHTS (kein Zugriff auf das hausinterne Netzwerk
(auch wenn sie es gezielt versuchen sollten)).

Ich habe mir das so vorgestellt:
Den WLAN Router mit einem anderen IP-Bereich (als hausintern) konfigurieren und DHCP sowie WPA aktivieren.

Meine Frage wäre nun:
--> Ist diese Vorgangsweise praktikabel (oder Blödsinn)?
--> Welche Ports werden unbedingt für ein problemloses Internetsurfen
und e-Mail Versand und Empfang benötigt?
--> Welche Ports sollten unbedingt gesperrt werden?

Groovy · 30.06.2007, 23:13

Bei den meisten Router sind eh die meisten Ports geschlossen bis auf die Standardsachen http, email, msn, ftp
Mit hausintern weiss ich nicht was du genau meinst?
Wenn du keine Datenfreigabe aktiviert hast, dann kann man sowieso nicht zugreifen.

Beim Router kann man zwar die IP ändern, aber wenn er Passwort (kein Standardpasswort, sondern ein eigenes!) geschützt ist kommt sowieso niemand rein.

Resimausi · 30.06.2007, 23:29

Danke für die Antwort.
Mit "hausintern" meine ich dass sich im Netzwerk noch mehrere Rechner
befinden, die natürlich untereinander kommunizieren und somit diverse Freigaben vorhanden sind.
Natürlich sollen die Freunde nicht in den Router kommen, aber auch nicht in das dahinter liegende hausinterne Netzwerk.

Das sollte dann so aussehen:

Netzwerkschema

powerman · 01.07.2007, 00:13

hi,
das gent nicht mit 1 Router! Welche BS sind installiert?
dazu brauchst einen Server mit 2 Netzkarten mit unterschiedlichen IP´s. Jeder USER MUSS sich auf seinen PC Anmelden->Server-> Domäne damit ist die SPERRE gegeben! entweder kommunizieren oder nicht-> sobald eine Freigabe besteht kann auf diese zugegriffen werden-> ist ja logisch! den Public-Ordner verwenden.
Anschluss:
Telefondose-> Modem-> Server(192.168.78.1) 1te IP vom Provider mit DHCP Reservierung (192.168.77.80-98)fixer Client IP´s(Domäne)
2te IP -> router 192.168.77.99-> WLAN-> Verschlüsselung-> PC

enjoy2 · 01.07.2007, 00:29

wie schon gepostet wurde, genügt es einfach den Router zu konfigurieren, damit deine Freunde auf das Internet zugreifen können, der Zugriff auf dein Netzwerk sollte damit unterbunden werden, anderer IP Bereich vorausgesetzt

Grund dafür ist, dass ich nach deiner Zeichnung annehme, dass dein ADSL Modem, welches an dem Lan Switch hängt, bereits ein Router ist.

Du kannst natürlich auch einen Server mit 2 Netzwerkarten dafür erstellen, bzw. eine WLan Karte in den Server stecken, aber imho ist das Unfug, vom administrativen Aufwand, bzw. Folgekosten für z.B. Strom usw. ...

enjoy2 · 01.07.2007, 00:35

http://www.heise.de/netze/artikel/78397

http://www.heise.de/netze/artikel/77979

lesenswert zu dem Thema

Resimausi · 01.07.2007, 09:42

Zitat:

Original geschrieben von enjoy2
Grund dafür ist, dass ich nach deiner Zeichnung annehme, dass dein ADSL Modem, welches an dem Lan Switch hängt, bereits ein Router ist.

Vielen Dank enjoy2, dass ist exakt die Info und auch die Bestätigung die ich gesucht habe.
Werde es so machen.

powerman · 01.07.2007, 14:10

hi,#
ich bin mir da nicht so sicher-> Auszug von Heise->
Die beiden Router können von demselben Typ sein, damit man sich nicht in zwei unterschiedliche Konfigurationsoberflächen einarbeiten muss. Damit steigt jedoch die Gefahr, dass man sich bei den unterschiedlichen Einstellungen vertut. Die Anforderungen an die Geräte unterscheiden sich wenig: Das WAN-Interface des inneren, sekundären Routers sollte mindestens 100 MBit/s übertragen, damit es die Zugriffe aus dem ->

LAN auf den "DMZ-Server" nicht ausbremst.==wer macht das!!!!

Das WAN-Interface des externen Routers muss dagegen nur zur Internet-Leitung passen. Hier kann also durchaus ein Router mit integriertem DSL-Modem stehen, oder einer mit langsamem Ethernet-Port, wenn die Internet-Bandbreite nicht gar so hoch ist. Allerdings sollte dieser Router einen ausgefeilten Paketfilter haben,

-> um den DMZ-Server abzuschotten <- und seine eigenen

Konfigurationsseiten nur ausgewählten Rechnern zur Verfügung zu stellen.
Der externe Router bedient wie üblich die DSL-Strecke per PPPoE mit den Zugangsdaten vom Provider, wobei der Admin den Idle-Timeout ab- und das "Keep Alive" einschaltet, damit die Verbindung immer besteht. Sofern dieses Feature vorhanden ist, gibt der Router seine externe Adresse per DynDNS bekannt, sonst läuft ein entsprechendes Programm auf dem DMZ-Server. Im Router wird ein Port-Forwarding ("Virtual Server") auf den Server eingerichtet, das nur Pakete für den Port weiterreicht, auf dem der Server arbeitet. Zur weiteren Absicherung richtet man möglichst einen Filter ein, der Pakete vom Server nur mit diesem Quell-Port ins Internet weiterleitet. Auf der LAN-Seite des externen Routers deaktiviert man den DHCP-Server, denn in diesem Netz – der DMZ – befinden sich nur der Server und der sekundäre Router, die ohnehin feste IP-Adressen brauchen. Der Konfigurationszugang des Routers muss unbedingt mit einem sicheren Passwort verschlossen werden. Außerdem darf der Zugriff auf die Konfigurationsseiten nur von der IP-Adresse des sekundären Routers möglich sein, damit ein Hacker, der den DMZ-Server übernimmt, die Einstellungen nicht ändern kann. Falls die Firmware des Routers eine solche Einschränkung nicht erlaubt, muss der Verwalter den Zugang über Filterregeln beschränken

Resimausi · 01.07.2007, 18:13

Danke Powerman für die Tipps. Es wird einiges davon berücksichtigt werden.

powerman · 01.07.2007, 20:02

hi,
das ist nicht von mir-> Links sind von enjoy2
kannst nach deiner Konfiguration schreiben mit welchen "2 Router" und Einstellungen du es geschafft hast? Danke.

30.06.2007, 23:06	#1
Resimausi Hero Registriert seit: 10.09.2000 Alter: 63 Beiträge: 882	Nicht benötigte Ports sperren Hallo, geschätzte User! Ich möchte via WLAN (Linksys WRT54GL-EU) einen Internetzugang für Freunde einrichten, wobei der hausinterne ADSL Zugang verwendet werden soll. Die Freunde sollen mit ihren Notebooks zwar im Internet surfen und ihre E-Mails abrufen und versenden können, aber sonst NICHTS (kein Zugriff auf das hausinterne Netzwerk (auch wenn sie es gezielt versuchen sollten)). Ich habe mir das so vorgestellt: Den WLAN Router mit einem anderen IP-Bereich (als hausintern) konfigurieren und DHCP sowie WPA aktivieren. Meine Frage wäre nun: --> Ist diese Vorgangsweise praktikabel (oder Blödsinn)? --> Welche Ports werden unbedingt für ein problemloses Internetsurfen und e-Mail Versand und Empfang benötigt? --> Welche Ports sollten unbedingt gesperrt werden?

01.07.2007, 00:29	#5
enjoy2 ------------- Registriert seit: 22.03.2000 Ort: Tullnerfeld Alter: 52 Beiträge: 14.550 Mein Computer	wie schon gepostet wurde, genügt es einfach den Router zu konfigurieren, damit deine Freunde auf das Internet zugreifen können, der Zugriff auf dein Netzwerk sollte damit unterbunden werden, anderer IP Bereich vorausgesetzt Grund dafür ist, dass ich nach deiner Zeichnung annehme, dass dein ADSL Modem, welches an dem Lan Switch hängt, bereits ein Router ist. Du kannst natürlich auch einen Server mit 2 Netzwerkarten dafür erstellen, bzw. eine WLan Karte in den Server stecken, aber imho ist das Unfug, vom administrativen Aufwand, bzw. Folgekosten für z.B. Strom usw. ... ____________________________________ EnJoy * Kl. Anleitung, welche Infos bei Problemen benötigt werden * was ich nicht weiß, weiß Google bzw. vorm Posten Listen to Bart * BITTE, füttert keine Trolle, siehe auch Definition bzw. Merkbefreiung - Verordnung * Wie man Fragen richtig stellt

01.07.2007, 00:35	#6
enjoy2 ------------- Registriert seit: 22.03.2000 Ort: Tullnerfeld Alter: 52 Beiträge: 14.550 Mein Computer	http://www.heise.de/netze/artikel/78397 http://www.heise.de/netze/artikel/77979 lesenswert zu dem Thema ____________________________________ EnJoy * Kl. Anleitung, welche Infos bei Problemen benötigt werden * was ich nicht weiß, weiß Google bzw. vorm Posten Listen to Bart * BITTE, füttert keine Trolle, siehe auch Definition bzw. Merkbefreiung - Verordnung * Wie man Fragen richtig stellt

30.06.2007, 23:13	#2
Groovy Inventar Registriert seit: 24.01.2001 Beiträge: 5.107	Bei den meisten Router sind eh die meisten Ports geschlossen bis auf die Standardsachen http, email, msn, ftp Mit hausintern weiss ich nicht was du genau meinst? Wenn du keine Datenfreigabe aktiviert hast, dann kann man sowieso nicht zugreifen. Beim Router kann man zwar die IP ändern, aber wenn er Passwort (kein Standardpasswort, sondern ein eigenes!) geschützt ist kommt sowieso niemand rein.

30.06.2007, 23:29	#3
Resimausi Hero Registriert seit: 10.09.2000 Alter: 63 Beiträge: 882	Danke für die Antwort. Mit "hausintern" meine ich dass sich im Netzwerk noch mehrere Rechner befinden, die natürlich untereinander kommunizieren und somit diverse Freigaben vorhanden sind. Natürlich sollen die Freunde nicht in den Router kommen, aber auch nicht in das dahinter liegende hausinterne Netzwerk. Das sollte dann so aussehen: Netzwerkschema

01.07.2007, 00:13	#4
powerman gesperrt Registriert seit: 08.06.2002 Alter: 76 Beiträge: 4.263	hi, das gent nicht mit 1 Router! Welche BS sind installiert? dazu brauchst einen Server mit 2 Netzkarten mit unterschiedlichen IP´s. Jeder USER MUSS sich auf seinen PC Anmelden->Server-> Domäne damit ist die SPERRE gegeben! entweder kommunizieren oder nicht-> sobald eine Freigabe besteht kann auf diese zugegriffen werden-> ist ja logisch! den Public-Ordner verwenden. Anschluss: Telefondose-> Modem-> Server(192.168.78.1) 1te IP vom Provider mit DHCP Reservierung (192.168.77.80-98)fixer Client IP´s(Domäne) 2te IP -> router 192.168.77.99-> WLAN-> Verschlüsselung-> PC

01.07.2007, 14:10	#8
powerman gesperrt Registriert seit: 08.06.2002 Alter: 76 Beiträge: 4.263	hi,# ich bin mir da nicht so sicher-> Auszug von Heise-> Die beiden Router können von demselben Typ sein, damit man sich nicht in zwei unterschiedliche Konfigurationsoberflächen einarbeiten muss. Damit steigt jedoch die Gefahr, dass man sich bei den unterschiedlichen Einstellungen vertut. Die Anforderungen an die Geräte unterscheiden sich wenig: Das WAN-Interface des inneren, sekundären Routers sollte mindestens 100 MBit/s übertragen, damit es die Zugriffe aus dem -> LAN auf den "DMZ-Server" nicht ausbremst.==wer macht das!!!! Das WAN-Interface des externen Routers muss dagegen nur zur Internet-Leitung passen. Hier kann also durchaus ein Router mit integriertem DSL-Modem stehen, oder einer mit langsamem Ethernet-Port, wenn die Internet-Bandbreite nicht gar so hoch ist. Allerdings sollte dieser Router einen ausgefeilten Paketfilter haben, -> um den DMZ-Server abzuschotten <- und seine eigenen Konfigurationsseiten nur ausgewählten Rechnern zur Verfügung zu stellen. Der externe Router bedient wie üblich die DSL-Strecke per PPPoE mit den Zugangsdaten vom Provider, wobei der Admin den Idle-Timeout ab- und das "Keep Alive" einschaltet, damit die Verbindung immer besteht. Sofern dieses Feature vorhanden ist, gibt der Router seine externe Adresse per DynDNS bekannt, sonst läuft ein entsprechendes Programm auf dem DMZ-Server. Im Router wird ein Port-Forwarding ("Virtual Server") auf den Server eingerichtet, das nur Pakete für den Port weiterreicht, auf dem der Server arbeitet. Zur weiteren Absicherung richtet man möglichst einen Filter ein, der Pakete vom Server nur mit diesem Quell-Port ins Internet weiterleitet. Auf der LAN-Seite des externen Routers deaktiviert man den DHCP-Server, denn in diesem Netz – der DMZ – befinden sich nur der Server und der sekundäre Router, die ohnehin feste IP-Adressen brauchen. Der Konfigurationszugang des Routers muss unbedingt mit einem sicheren Passwort verschlossen werden. Außerdem darf der Zugriff auf die Konfigurationsseiten nur von der IP-Adresse des sekundären Routers möglich sein, damit ein Hacker, der den DMZ-Server übernimmt, die Einstellungen nicht ändern kann. Falls die Firmware des Routers eine solche Einschränkung nicht erlaubt, muss der Verwalter den Zugang über Filterregeln beschränken

01.07.2007, 18:13	#9
Resimausi Hero Registriert seit: 10.09.2000 Alter: 63 Beiträge: 882	Danke Powerman für die Tipps. Es wird einiges davon berücksichtigt werden.

01.07.2007, 20:02	#10
powerman gesperrt Registriert seit: 08.06.2002 Alter: 76 Beiträge: 4.263	hi, das ist nicht von mir-> Links sind von enjoy2 kannst nach deiner Konfiguration schreiben mit welchen "2 Router" und Einstellungen du es geschafft hast? Danke.

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)