Ausreichend Schutz nur mit NAT ohne Firewall
Hallo
mein DSL-2741 Router bietet mit eine Firewall Funktion.
Wenn ich diese Einschalte, können aber nicht mehr alle Rechner ins Internet.
(Vermutlich weil ich mit einer festen IP Arbeite, und bei Zugang "Static IP" und nicht "PPPoE" stehen habe)
Wenn ich die Firewall abschalte, dann können alle Rechner ins Netz, aber der Router
zeigt offene Ports nach aussen. (http, ftp, ssh, ftp)
Nun meine Frage: Sind die Rechner im Netz dahinter trotzdem geschützt?
Der Router nutzt ja NAT und das bedeutet doch das die Rechner nicht ansprechbar sind von aussen.
mein DSL-2741 Router bietet mit eine Firewall Funktion.
Wenn ich diese Einschalte, können aber nicht mehr alle Rechner ins Internet.
(Vermutlich weil ich mit einer festen IP Arbeite, und bei Zugang "Static IP" und nicht "PPPoE" stehen habe)
Wenn ich die Firewall abschalte, dann können alle Rechner ins Netz, aber der Router
zeigt offene Ports nach aussen. (http, ftp, ssh, ftp)
Nun meine Frage: Sind die Rechner im Netz dahinter trotzdem geschützt?
Der Router nutzt ja NAT und das bedeutet doch das die Rechner nicht ansprechbar sind von aussen.
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 191120
Url: https://administrator.de/forum/ausreichend-schutz-nur-mit-nat-ohne-firewall-191120.html
Ausgedruckt am: 22.12.2024 um 21:12 Uhr
10 Kommentare
Neuester Kommentar
Hallo frindly,
Du hast einen D-Link DSL-2741B, einen NAT Router mit SPI-Firewall Funktionalität!
Wenn Du nun nur die SPI-Firewall Funktion abschaltest und NAT weiter in Betrieb hast, dann sind Deine Rechner
im LAN nicht für andere so einfach sichtbar, aber die Sicherheit löst sich, förmlich in Luft auf.
Also ich finde Du solltest mal ein Wochenende opfern und Dir die Sachen durchlesen.
Das Handbuch umfasst lediglich 122 Seiten und ist auf deutsch! also so schlimm ist das doch nun auch nicht.
Gruß
Dobby
Du hast einen D-Link DSL-2741B, einen NAT Router mit SPI-Firewall Funktionalität!
Wenn Du nun nur die SPI-Firewall Funktion abschaltest und NAT weiter in Betrieb hast, dann sind Deine Rechner
im LAN nicht für andere so einfach sichtbar, aber die Sicherheit löst sich, förmlich in Luft auf.
Also ich finde Du solltest mal ein Wochenende opfern und Dir die Sachen durchlesen.
Das Handbuch umfasst lediglich 122 Seiten und ist auf deutsch! also so schlimm ist das doch nun auch nicht.
Gruß
Dobby
Hallo Dobby,
Hätte unser TO sich also das Handbuch mal ausgiebig vorgenommen und alles was er nicht versteht in der Bücherei seiner Wahl per Suchmaschine nachgeschlagen bzw. gelesen dann wäre seine frage doch gar nicht erst so entstanden
@frindly
Firewall aus = Sehr schlecht
Firewall an = sehr gut
NAT ist kein Firewall
Wenn du im Getriebe deiner Rolex rumfummelst musst du auch wissen was du tust weil sonst kein Tick-Tack mehr und du musst dann wieder die billge schieboh Uhr tragen
Gruß,
peter
Zitat von @108012:
Das Handbuch umfasst lediglich 122 Seiten und ist auf deutsch! also so schlimm ist das doch nun auch nicht.
Meine Erfahrung mit Endkunden / Gewerbekunden und "warum soll ich etwas lernen wenn andere es mir vorsagen können" ist, das selbst eine Seite bzw. ein Satz schon zuviel ist. "Da muss ich mich ja dann mit beschäftigen." "Dazu habe ich (jetzt) keine Zeit bzw. will ich nicht". "Das muss doch einfacher gehen." "Warum immer dieser technische Quatsch." "Wenn ich Autofahren will muss ich auch kein Autoschrauber sein." Und dann kommt immer von mir "Ja, das stimmt. Aber ohne Fahrschule und Führerscheinprüfung keine Fahrerlaubniss, Und bei Piloten diauert die Ausbildung noch länger"Das Handbuch umfasst lediglich 122 Seiten und ist auf deutsch! also so schlimm ist das doch nun auch nicht.
Hätte unser TO sich also das Handbuch mal ausgiebig vorgenommen und alles was er nicht versteht in der Bücherei seiner Wahl per Suchmaschine nachgeschlagen bzw. gelesen dann wäre seine frage doch gar nicht erst so entstanden
@frindly
Firewall aus = Sehr schlecht
Firewall an = sehr gut
NAT ist kein Firewall
Wenn du im Getriebe deiner Rolex rumfummelst musst du auch wissen was du tust weil sonst kein Tick-Tack mehr und du musst dann wieder die billge schieboh Uhr tragen
Gruß,
peter
Hallo nochmal,
@Pjordorf
Ich denke da hast Du wirklich recht mit, nur schade das die ganze Sache auf deutsch und leicht verständlich erklärt ist und dann hätte es ja auch ein "Baumarkt" Router getan der nur 40 €
kostet, ich meine ich habe hier ~300 Seiten auf englisch und nicht so leicht verständlich, daher
dachte ich es wäre doch ne Leichtigkeit für frindly.
@frindly
Also mal so grob überfliegen würde ich das aber trotzdem, nun hast Du die schönen Einstellmöglichkeiten und nutzt Sie nicht, klar funktionieren muss das Netzwerk schon aber ein Wochenende für die Sicherheit ist auch nicht zu wenig.
Gruß
Dobby
@Pjordorf
Ich denke da hast Du wirklich recht mit, nur schade das die ganze Sache auf deutsch und leicht verständlich erklärt ist und dann hätte es ja auch ein "Baumarkt" Router getan der nur 40 €
kostet, ich meine ich habe hier ~300 Seiten auf englisch und nicht so leicht verständlich, daher
dachte ich es wäre doch ne Leichtigkeit für frindly.
@frindly
Also mal so grob überfliegen würde ich das aber trotzdem, nun hast Du die schönen Einstellmöglichkeiten und nutzt Sie nicht, klar funktionieren muss das Netzwerk schon aber ein Wochenende für die Sicherheit ist auch nicht zu wenig.
Gruß
Dobby
Hallo,
Du hast deinen Router einfach nur falsch konfiguriert. Nicht mehr, nicht weniger. Was du allerdings falsch eingestellt hast das kannst nur du wissen der ja vor dem ding sitzt und irgendwo irgendwas anklickt/wegklickt/umklickt/löscht/ändert/hinzufügt. Mausschubsen alleine reicht manchmal nicht Was ist denn zulässing in den Werkseinstellungen der Firewall? Nein, ich werde mir die Handbücher nicht durchlesen. Nein, ich habe deinen D-Link Router nicht hier rumstehen wie ich dir aber auch schon in Firewall mit DLink Router ersetzten schrieb. Warum setzt du deine Gateprotect nicht wieder ein bis du weisst wie ein Wald und Wiesenrouter eingerichtet wird? Sorry, aber du willst etwas tun wovon du anscheinend überhaupt nichts verstehst. Material zum nachlesen gibt es mehr als genug auf unsere Erde. Das verstehen musst allerdings du schon selbst übernehmen. Alternative kannst du jemanden holen der sich mit Firewall / NAT auf preiswertstgeräte auskennt (60EUR). Natürlich kannst du auch fragen ob sich jemand per Teamviewer & Co. bei dir aufschaltet und dir so gegen eine kleine Gebühr (EUR 135 pro Stunde) hilft Nein, die Konfig auslesen und hier als Textdatei reinstellen wird dir auch nicht helefen.
Ein pauschales "es geht nicht" oder "ich schaffe es nicht" hilft uns nicht dir zu sagen wo du Fehler gemacht hast. Da wirst du schon mit Informationen rausrücken müssen was genau nicht wie nicht funktioniert.
Gruß,
Peter
Du hast deinen Router einfach nur falsch konfiguriert. Nicht mehr, nicht weniger. Was du allerdings falsch eingestellt hast das kannst nur du wissen der ja vor dem ding sitzt und irgendwo irgendwas anklickt/wegklickt/umklickt/löscht/ändert/hinzufügt. Mausschubsen alleine reicht manchmal nicht Was ist denn zulässing in den Werkseinstellungen der Firewall? Nein, ich werde mir die Handbücher nicht durchlesen. Nein, ich habe deinen D-Link Router nicht hier rumstehen wie ich dir aber auch schon in Firewall mit DLink Router ersetzten schrieb. Warum setzt du deine Gateprotect nicht wieder ein bis du weisst wie ein Wald und Wiesenrouter eingerichtet wird? Sorry, aber du willst etwas tun wovon du anscheinend überhaupt nichts verstehst. Material zum nachlesen gibt es mehr als genug auf unsere Erde. Das verstehen musst allerdings du schon selbst übernehmen. Alternative kannst du jemanden holen der sich mit Firewall / NAT auf preiswertstgeräte auskennt (60EUR). Natürlich kannst du auch fragen ob sich jemand per Teamviewer & Co. bei dir aufschaltet und dir so gegen eine kleine Gebühr (EUR 135 pro Stunde) hilft Nein, die Konfig auslesen und hier als Textdatei reinstellen wird dir auch nicht helefen.
Ein pauschales "es geht nicht" oder "ich schaffe es nicht" hilft uns nicht dir zu sagen wo du Fehler gemacht hast. Da wirst du schon mit Informationen rausrücken müssen was genau nicht wie nicht funktioniert.
Gruß,
Peter
Hallo,
Hilft ungemein zum finden des fehlers
Bei Windows ein IPconfig /all und bei deinen Linux kisten ein IFConfig und genau vergleichen was wo steht.
Dein problem fing doch hier Firewall mit DLink Router ersetzten schon an. Setze die Gateprotect wieder ein und schaue was der D-Link falsch hat. Entweder sind nur Einstellungen falsch (fast immer) oder das ding hat einen Fehler. Setze den D-Link auf Werkseinstellung und gehe Systematisch beim konfigurieren vor und stelle entsprechend deiner Anforderung alles ein. IP, SN, Gateway, DHCP, DNS, Portforwarding für benötigte Dienste welche von Ausserhalb deines Netzes auf Dienste innerhalb deines Netzes zugreifen sollen. Fertisch. Und da Unterscheiden sich die benötigten Einstellungen deiner Windows sowie Linux Clients sich nicht voneinander. Beide brauchen ihre IP, SN, Gateway und DNS. Und du alleine weist ob ihr in eurem Netz einen DNS Server betreibt und ob dieser korrekt eingerichtet ist.
Gruß,
Peter
Hilft ungemein zum finden des fehlers
Alle Windows Rechner können tadellos ins Netz.
Meinst da hiermit dein Netz oder das Internet?Aber die Linux Rechner machen Sorgen. Mal klappt es. Dann wenn der
Und alles was du geändert hast war deine funktionierende Gateprotect gegen diesen Wald und Wiesen Router von D-Link zu tauschen, oder?Wenn die zu lange Zeit nicht im Netz waren, klappt es auch nicht mehr.
Hört sich für mich nach DNS probleme an.Ok. Heute morgen ging Internet dann noch.
Wieder, deutet auf DNS hin.Ich habe im Router schon eine feste Route auf den entsprechenden PORT eingegeben
Wofür hast du für was und wo welche(n) Port(s) (gibt immer quelle und Ziel) eingetragen damit deine Clients ins Internet kommen?er die IP Adresse auf den lokalen LAN Port legen soll.
?!?Nach kurzer Zeit waren dann dort mehrere Einträge für diese IP Adressse.
?!?Ich denke mal für jeden genutzten Port eine.
Für jeden Port eine andere IP?!?Die Windows Rechner tauchen dort aber nicht auf.
Also sind dort andere Einstellung als an deinen Linux kisten.Bei Windows ein IPconfig /all und bei deinen Linux kisten ein IFConfig und genau vergleichen was wo steht.
Es könnte vieleicht auch sein das bei Linux irgendwas deaktiviert werden muss. Wobei ich nicht weiss was.
Ja, wenn du nicht weist was deine Linux Büchses deaktiviert haben, wer dann?Es ist ja nicht das erste Netz das ich mit Windows/Linux gemischt aufbaue und per Router ins Internet bringe.
Deine Fragen und Probleme mit diesem einfachen tausch funktionierende Gateprotect gegen nicht zum laufen bekommden D-Link sagt uns aber was anderes.Dein problem fing doch hier Firewall mit DLink Router ersetzten schon an. Setze die Gateprotect wieder ein und schaue was der D-Link falsch hat. Entweder sind nur Einstellungen falsch (fast immer) oder das ding hat einen Fehler. Setze den D-Link auf Werkseinstellung und gehe Systematisch beim konfigurieren vor und stelle entsprechend deiner Anforderung alles ein. IP, SN, Gateway, DHCP, DNS, Portforwarding für benötigte Dienste welche von Ausserhalb deines Netzes auf Dienste innerhalb deines Netzes zugreifen sollen. Fertisch. Und da Unterscheiden sich die benötigten Einstellungen deiner Windows sowie Linux Clients sich nicht voneinander. Beide brauchen ihre IP, SN, Gateway und DNS. Und du alleine weist ob ihr in eurem Netz einen DNS Server betreibt und ob dieser korrekt eingerichtet ist.
Gruß,
Peter
Hallo,
Aaaahhhhhhhhhhhhh! Nein.
Gruß,
Peter
Aaaahhhhhhhhhhhhh! Nein.
echo "2" > /proc/sys/net/ipv4/conf/eth0/force_igmp_version
Du kennst dich mit IGMP aus und weist wozu es gut ist und wer(was) und wo es Verwendung findet? Firewall mit DLink Router ersetztenGruß,
Peter