frindly
Goto Top

Ausreichend Schutz nur mit NAT ohne Firewall

Hallo
mein DSL-2741 Router bietet mit eine Firewall Funktion.
Wenn ich diese Einschalte, können aber nicht mehr alle Rechner ins Internet.
(Vermutlich weil ich mit einer festen IP Arbeite, und bei Zugang "Static IP" und nicht "PPPoE" stehen habe)

Wenn ich die Firewall abschalte, dann können alle Rechner ins Netz, aber der Router
zeigt offene Ports nach aussen. (http, ftp, ssh, ftp)

Nun meine Frage: Sind die Rechner im Netz dahinter trotzdem geschützt?
Der Router nutzt ja NAT und das bedeutet doch das die Rechner nicht ansprechbar sind von aussen.

Content-ID: 191120

Url: https://administrator.de/forum/ausreichend-schutz-nur-mit-nat-ohne-firewall-191120.html

Ausgedruckt am: 22.12.2024 um 21:12 Uhr

brammer
brammer 12.09.2012 um 13:38:32 Uhr
Goto Top
Hallo,

die Firewall abschalten ist die einfachste aber unsicherste Option.

Du musst in deinem router nur die entsprechende Ports und Freigabe, also Ausnahmen definieren.

brammer
108012
108012 12.09.2012 um 14:22:48 Uhr
Goto Top
Hallo frindly,

Du hast einen D-Link DSL-2741B, einen NAT Router mit SPI-Firewall Funktionalität!
Wenn Du nun nur die SPI-Firewall Funktion abschaltest und NAT weiter in Betrieb hast, dann sind Deine Rechner
im LAN nicht für andere so einfach sichtbar, aber die Sicherheit löst sich, förmlich in Luft auf.
Also ich finde Du solltest mal ein Wochenende opfern und Dir die Sachen durchlesen.

Das Handbuch umfasst lediglich 122 Seiten und ist auf deutsch! also so schlimm ist das doch nun auch nicht.


Gruß
Dobby
Pjordorf
Pjordorf 12.09.2012 aktualisiert um 15:36:19 Uhr
Goto Top
Hallo Dobby,

Zitat von @108012:
Das Handbuch umfasst lediglich 122 Seiten und ist auf deutsch! also so schlimm ist das doch nun auch nicht.
Meine Erfahrung mit Endkunden / Gewerbekunden und "warum soll ich etwas lernen wenn andere es mir vorsagen können" ist, das selbst eine Seite bzw. ein Satz schon zuviel ist. "Da muss ich mich ja dann mit beschäftigen." "Dazu habe ich (jetzt) keine Zeit bzw. will ich nicht". "Das muss doch einfacher gehen." "Warum immer dieser technische Quatsch." "Wenn ich Autofahren will muss ich auch kein Autoschrauber sein." Und dann kommt immer von mir "Ja, das stimmt. Aber ohne Fahrschule und Führerscheinprüfung keine Fahrerlaubniss, Und bei Piloten diauert die Ausbildung noch länger"face-smile

Hätte unser TO sich also das Handbuch mal ausgiebig vorgenommen und alles was er nicht versteht in der Bücherei seiner Wahl per Suchmaschine nachgeschlagen bzw. gelesen dann wäre seine frage doch gar nicht erst so entstandenface-smile

@frindly
Firewall aus = Sehr schlecht
Firewall an = sehr gut
NAT ist kein Firewall
Wenn du im Getriebe deiner Rolex rumfummelst musst du auch wissen was du tust weil sonst kein Tick-Tack mehr und du musst dann wieder die billge schieboh Uhr tragenface-smile

Gruß,
peter
108012
108012 12.09.2012 um 16:49:49 Uhr
Goto Top
Hallo nochmal,

@Pjordorf
Ich denke da hast Du wirklich recht mit, nur schade das die ganze Sache auf deutsch und leicht verständlich erklärt ist und dann hätte es ja auch ein "Baumarkt" Router getan der nur 40 €
kostet, ich meine ich habe hier ~300 Seiten auf englisch und nicht so leicht verständlich, daher
dachte ich es wäre doch ne Leichtigkeit für frindly.

@frindly
Also mal so grob überfliegen würde ich das aber trotzdem, nun hast Du die schönen Einstellmöglichkeiten und nutzt Sie nicht, klar funktionieren muss das Netzwerk schon aber ein Wochenende für die Sicherheit ist auch nicht zu wenig.

Gruß
Dobby
frindly
frindly 13.09.2012 um 08:37:45 Uhr
Goto Top
Ok. Die Firewall wird auf jeden Fall nicht abgeschaltet.
Aber die Experimente haben mir folgendes Verhalten gezeigt,
das ich mir im Moment nicht erklären kann.

Die Windows und Linux Rechner haben die gleiche Einstellung bezüglich IP, Gateway, DNS, Netmask. Adressen sind auch nicht doppelt vergeben.
Windows Rechner kommen problemlos ins Netz.

Die Linux Rechner kamen nach dem Abschalten der Firewall ins Netz. Dachte ich. Aber in wirklichkeit kommen Sie immer
ins Netz wenn ich am Router eine Einstellung ändere und diese "speicher/übernehme". Was nach abschalten der Firewall
ja der Fall war. Wenn ich jetzt aber den Linux Rechner neustarte (oder der Rechner über Nacht an bleibt am nächsten Morgen) besteht kein Internetzugriff mehr. Wenn ich jetzt im Router etwas ändere, z.b. Firewall einschalte, oder einfach
eine Route hinzufüge oder lösche.
Dann besteht wieder Internetverbindung.

Was ist da los???
Ich bin Ratlos.
Pjordorf
Pjordorf 13.09.2012 um 15:11:10 Uhr
Goto Top
Hallo,

Zitat von @frindly:
Was ist da los???
Du hast deinen Router einfach nur falsch konfiguriert. Nicht mehr, nicht weniger. Was du allerdings falsch eingestellt hast das kannst nur du wissen der ja vor dem ding sitzt und irgendwo irgendwas anklickt/wegklickt/umklickt/löscht/ändert/hinzufügt. Mausschubsen alleine reicht manchmal nichtface-smile Was ist denn zulässing in den Werkseinstellungen der Firewall? Nein, ich werde mir die Handbücher nicht durchlesen. Nein, ich habe deinen D-Link Router nicht hier rumstehen wie ich dir aber auch schon in Firewall mit DLink Router ersetzten schrieb. Warum setzt du deine Gateprotect nicht wieder ein bis du weisst wie ein Wald und Wiesenrouter eingerichtet wird? Sorry, aber du willst etwas tun wovon du anscheinend überhaupt nichts verstehst. Material zum nachlesen gibt es mehr als genug auf unsere Erde. Das verstehen musst allerdings du schon selbst übernehmen. Alternative kannst du jemanden holen der sich mit Firewall / NAT auf preiswertstgeräte auskennt (60EUR). Natürlich kannst du auch fragen ob sich jemand per Teamviewer & Co. bei dir aufschaltet und dir so gegen eine kleine Gebühr (EUR 135 pro Stunde) hilftface-smile Nein, die Konfig auslesen und hier als Textdatei reinstellen wird dir auch nicht helefen.

Ein pauschales "es geht nicht" oder "ich schaffe es nicht" hilft uns nicht dir zu sagen wo du Fehler gemacht hast. Da wirst du schon mit Informationen rausrücken müssen was genau nicht wie nicht funktioniert.

Gruß,
Peter
frindly
frindly 14.09.2012 um 12:10:14 Uhr
Goto Top
Hallo

ich weiss nicht genau was nicht funktioniert.
Was klappt, das kann ich sagen:
Alle Windows Rechner können tadellos ins Netz.

Aber die Linux Rechner machen Sorgen. Mal klappt es. Dann wenn der
Rechner neu gestartet wird nicht mehr. Dann schlate ich den Firewall ab, und später an.
Dann kommen die Linux Rechner wieder ins Netz.
Wenn die zu lange Zeit nicht im Netz waren, klappt es auch nicht mehr.
Über Nacht hab ich nen cron laufen lassen, der jede Stunde eine Webseite ansurfte.
Ok. Heute morgen ging Internet dann noch.

Ich habe im Router schon eine feste Route auf den entsprechenden PORT eingegeben, also das
er die IP Adresse auf den lokalen LAN Port legen soll.
Nach kurzer Zeit waren dann dort mehrere Einträge für diese IP Adressse. Ich denke mal für jeden genutzten Port eine.
Die Windows Rechner tauchen dort aber nicht auf.

Es könnte vieleicht auch sein das bei Linux irgendwas deaktiviert werden muss. Wobei ich nicht weiss was.

Es ist ja nicht das erste Netz das ich mit Windows/Linux gemischt aufbaue und per Router ins Internet bringe.
...
frindly
frindly 14.09.2012 um 12:27:00 Uhr
Goto Top
Könnte das helfen?
echo "2" > /proc/sys/net/ipv4/conf/eth0/force_igmp_version
Pjordorf
Pjordorf 14.09.2012 aktualisiert um 13:41:46 Uhr
Goto Top
Hallo,

Zitat von @frindly:
ich weiss nicht genau was nicht funktioniert.
Hilft ungemein zum finden des fehlersface-smile

Alle Windows Rechner können tadellos ins Netz.
Meinst da hiermit dein Netz oder das Internet?

Aber die Linux Rechner machen Sorgen. Mal klappt es. Dann wenn der
Und alles was du geändert hast war deine funktionierende Gateprotect gegen diesen Wald und Wiesen Router von D-Link zu tauschen, oder?

Wenn die zu lange Zeit nicht im Netz waren, klappt es auch nicht mehr.
Hört sich für mich nach DNS probleme an.

Ok. Heute morgen ging Internet dann noch.
Wieder, deutet auf DNS hin.

Ich habe im Router schon eine feste Route auf den entsprechenden PORT eingegeben
Wofür hast du für was und wo welche(n) Port(s) (gibt immer quelle und Ziel) eingetragen damit deine Clients ins Internet kommen?

er die IP Adresse auf den lokalen LAN Port legen soll.
?!?

Nach kurzer Zeit waren dann dort mehrere Einträge für diese IP Adressse.
?!?

Ich denke mal für jeden genutzten Port eine.
Für jeden Port eine andere IP?!?

Die Windows Rechner tauchen dort aber nicht auf.
Also sind dort andere Einstellung als an deinen Linux kisten.
Bei Windows ein IPconfig /all und bei deinen Linux kisten ein IFConfig und genau vergleichen was wo steht.

Es könnte vieleicht auch sein das bei Linux irgendwas deaktiviert werden muss. Wobei ich nicht weiss was.
Ja, wenn du nicht weist was deine Linux Büchses deaktiviert haben, wer dann?

Es ist ja nicht das erste Netz das ich mit Windows/Linux gemischt aufbaue und per Router ins Internet bringe.
Deine Fragen und Probleme mit diesem einfachen tausch funktionierende Gateprotect gegen nicht zum laufen bekommden D-Link sagt uns aber was anderes.face-smile

Dein problem fing doch hier Firewall mit DLink Router ersetzten schon an. Setze die Gateprotect wieder ein und schaue was der D-Link falsch hat. Entweder sind nur Einstellungen falsch (fast immer) oder das ding hat einen Fehler. Setze den D-Link auf Werkseinstellung und gehe Systematisch beim konfigurieren vor und stelle entsprechend deiner Anforderung alles ein. IP, SN, Gateway, DHCP, DNS, Portforwarding für benötigte Dienste welche von Ausserhalb deines Netzes auf Dienste innerhalb deines Netzes zugreifen sollen. Fertisch. Und da Unterscheiden sich die benötigten Einstellungen deiner Windows sowie Linux Clients sich nicht voneinander. Beide brauchen ihre IP, SN, Gateway und DNS. Und du alleine weist ob ihr in eurem Netz einen DNS Server betreibt und ob dieser korrekt eingerichtet ist.

Gruß,
Peter
Pjordorf
Pjordorf 14.09.2012 um 13:44:57 Uhr
Goto Top
Hallo,

Zitat von @frindly:
Könnte das helfen?
Aaaahhhhhhhhhhhhh! Nein.

echo "2" > /proc/sys/net/ipv4/conf/eth0/force_igmp_version
Du kennst dich mit IGMP aus und weist wozu es gut ist und wer(was) und wo es Verwendung findet? Firewall mit DLink Router ersetzten


Gruß,
Peter