smiley
Goto Top

Ist meine Fritz!Box ein NAT-Router? (Internet Sicherheit)

Ich will meinen Rechner usw. etwas sicherer machen.
FRITZ!Box Fon WLAN 7050

(FRITZ!Box Fon WLAN 7050)
Kann mir einer eine Seite schreiben auf der man gucken kann ob dieser Router ein NAT-Router ist? Oder ihr schreibt es hier einfach rein, wenn ihrs wisst.

Wenn meine FitzBox ein NAT-Router ist, wie stelle ich ihn so ein das er alle Pakete filtert, die von außen ankommen, und als Absenderadresse eine aus den Netzen 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12 oder 127.0.0.0/8 haben.
Oder wie komme ich an diese einstellungen überhaupt dran? Im Interface üder fritz.box steht sowas nicht drin. Nur Port Freigabe, aber diese auch nur nach außen.

Danke

Content-ID: 47731

Url: https://administrator.de/forum/ist-meine-fritzbox-ein-nat-router-internet-sicherheit-47731.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

SarekHL
SarekHL 02.01.2007 um 14:20:07 Uhr
Goto Top
Ist Deine Fritzbox per USB oder per Netzwerkkabel an Deinem Computer angeschlossen? Falls er per Netzwerk an den PC angeschlossen ist, dürfte die Fritzbox NAT machen. Und wenn das so ist, kommen von außen erst mal gar keine Pakete durch, die Dein Rechner nicht explizit angefordert hat, Du brauchst also für den eingehenden Verkehr keine Paketfilterung einstellen.
Metzger-MCP
Metzger-MCP 02.01.2007 um 14:23:25 Uhr
Goto Top
Jeder halbwegs ordentliche Router der für " Privat Leute " gedacht ist, hat eigentlich die Funktionalität des NAT ( Network Address Translation ) und eine kleine FIrewall, so auch deine Fritzbox.

Auszug aus der Webseite der Firma AVM der Hersteller der Fritzbox
http://www.avm.de/de/Produkte/FRITZBox/FRITZ_Box_Fon_WLAN/Technische_De ...

Internet-Sicherheit mit FRITZ!DSL und im DSL-Router-Betrieb
- IP-Masquerading/Network Address Translation
- Stateful Packet Inspection Firewall
- Sichere Portfreigabe für eigene Server-Angebote

Mfg Metzger
brammer
brammer 02.01.2007 um 14:34:22 Uhr
Goto Top
Hallo,

ohne es jetzt überprüft zu haben.
Alle deine aufgeführten adressen sind Privat Adressbereiche.
Diese Adressen können eigentlich garnicht von außen an deiner Fritzbox auftauchen da dein Provider diese Adressen nicht Routet.
Eine Private Adresse aus einem Netzwerk wird per NAT in eine öffentliche Adresse übersetzt und diese Adresse bekommst du mitgeteilt. Die Private Adresse dahinter erfährst du garnicht.
Smiley
Smiley 02.01.2007 um 14:47:20 Uhr
Goto Top
Ich habe die empfehlung diese Ports zu schließen von dieser Website: http://www.dingens.org/

Könnt ihr mir auch sagen wie diese Ports hier schließe? FritzBox kann die nur freigeben, aber das sind sie ja schon.
Alle UDP: 135, 137, 138, 161, 520
www.port-scan.de hat mir gesagt die seien gefährlich, ich solle sie schließen.

Ich hab noch irgendwo gelesen das diese Tests verfälschte ergebnisse liefern wenn man einen Router hat. Stimmt das?


[Edit] Sorry, aber ich dachte ich kann wärend er die Daten überträgt etwas ändern und dann nochmal neu senden. Deswegen Doppel post.
totto
totto 02.01.2007 um 16:32:03 Uhr
Goto Top
Wenn Du diese Ports nicht explizit aufgemacht (oder Deinen PC als DMZ gesetzt) hast, dann sind diese auch dicht!

Hier kannst Du mal einen Portscan von Deinem Router machen, und schauen, ob irgendwelche Ports "ungestealtht" sind:

https://www.grc.com/x/ne.dll?bh0bkyd2

Gruß
Totto
Smiley
Smiley 02.01.2007 um 17:56:32 Uhr
Goto Top
Danke das mach ich gleich.

[Edit] Der testet nur TCP ports, aber gut. Die Ports die ich meine sind aber UDP.

Außerdem sagt er mir (ich muss es einfach schreiben weil ich stolz drauf bin):
Unable to connect with NetBIOS to your computer.
All attempts to get any information from your computer have FAILED. (This is very uncommon for a Windows networking-based PC.) Relative to vulnerabilities from Windows networking, this computer appears to be VERY SECURE since it is NOT exposing ANY of its internal NetBIOS networking protocol over the Internet.

Also sind meine TCP Ports wirklich zu.
Aber die UDP Ports nicht! Kennt einer eine Seite die UDP Ports testet (außer www.port-scan.de)?

[Edit] Seit ihr eigentlich auch der meinung das Personal Firewalls sinnlos sind? Wie die Leute in diesem Forum? http://forum.angeklickt.net/viewtopic.php?t=165&postdays=0&post ...

MfG
totto
totto 03.01.2007 um 16:09:02 Uhr
Goto Top
Nochmal: Wenn die Ports nicht explizit geöffnet hast, dann ist Dein Router dicht wie Heinz Hoenig nach 'ner Weinprobe... face-wink Da brauchst Du Dir keinen Kopp machen!
Metzger-MCP
Metzger-MCP 03.01.2007 um 16:42:15 Uhr
Goto Top
[Edit] Seit ihr eigentlich auch der meinung das Personal Firewalls sinnlos sind? Wie die
Leute in diesem Forum?
http://forum.angeklickt.net/viewtopic.php?t=165&postdays=0&post ...

MfG

Es kommt immer darauf an wozu Sie in welchem Netz verwendet werden soll.

Wenn du irgend einem Part nicht vertraust, ohne einen Schutz zu haben -> ja sonst eigentlich nein.

Dein Rechner im Netzwerk + ohne andere Rechner + ohne Internet -> eigentlich Überflüssig.
Dein Rechner im Netzwerk + ohne andere Rechner + mit einer Hardware-Firewall aus einem Router für Internet -> eigentlich Überflüssig.
Dein Rechner im Netzwerk + mit Rechnern den du vertraust + ohne Internet -> eigentlich Überflüssig.
Dein Rechner im Netzwerk + mit Rechnern den du vertraust + mit einer Hardware-Firewall aus einem Router für Internet -> eigentlich Überflüssig.

Falls du aber unbeding eine haben möchtest, sollte du eine einfache verwenden die aber auch etwas taugt, sonst lieber keine !

MFG Metzger
Smiley
Smiley 03.01.2007 um 18:04:55 Uhr
Goto Top
Ne ne, ich brauch keine.

- Aber wenn www.port-scan.de mir anzeigt das ich UDP: 135, 137, 138, 161, 520 offen hab, sollte ich mir da nicht gedanken machen? Ich meine wie kann ich sicher sein das die zu sind wenn die niemand richtig testet (Ich weiß nicht ob port-scan.de richtig testet, glaube aber eher schon. Ich weiß auch das eig. alle Ports zu sein müssten, außer die für Steam... [ja ich bin cs gam0r] :P Aber die sind in einem anderen Bereich.).
Kann einer von euch sowas testen? Ich würde euch meine IP schreiben, danach aber gleich wieder ändern...

MfG
totto
totto 04.01.2007 um 00:24:41 Uhr
Goto Top
Deinen Port 135 kannst Du mit "Shields Up" (meinem o.g. Link) testen... Klicke dazu einfach in der Auswahl der Scans auf "Messenger Spam".

Ich kann mir darüber hinaus kaum vorstellen, dass die Fritz!Box alle Deine genannten UDP Ports nicht schützt (es sei denn, Du hast sie auf einen PC in Deinem Netzwerk durchgeroutet).

Die Seite port-scan.de scheint momentan nicht zu funktionieren, sobald die Seite wieder läuft, werde ich mal meinen Router checken, und schauen, was dabei raus kommt. Ich kenne meinen Router in-und-auswendig, sobald der mir was anderes anzeigt, als ich konfiguriert habe, dann wäre die Test-Engine von denen buggy....!

so long
Totto
Smiley
Smiley 04.01.2007 um 12:24:30 Uhr
Goto Top
Ok, danke. Das hilft mir. Aber den Windows Messenger hab ich garnicht installiert. Wenn ich ihn installiere ist der Dienst nicht gestartet, kann ich mich nicht einloggen weil ich kein acc habe, usw ... Und ohne Messenger bekomm ich keine Meldungen oder irgendetwas ähnliches von der Seite.

@(es sei denn, Du hast sie auf einen PC in Deinem Netzwerk durchgeroutet):
Hm, ich hab nur einen PC im Netzwerk und da hab ich nicht viel rumgespielt.

[edit] Achja, ich vergess es immer: Wie kann ich meine Fritz!Box oder den Computer so konfigurieren das die Ping abfragen verworfen werden? --->StealthUP!
totto
totto 04.01.2007 um 16:08:54 Uhr
Goto Top
Den hier gemeinten Messenger hat jedes Windows ab 2000... Gemeint ist hier der Nachrichtendienst, der über Port UPD135 sendet/empfängt.

Was das Port aufmachen angeht, das macht man im Router, und nicht im PC. Ergo: Hast Du keine Ports in der Fritz!Box auf Deinen PC geleitet, ist dieser auch nicht in Gefahr!!!

Soweit ich weiß gibt es bei der Fritz!Box keine Möglichkeit für einen "Discard ping on WAN"...
Smiley
Smiley 04.01.2007 um 17:50:58 Uhr
Goto Top
Du hättest ja ruhig Nachrichtendienst schreiben können. ^^

[edit] Ich das hier in der ar7.cfg gefunden:
                dsldpconfig {
                        security = dpsec_firewall;
                        lowinput {
                                policy = "permit";  
                                accesslist = 
                                             "deny ip any 242.0.0.0 255.0.0.0",   
                                             "deny ip any host 255.255.255.255",   
                                             "deny udp any any eq 135",   
                                             "deny tcp any any eq 135",   
                                             "deny udp any any range 137 139",   
                                             "deny tcp any any range 137 139",   
                                             "deny udp any any range 161 162",   
                                             "deny udp any any eq 520",   
                                             "deny udp any any eq 111",   
                                             "deny udp any any eq 22289",   
                                             "deny udp any any eq 1710",   
                                             "deny udp any any eq 1048",   
                                             "deny udp any any eq 158",   
                                             "deny udp any any eq 515";  
                        }
                        lowoutput {
                                policy = "permit";  
                        }
                        highinput {
                                policy = "permit";  
                        }
                        highoutput {
                                policy = "permit";  
                                accesslist = 
                                             "reject ip any 242.0.0.0 255.0.0.0",   
                                             "deny ip any host 255.255.255.255",   
                                             "reject ip any 10.0.0.0 255.0.0.0",   
                                             "reject ip any 169.254.0.0 255.255.0.0",   
                                             "reject udp any any eq 135",   
                                             "reject tcp any any eq 135",   
                                             "reject udp any any range 137 139",   
                                             "reject tcp any any range 137 139",   
                                             "reject udp any any range 161 162",   
                                             "reject udp any any eq 520",   
                                             "reject udp any any eq 111",   
                                             "reject udp any any eq 22289",   
                                             "reject udp any any eq 1710",   
                                             "reject udp any any eq 1048",   
                                             "reject udp any any eq 158",   
                                             "reject udp any any eq 515",   
                                             "reject icmp any 149.1.1.0 255.255.255.0",   
                                             "reject tcp any host 202.106.185.127 eq 25";  
                        }
                        forwardrules = "tcp 0.0.0.0:0 0.0.0.0:0 1 out",   
                                       "udp 0.0.0.0:0 0.0.0.0:0 1 out",   
                                       "udp 0.0.0.0:5060 0.0.0.0:5060",   
                                       "udp 0.0.0.0:7078 0.0.0.0:7078",   
                                       "udp 0.0.0.0:7079 0.0.0.0:7079",   
                                       "udp 0.0.0.0:7080 0.0.0.0:7080",   
                                       "udp 0.0.0.0:7081 0.0.0.0:7081",   
                                       "udp 0.0.0.0:7082 0.0.0.0:7082",   
                                       "udp 0.0.0.0:7083 0.0.0.0:7083",   
                                       "udp 0.0.0.0:7084 0.0.0.0:7084",   
                                       "udp 0.0.0.0:7085 0.0.0.0:7085",   
                                       "tcp 0.0.0.0:8089 0.0.0.0:8089",   
                                       "# tcp 0.0.0.0:21 192.168.178.20:21 0 # FTP-Server",   
                                       "# tcp 0.0.0.0:80 192.168.178.20:80 0 # HTTP-Server",   
                                       "# tcp 0.0.0.0:3389 192.168.178.20:3389 0 # MS Remote Desktop",   
                                       "udp 0.0.0.0:1200 192.168.178.150:1200 0 # Steam Friends",   
                                       "udp 0.0.0.0:27000 192.168.178.150:27015 0 # Steam",   
                                       "tcp 0.0.0.0:27020 192.168.178.150:27039 0 # Steam";  
                        shaper = "globalshaper";  
                }
        } {

Lowinput und Highoutput? Was hat das zu bedeuten?
Ok, der Verwirft die Anfragen auf die Ports. Kann es sein das es deswegen Falsche angaben bei PortScannern gibt? Und wenn ich mir das so ansehen müsste ich doch eig. die Ping anfragen dort eintragen können so das sie "deny" oder "reject" werden?

Bitte Antwortet mir doch. Oder wisst ihr es auch nicht? Selbst wenn ihr es nicht wisst solltet ihr mir wenigstens antworten. Sonst fühl ich mich ignoriert. :P :D

MfG
Smiley
Smiley 09.01.2007 um 15:29:28 Uhr
Goto Top
Ohne jetzt mekkern zu wollen, aber könnt ihr nicht erstmal einen Thread nach dem anderen fertig machen, bevor ihr ihr einen vergisst??? Das ist schon der zweite von mir auf dem seit 2 Wochen nicht mehr geantwortet wurde...


MfG
totto
totto 09.01.2007 um 15:36:23 Uhr
Goto Top
Sei mit nicht böse, aber wenn Du drauf und dran bist, durch Änderungen von cfg-Dateien einer Hardware Dein System zu zerschiessen, halte ich mich lieber raus...

Dir ist wohl hoffentlich klar, dass diese Änderungen, die Du da vornehmen willst, vom Hersteller nicht unterstützt werden, und ggf. bei einem Update der Anlage diese auch ggf. zerreißt... Da verlierst Du auch Deine Garantieansprüche, und glaube nicht, dass die so etwas nicht merken, wenn Du es als Garantie-Fall einschickst!
Smiley
Smiley 11.01.2007 um 15:11:12 Uhr
Goto Top
Ich hab vergessen zu erwähnen das ich 2 Fritz!Boxen habe, beides die gleichen. Die zweite hab ich bekommen als ich bei 1und1 von 2000DSL nach 3DSL umgestiegen bin. Also ist es egal was ich mit der mache. HEHE!
"May the research begin." (lacht nicht wenn irgendwie Falsch geschreiben ist. face-smile )
Helft ihr mir jetzt weiter? Eigentlich war ja alles soweit geklärt... bis auf was Lowinput und Highoutput etc. ist.


MfG