20
Nötige Firewall Einstellungen für einen Hotspot Router?
Hallo zusammen,
ich bin Student an einer Fachhochschule und wurde mit dem Projekt beauftragt, einen Hotspot für ein kleines Hotel aufzubauen.
Nun habe ich eine Frage bezüglich der Firewall Einstellungen.
Kurze Beschreibung des Aufbaus:
Der Mikrotik-Router ist mit dem ether1 Anschluss an einen seperarten DSL Anschluss angeschlossen. An dem ether2 Anschluss hängt der Switch, an dem auch die AP´s angeschlossen sind. Der Mikrotik beinhaltet einen Radius, der das User Management übernimmt.
Der Hotspot klappt auch im Aufbau und der Testphase einwandfrei. Nur jetzt geht es an die Feinarbeit, da der Hotspot in den nächsten Wochen im Hotel installiert werden soll.
Hier kommen wir auch jetzt zu meiner Frage.
Kann mir bitte jemand einen Empfehlung geben, welche Einstellungen ich in der Firewall vornehmen soll, da ich in diesem Bereich die wenigsten Erfahrungen habe und googeln mich auch nicht viel schlauer gemacht hat.
Das heißt, welche Ports soll ich freischalten? Ist es besser alle Ports zu schließen und nur eine Auswahl freizuschalten, oder soll ich alle freigeben und eine Auswahl nur blocken? Wie sieht es aus mit Protokollen? Und was soll ich eurer Meinung nach noch erlauben blocken, oder einstellen?
Ein Zugriff aus dem Internet auf das interne Netzwerk der Hotspots darf natürlich genauso wenig erlaubt sein, wie der Zugriff eines Hotspot Users auf den PC eines anderen Users, oder die Sichtbarkeit der einzelnen Users im Netz. Wobei die letzten zwei Punkte doch eher was mit den Einstellungen im Hotspot und nicht mit den Firewall Einstellungen zu tun haben, oder?
Es sollte den Hotelgästen erlaubt sein zu surfen, eMails abzurufen und vielleicht noch Onlinebanking, oder eine VPN Verbindung aufbauen zu können.
Hat jemand schon ähnliche Erfahrungen?
Was könnt ihr noch empfehlen, was ich noch einstellen soll?
Ich hoffe ihr könnt mir helfen.
Vielen Dank schonmal.
Gruß
ich bin Student an einer Fachhochschule und wurde mit dem Projekt beauftragt, einen Hotspot für ein kleines Hotel aufzubauen.
Nun habe ich eine Frage bezüglich der Firewall Einstellungen.
Kurze Beschreibung des Aufbaus:
Der Mikrotik-Router ist mit dem ether1 Anschluss an einen seperarten DSL Anschluss angeschlossen. An dem ether2 Anschluss hängt der Switch, an dem auch die AP´s angeschlossen sind. Der Mikrotik beinhaltet einen Radius, der das User Management übernimmt.
Der Hotspot klappt auch im Aufbau und der Testphase einwandfrei. Nur jetzt geht es an die Feinarbeit, da der Hotspot in den nächsten Wochen im Hotel installiert werden soll.
Hier kommen wir auch jetzt zu meiner Frage.
Kann mir bitte jemand einen Empfehlung geben, welche Einstellungen ich in der Firewall vornehmen soll, da ich in diesem Bereich die wenigsten Erfahrungen habe und googeln mich auch nicht viel schlauer gemacht hat.
Das heißt, welche Ports soll ich freischalten? Ist es besser alle Ports zu schließen und nur eine Auswahl freizuschalten, oder soll ich alle freigeben und eine Auswahl nur blocken? Wie sieht es aus mit Protokollen? Und was soll ich eurer Meinung nach noch erlauben blocken, oder einstellen?
Ein Zugriff aus dem Internet auf das interne Netzwerk der Hotspots darf natürlich genauso wenig erlaubt sein, wie der Zugriff eines Hotspot Users auf den PC eines anderen Users, oder die Sichtbarkeit der einzelnen Users im Netz. Wobei die letzten zwei Punkte doch eher was mit den Einstellungen im Hotspot und nicht mit den Firewall Einstellungen zu tun haben, oder?
Es sollte den Hotelgästen erlaubt sein zu surfen, eMails abzurufen und vielleicht noch Onlinebanking, oder eine VPN Verbindung aufbauen zu können.
Hat jemand schon ähnliche Erfahrungen?
Was könnt ihr noch empfehlen, was ich noch einstellen soll?
Ich hoffe ihr könnt mir helfen.
Vielen Dank schonmal.
Gruß
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 140735
Url: https://administrator.de/contentid/140735
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
20 Kommentare
Neuester Kommentar
Ein paar Anregungen findest du hier:
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Es kommt letztlich auf dich an was du den Gästen erlauben willst.... HTTP(S), Email und VPN Protokolle. Du solltest da eher eine Positiv Liste machen also alles verbieten außer was du durchlassen willst.
Ein Zugriff untereinander im internen Netz kannst du nur und ausschliesslich über die Switch HW verhindern wenn dein Switch sog. Private VLANs oder isolated VLANs supportet, anders ist das nicht möglich. Innerhalb des WLANs geht das ebenso nur über die APs selber wenn du ein isolated WLAN machst wo der AP die any zu any Verbindung der WLAN Clients selber innerhalb einer AP Funkzelle unterbindet.
Das unterbindet aber nicht Zugriffe von Usern auf einem anderen AP die schon mit ihrer Mac Adresse am Switch anliegen, diese können andere Clients an anderen APs wieder erreichen. Ein einfacher Ping Sweep über das Gast Netz zeigt einem in Sekunden diese IPs und gibt sie zum "Angriff" frei.
Die beste Kombination ist also ein Hotspot Gateway und ein Switch der PVLANs supportet. Da haben dann Gäste keinerlei Chance mehr sich auszuspionieren...
Im übrigen sollte auf der Hotspot Webseite zusätzlich auch ein deutlicher Hinweis dazu stehen, denn dein Hostspot Netzwerk wirst du ja auch offen betreiben so das mit den entsprechenden WLAN Scannern so oder so jeglicher Verkehr offen problemlos abhörbar ist !! Letztlich ist jeder User für seine Datensicherheit selber zuständig. Du kannst ja nicht für jeden DAU im Hotel Kindermädchen spielen...logisch !
Deshalb haben auch kluge Gäste immer einen VPN Client mit an Bord
WLAN oder LAN Gastnetz einrichten mit einem Captive Portal (Hotspot Funktion)
Es kommt letztlich auf dich an was du den Gästen erlauben willst.... HTTP(S), Email und VPN Protokolle. Du solltest da eher eine Positiv Liste machen also alles verbieten außer was du durchlassen willst.
Ein Zugriff untereinander im internen Netz kannst du nur und ausschliesslich über die Switch HW verhindern wenn dein Switch sog. Private VLANs oder isolated VLANs supportet, anders ist das nicht möglich. Innerhalb des WLANs geht das ebenso nur über die APs selber wenn du ein isolated WLAN machst wo der AP die any zu any Verbindung der WLAN Clients selber innerhalb einer AP Funkzelle unterbindet.
Das unterbindet aber nicht Zugriffe von Usern auf einem anderen AP die schon mit ihrer Mac Adresse am Switch anliegen, diese können andere Clients an anderen APs wieder erreichen. Ein einfacher Ping Sweep über das Gast Netz zeigt einem in Sekunden diese IPs und gibt sie zum "Angriff" frei.
Die beste Kombination ist also ein Hotspot Gateway und ein Switch der PVLANs supportet. Da haben dann Gäste keinerlei Chance mehr sich auszuspionieren...
Im übrigen sollte auf der Hotspot Webseite zusätzlich auch ein deutlicher Hinweis dazu stehen, denn dein Hostspot Netzwerk wirst du ja auch offen betreiben so das mit den entsprechenden WLAN Scannern so oder so jeglicher Verkehr offen problemlos abhörbar ist !! Letztlich ist jeder User für seine Datensicherheit selber zuständig. Du kannst ja nicht für jeden DAU im Hotel Kindermädchen spielen...logisch !
Deshalb haben auch kluge Gäste immer einen VPN Client mit an Bord
Hallo aqui,
vielen Dank für die schnelle Anwort. Die rechtlichen Hinweise und AGB sind so weit vorhaben, aber danke für den Hinweis. =)
Den Swich den ich benutze ist ein Netgear ProSafe Switch, der meiner Meinung nach VLAN unterstützt. Da muss ich aber nochmal genau nachschauen.
Bei den Firewall Einstellungen habe ich auch für eine Positiv Liste tendiert. Das "Problem" beim dem Mikrotik-Router ist, dass es eigentlich gar keine Voreinstellungen gibt. Ich muss also alles von Hand zu Fuß eingeben. Deswegen wäre ich froh, wenn man hier alle Einstellungen auflisten könnte, damit ich nichts vergesse.
Also ich werde schonmal freischalten:
Was muss denn generell noch in der Firewall eingestellt werden? Wie gesagt, da steht ja fast noch nix drin.
Wie sieht es mit Protokollen aus? Was soll ich da einstellen?
vielen Dank für die schnelle Anwort. Die rechtlichen Hinweise und AGB sind so weit vorhaben, aber danke für den Hinweis. =)
Den Swich den ich benutze ist ein Netgear ProSafe Switch, der meiner Meinung nach VLAN unterstützt. Da muss ich aber nochmal genau nachschauen.
Bei den Firewall Einstellungen habe ich auch für eine Positiv Liste tendiert. Das "Problem" beim dem Mikrotik-Router ist, dass es eigentlich gar keine Voreinstellungen gibt. Ich muss also alles von Hand zu Fuß eingeben. Deswegen wäre ich froh, wenn man hier alle Einstellungen auflisten könnte, damit ich nichts vergesse.
Also ich werde schonmal freischalten:
- TCP/UDP 53 DNS für DNS Requests
- TCP 80 für Webtraffic HTTP
- TCP 443 für gesicherten Webtraffic HTTPS
- TCP 21 für FTP
- TCP 22 für SSH
- TCP 8000 für das Captive Portal (wichtig wenn CP aktiv sein soll !!!)
- TCP 25 (SMTP)
- TCP 110 (POP3)
- TCP 143 (IMAP)
Was muss denn generell noch in der Firewall eingestellt werden? Wie gesagt, da steht ja fast noch nix drin.
Wie sieht es mit Protokollen aus? Was soll ich da einstellen?
Nur mit simplen VLANs wirst du nix !! Lies was oben steht, dort ist von Private oder isolated VLABs die Rede ! Nur mit diesen Features unterbindest du eine any zu any Kommunikation. Aber ggf. supportet dein NetGear das auch. Das Handbuch sollte das wissen !!
Bei VPNs kommts aufs Protokoll an..
IPsec: UDP 500, UDP, 4500, ESP Protokoll (Nummer 50)
PPTP: TCP 1723, GRE Protokoll (Nummer 47)
L2TP: wie IPsec plus UDP 4200
OpenVPN: UDP 1194 (Standard)
Bei dir fehlt oben noch secure POP, secure IMAP !
Bei VPNs kommts aufs Protokoll an..
IPsec: UDP 500, UDP, 4500, ESP Protokoll (Nummer 50)
PPTP: TCP 1723, GRE Protokoll (Nummer 47)
L2TP: wie IPsec plus UDP 4200
OpenVPN: UDP 1194 (Standard)
Bei dir fehlt oben noch secure POP, secure IMAP !
Also wenn ich das richtig verstehe, willst du deinen Gästen lediglich Internetzugang gewähren? Keine Serverdienste anbieten? Dann musst / solltest du gar keine Ports öffnen!!!!!!! Ob die Gäste sich untereinander sehen kann dir doch egal sein. Das muss jeder Gast für sich an seinem Notebook konfigurieren (pers. Firewall).
Gruß
Oscar
Gruß
Oscar
Ich habe mit dem MT-Hotspot noch nicht gearbeitet aber generell gilt bei ROS: Es ist ein Router und per Default routet der eben.
Du musst also explizit den Netzwerkverkehr verbieten.
Was du dann ins Internet durchlässt ist deine Sache. In Berlin gibt es z.B. von Sony einen öffentlichen Hotspot, da geht selbst IRC.
Zum Thema VLANs: Es reicht ja schon wenn der Switch überhaupt VLANs kann, dann muss eben jeder Access Point in ein eigenes VLAN und auf dem MT-Port tagged wieder raus.
Du sagst ja leider nicht was für APs du benutzt.
Wenn es Mikrotiks sind empfiehlt es sich z.B. einfach einen EoIP oder VPLS Tunnel zwischen AP wlan-Interface und Hotspot-Bridge zu machen und dann mit dem bridge-horizon die Kommunikation zu unterbinden.
Du musst also explizit den Netzwerkverkehr verbieten.
Was du dann ins Internet durchlässt ist deine Sache. In Berlin gibt es z.B. von Sony einen öffentlichen Hotspot, da geht selbst IRC.
Zum Thema VLANs: Es reicht ja schon wenn der Switch überhaupt VLANs kann, dann muss eben jeder Access Point in ein eigenes VLAN und auf dem MT-Port tagged wieder raus.
Du sagst ja leider nicht was für APs du benutzt.
Wenn es Mikrotiks sind empfiehlt es sich z.B. einfach einen EoIP oder VPLS Tunnel zwischen AP wlan-Interface und Hotspot-Bridge zu machen und dann mit dem bridge-horizon die Kommunikation zu unterbinden.
Hi !
Im Unterschied zu einem popeligen SOHO-Router muss man bei einer echten Firewall sehr wohl Ports öffnen, sonst geht nämlich gar nix. Was Du meinst sind Portforwards und damit hast Du recht, die braucht er in dem Falle nicht.
Wenn es dann mal geknallt hat, kannst Du das gerne mit dem Rechtsanwalt des Hotelgastes ausdiskutieren, da rennen die im Schadensfall nämlich schneller hin als dir lieb ist...
Hehe lustig, vielleicht geht auch P2P...
Keine gute Idee....Hast Du das schon mal so realisiert?
Für ein kleines bis mittleres Hotel tut es auch ein preisgünstiger Smart-Switch, dort gibt es mittlerweile auch einige die Private VLAN (im Cisco Chargon) können, nur heisst es dort meist anders z.B. VLAN MTU (MovetoUplink) oder VLAN MTO (ManytoOne). Es bedeutet dass alle Ports untereinander nicht mehr kommunizieren können und lediglich noch eine Verbindung zum Uplink-Port möglich ist....Warum sollte man für jeden AP ein eigenes VLAN einrichten, wenn es so viel einfacher, effektiver und überschaubarer geht? Auch die HP Procurve können das aber nur die höherpreisigen Modelle und erst ab einem bestimmten Firmwarestand.
mrtux
Zitat von @Oscar123:
anbieten? Dann musst / solltest du gar keine Ports öffnen!!!!!!! Ob die Gäste sich untereinander sehen kann dir doch
anbieten? Dann musst / solltest du gar keine Ports öffnen!!!!!!! Ob die Gäste sich untereinander sehen kann dir doch
Im Unterschied zu einem popeligen SOHO-Router muss man bei einer echten Firewall sehr wohl Ports öffnen, sonst geht nämlich gar nix. Was Du meinst sind Portforwards und damit hast Du recht, die braucht er in dem Falle nicht.
egal sein. Das muss jeder Gast für sich an seinem Notebook konfigurieren (pers. Firewall).
Wenn es dann mal geknallt hat, kannst Du das gerne mit dem Rechtsanwalt des Hotelgastes ausdiskutieren, da rennen die im Schadensfall nämlich schneller hin als dir lieb ist...
Zitat von @dog:
Was du dann ins Internet durchlässt ist deine Sache. In Berlin gibt es z.B. von Sony einen öffentlichen Hotspot, da geht
selbst IRC.
Was du dann ins Internet durchlässt ist deine Sache. In Berlin gibt es z.B. von Sony einen öffentlichen Hotspot, da geht
selbst IRC.
Hehe lustig, vielleicht geht auch P2P...
Zum Thema VLANs: Es reicht ja schon wenn der Switch überhaupt VLANs kann, dann muss eben jeder Access Point in ein eigenes
VLAN und auf dem MT-Port tagged wieder raus.
VLAN und auf dem MT-Port tagged wieder raus.
Keine gute Idee....Hast Du das schon mal so realisiert?
Für ein kleines bis mittleres Hotel tut es auch ein preisgünstiger Smart-Switch, dort gibt es mittlerweile auch einige die Private VLAN (im Cisco Chargon) können, nur heisst es dort meist anders z.B. VLAN MTU (MovetoUplink) oder VLAN MTO (ManytoOne). Es bedeutet dass alle Ports untereinander nicht mehr kommunizieren können und lediglich noch eine Verbindung zum Uplink-Port möglich ist....Warum sollte man für jeden AP ein eigenes VLAN einrichten, wenn es so viel einfacher, effektiver und überschaubarer geht? Auch die HP Procurve können das aber nur die höherpreisigen Modelle und erst ab einem bestimmten Firmwarestand.
mrtux
Keine gute Idee....Hast Du das schon mal so realisiert?
Warum? Ist doch nicht schlimm.
Ich nehme mir einen VLAN-fähigen AP, tagge überall das Management-Interface in ein VLAN und pro AP das Client-Interface in ein anderes. Das ist eigentlich nur Copy- & Paste-Aufwand
Nevertheless ging es dabei ja um die Notlösung, wenn man keinen Switch mit Port Isolation hat.
Ich würde (und mache es derzeit auch ähnlich) allerdings immer mit EoIP/VPLS-Tunneln arbeiten (wenn ich einheitlich MT benutze), so habe ich mein Backbone-Netz für mich alleine. Das ist ja grob die selbe Vorgehensweise, wie bei DSL-Anschlüssen.
Oscar hat völlig recht. Es gehören keine Ports geöffnet solang du keine Serverdienste von aussen erreichbar machen möchtest. basta.
Auch nicht bei einer "echten Firewall".
Ganz sicher gehören die oben genannten Ports nicht freigeschaltet!
Wenn überhaupt, dann erlaubst du, dass User über bestimmte Protokolle Verbindungen mit Rechnern über das I-Net aufbauen. (Das ist der Teil den mrtux wohl mit "echter Firewall" deklariert hat).
Wenn ich das auf den ersten Blick richtig gesehen habe ist das beim MikroTik Router OS aber wohl nicht notwendig. Falls ich es überlesen habe - DNS, HTTP und HTTPS sollten völlig ausreichend sein.
Was den Kontakt der Gäste untereinander angeht. Das sollte tatsächlich nicht dein Problem sein. Dein DSL Provider setzt doch auch keine Techniken ein, die verhindern, dass zwei DSL User miteinander Kontakt aufnehmen können. Das zu verhindern ist das Problem und die Aufgabe des jeweiligen Users nicht deine.
Gruß
2P
Auch nicht bei einer "echten Firewall".
Ganz sicher gehören die oben genannten Ports nicht freigeschaltet!
Wenn überhaupt, dann erlaubst du, dass User über bestimmte Protokolle Verbindungen mit Rechnern über das I-Net aufbauen. (Das ist der Teil den mrtux wohl mit "echter Firewall" deklariert hat).
Wenn ich das auf den ersten Blick richtig gesehen habe ist das beim MikroTik Router OS aber wohl nicht notwendig. Falls ich es überlesen habe - DNS, HTTP und HTTPS sollten völlig ausreichend sein.
Was den Kontakt der Gäste untereinander angeht. Das sollte tatsächlich nicht dein Problem sein. Dein DSL Provider setzt doch auch keine Techniken ein, die verhindern, dass zwei DSL User miteinander Kontakt aufnehmen können. Das zu verhindern ist das Problem und die Aufgabe des jeweiligen Users nicht deine.
Gruß
2P
@2P
Du hast den Einwand von mrtux bzw. das Verhalten von FWs missverstanden. "Richtige" FWs sperren auch sämtlichen Traffic auf den inbound Interfaces per default der hier freigegeben werden muss.
Du gehst nur davon aus das das auf dem Outbound Interface so ist, was aber für die mehrzahl der FWs nicht stimmt. Dort ist generell alles dicht und du muss es öffenen und zwar auf allen Interfaces.
In sofern ist die Aussage von mrtux schon korrekt !
Du hast den Einwand von mrtux bzw. das Verhalten von FWs missverstanden. "Richtige" FWs sperren auch sämtlichen Traffic auf den inbound Interfaces per default der hier freigegeben werden muss.
Du gehst nur davon aus das das auf dem Outbound Interface so ist, was aber für die mehrzahl der FWs nicht stimmt. Dort ist generell alles dicht und du muss es öffenen und zwar auf allen Interfaces.
In sofern ist die Aussage von mrtux schon korrekt !
@aqui
Nein - ich habe ihn nicht missverstanden.
Die oben genannte Problemstellung klingt aber eher danach, dass versucht wird Ports an der externen Schnittstelle zu öffnen.
Das ist definitiv nicht nötig.
Wenn ich das Mikrotik RouterOS Handbuch beim Überfliegen richtig verstanden habe, ist ein öffnen von Ports an der internen Schnittstelle nicht notwendig.
Per Default wird hier nichts blockiert. Falls ich es überlesen habe - DNS, HTTP und HTTPS sollten als erlaubte Protokolle genügen.
Aber vielleicht sollte der Threadsteller hier noch einmal posten, ob sich seine Überlegungen auf seine interne oder seine externe Routerschnittstelle beziehen.
Nein - ich habe ihn nicht missverstanden.
Die oben genannte Problemstellung klingt aber eher danach, dass versucht wird Ports an der externen Schnittstelle zu öffnen.
Das ist definitiv nicht nötig.
Wenn ich das Mikrotik RouterOS Handbuch beim Überfliegen richtig verstanden habe, ist ein öffnen von Ports an der internen Schnittstelle nicht notwendig.
Per Default wird hier nichts blockiert. Falls ich es überlesen habe - DNS, HTTP und HTTPS sollten als erlaubte Protokolle genügen.
Aber vielleicht sollte der Threadsteller hier noch einmal posten, ob sich seine Überlegungen auf seine interne oder seine externe Routerschnittstelle beziehen.
Hallo zusammen,
erstmal Danke, dass ihr euch an dem Thema beteiligt und mir versucht zu helfen.
Ich versuch meine Situation/Vorstellung etwas genauer zu definieren, aber wie schon erwähnt, ist das hier nicht mein Spezialgebiet und deswegen hapert es etwas mit er Erklärung.
Was ich jetzt in erster Linie will ist, den Hotelgästen illegale Handlungen (z.B. Tauschbörsen) so weit wie möglich verbieten. Denn nach meinem Wissen, muss der Betreiber des Hotspots Rechtsverletzungen soweit wie möglich verhindern, solange es im Rahmen des "Zumutbaren und Erforderlichen " ist. Und ich denke mal, die richtige Firewall Einstellung gehört dazu.
Also beziehen sich meine Überlegungen, wenn ich es richtig verstanden habe, doch auf die externe Routerschnittstelle, oder?
Ich habe mich heute mit jemanden über das Thema unterhalten und er hat zu mir gesagt, dass grundsätzlich in der Default Einstellung, die Ports für den Zugriff von aussen geblockt ist. Dass soll auch auf jeden Fall so sein. Man darf nicht von außen auf den Router zugreifen.
Für die Hotspot Users wären jedoch die Ports jedoch frei. Das heißt ja, sie wären immer noch frei in ihrem Handeln, oder?
Das Thema "Kontakt der Hotspot User untereinander" ist erstmal zweitrangig. Da informier ich mich auch noch, in wie weit der Hotelbesitzer sich durch einen Hinweis auf der LogIn Seite und einem Punkt in den AGB´s absichern kann. Es wird auch einen Link auf eine Informationsseite geben, in der u.a. eine Anleitung steht, wie jeder User seinen PC sichern kann.
erstmal Danke, dass ihr euch an dem Thema beteiligt und mir versucht zu helfen.
Ich versuch meine Situation/Vorstellung etwas genauer zu definieren, aber wie schon erwähnt, ist das hier nicht mein Spezialgebiet und deswegen hapert es etwas mit er Erklärung.
Was ich jetzt in erster Linie will ist, den Hotelgästen illegale Handlungen (z.B. Tauschbörsen) so weit wie möglich verbieten. Denn nach meinem Wissen, muss der Betreiber des Hotspots Rechtsverletzungen soweit wie möglich verhindern, solange es im Rahmen des "Zumutbaren und Erforderlichen " ist. Und ich denke mal, die richtige Firewall Einstellung gehört dazu.
Also beziehen sich meine Überlegungen, wenn ich es richtig verstanden habe, doch auf die externe Routerschnittstelle, oder?
Ich habe mich heute mit jemanden über das Thema unterhalten und er hat zu mir gesagt, dass grundsätzlich in der Default Einstellung, die Ports für den Zugriff von aussen geblockt ist. Dass soll auch auf jeden Fall so sein. Man darf nicht von außen auf den Router zugreifen.
Für die Hotspot Users wären jedoch die Ports jedoch frei. Das heißt ja, sie wären immer noch frei in ihrem Handeln, oder?
Das Thema "Kontakt der Hotspot User untereinander" ist erstmal zweitrangig. Da informier ich mich auch noch, in wie weit der Hotelbesitzer sich durch einen Hinweis auf der LogIn Seite und einem Punkt in den AGB´s absichern kann. Es wird auch einen Link auf eine Informationsseite geben, in der u.a. eine Anleitung steht, wie jeder User seinen PC sichern kann.
Dass soll auch auf jeden Fall so sein. Man darf nicht von außen auf den Router zugreifen.
Vorsicht!
Die Mikrotik-Standardkonfiguration setzt keine Beschränkungen - der Zugriff von Außen auf den Router ist also möglich.
Wenn ich mich nicht irre, benötigen Tauschbörsenprogramme an der externen Schnittstelle einen oder mehrere geöffnete Ports. D.h. ein Tauschbörsenprogramm sollte eigentlich nicht funktionieren, solang deine externe Schnittstelle keine geöffneten ports aufweist.
Hallo zusammen,
nach einer doch etwas längeren Pause wollte ich mich noch einmal melden und einen Zwischenstand durchgeben.
Grundsätzlich habe ich herausgefunden, dass die Firewall vom MT im Default-Zustand offen ist.
Nachdem ich den Hotspot konfiguriert habe, habe ich gemerkt, dass der Mikrotik schon selber, einige Firewallregeln aufstellt. Die ich aber nicht ganz verstehe. Ist die Firewall so schon sicher, oder sind die Ports immer noch auf?
1. action: jump ; chain: forward ; jump target: hs-unauth
2. action: jump ; chain: forward ; jump target: hs-unauth-to
3. action: jump ; chain: input ; jump target: hs-input
4. action: jump ; chain: hs-input ; jump target: pre-hs-input
5. action: accept ; chain: hs-input ; protocol: 17(udp) ; dst. port: xxxxx
6. action: accept ; chain: hs-input ; protocol: 6(tcp) ; dst. port: xxxxx-xxxx
7. action: jump ; chain: hs-input ; jump target: hs-unauth
8. action: return ; chain: hs-unauth ; dst. address: xxx.xxx.xxx.xxx ; In. Interf.: ether2
9. action: reject ; chain: hs-unauth ; protocol: 6(tcp)
10. action: reject ; chain: hs-unauth
11. action: return ; chain: hs-unauth-to ; src. address: xxx.xxx.xxx.xxx ; Out. Interf.: ether2
12. action: reject ; chain: hs-unauth-to
Ich habe dann versucht, Ports zu öffnen und den Rest zu schließen, aber das hat entweder gar nicht oder stark eingeschränkt nur funktioniert. Also hab ich mich an die Empfehlung von 2P gehalten und nur die Protokolle tcp, udp und icmp erlaubt, da ich in der Logdatei gesehen habe, dass diese Protokolle als einzigstes genutzt werden. Deswegen habe ich vor den vom Hotspot eingesetzten Regeln, diese davor geschrieben:
1. action: accept ; chain: forward ; protocol: 1(icmp)
2. action: accept ; chain: forward ; protocol: 6(tcp)
3. action: accept ; chain: forward ; protocol: 17(udp)
4. action: accept ; chain: input ; protocol: 1(icmp)
5. action: accept ; chain: input ; protocol: 6(tcp)
6. action: accept ; chain: input ; protocol: 17(udp)
7. action: accept ; chain: output ; protocol: 1(icmp)
8. action: accept ; chain: output ; protocol: 6(tcp)
9. action: accept ; chain: output ; protocol: 17(udp)
10. action: drop ; chain: forward
11. action: drop ; chain: input
12. action: drop ; chain: output
Das Internet funktioniert einwandfrei. Aber ist die Firewall so richtig eingestellt? Kann mir bitte jemand mal ein Feedback geben?
Danke.
Gruß
mgoetze
nach einer doch etwas längeren Pause wollte ich mich noch einmal melden und einen Zwischenstand durchgeben.
Grundsätzlich habe ich herausgefunden, dass die Firewall vom MT im Default-Zustand offen ist.
Nachdem ich den Hotspot konfiguriert habe, habe ich gemerkt, dass der Mikrotik schon selber, einige Firewallregeln aufstellt. Die ich aber nicht ganz verstehe. Ist die Firewall so schon sicher, oder sind die Ports immer noch auf?
1. action: jump ; chain: forward ; jump target: hs-unauth
2. action: jump ; chain: forward ; jump target: hs-unauth-to
3. action: jump ; chain: input ; jump target: hs-input
4. action: jump ; chain: hs-input ; jump target: pre-hs-input
5. action: accept ; chain: hs-input ; protocol: 17(udp) ; dst. port: xxxxx
6. action: accept ; chain: hs-input ; protocol: 6(tcp) ; dst. port: xxxxx-xxxx
7. action: jump ; chain: hs-input ; jump target: hs-unauth
8. action: return ; chain: hs-unauth ; dst. address: xxx.xxx.xxx.xxx ; In. Interf.: ether2
9. action: reject ; chain: hs-unauth ; protocol: 6(tcp)
10. action: reject ; chain: hs-unauth
11. action: return ; chain: hs-unauth-to ; src. address: xxx.xxx.xxx.xxx ; Out. Interf.: ether2
12. action: reject ; chain: hs-unauth-to
Ich habe dann versucht, Ports zu öffnen und den Rest zu schließen, aber das hat entweder gar nicht oder stark eingeschränkt nur funktioniert. Also hab ich mich an die Empfehlung von 2P gehalten und nur die Protokolle tcp, udp und icmp erlaubt, da ich in der Logdatei gesehen habe, dass diese Protokolle als einzigstes genutzt werden. Deswegen habe ich vor den vom Hotspot eingesetzten Regeln, diese davor geschrieben:
1. action: accept ; chain: forward ; protocol: 1(icmp)
2. action: accept ; chain: forward ; protocol: 6(tcp)
3. action: accept ; chain: forward ; protocol: 17(udp)
4. action: accept ; chain: input ; protocol: 1(icmp)
5. action: accept ; chain: input ; protocol: 6(tcp)
6. action: accept ; chain: input ; protocol: 17(udp)
7. action: accept ; chain: output ; protocol: 1(icmp)
8. action: accept ; chain: output ; protocol: 6(tcp)
9. action: accept ; chain: output ; protocol: 17(udp)
10. action: drop ; chain: forward
11. action: drop ; chain: input
12. action: drop ; chain: output
Das Internet funktioniert einwandfrei. Aber ist die Firewall so richtig eingestellt? Kann mir bitte jemand mal ein Feedback geben?
Danke.
Gruß
mgoetze
Grundsätzlich habe ich herausgefunden, dass die Firewall vom MT im Default-Zustand offen ist.
Glühstrumpf
generell gilt bei ROS: Es ist ein Router und per Default routet der eben.
Du musst also explizit den Netzwerkverkehr verbieten.
(s.o.)Du musst also explizit den Netzwerkverkehr verbieten.
Ist die Firewall so schon sicher, oder sind die Ports immer noch auf?
Hast du die Regeln etwas so aus dem Interface abgeschrieben?
Damit kann man nichts anfangen, wenn schon musst du die Ausgabe von
/ip firew filter exportHast du die Regeln etwas so aus dem Interface abgeschrieben?
Damit kann man nichts anfangen, wenn schon musst du die Ausgabe von
/ip firew filter export
posten
Damit kann man nichts anfangen, wenn schon musst du die Ausgabe von
/ip firew filter export
posten
Im Telnet steht nix anderes, außer das die vom Hotspot eingefügten Regeln nicht aufgelistet sind.
/ip firewall filter export
add action=accept chain=forward comment="" disabled=no protocol=icmp
add action=log chain=forward comment="" disabled=yes log-prefix="" protocol= tcp
add action=accept chain=forward comment="" disabled=no protocol=tcp
add action=accept chain=forward comment="" disabled=no protocol=udp
add action=accept chain=input comment="" disabled=no protocol=icmp
add action=accept chain=input comment="" disabled=no protocol=tcp
add action=accept chain=input comment="" disabled=no protocol=udp
add action=accept chain=output comment="" disabled=no protocol=icmp
add action=accept chain=output comment="" disabled=no protocol=tcp
add action=accept chain=output comment="" disabled=no protocol=udp
add action=drop chain=forward comment="" disabled=no
add action=drop chain=input comment="" disabled=no
add action=drop chain=output comment="" disabled=no
Dieser Regelsatz ist ehrlich gesagt völlig daneben.
Effektiv erlaubst du allen Traffic der UDP/TCP/ICMP ist.
In eine dieser drei Kategorien fällt 99,9% des Internet-Traffics (Ja, auch P2P-Netzwerke).
Das einzige, was du mit den Regeln blockierst sind (relativ) harmlose VPN-Protokolle, die GRE benutzen.
Ähnlich witzlos ist es, sich überhaupt um den output-Chain zu kümmern.
Der betrifft nur Traffic, den der Router selbst erzeugt und wenn jemand schon in der Lage ist auf dem Router ungewollten Traffic zu erzeugen, dann kann er sicher auch gleich die Firewall anpassen...
Effektiv erlaubst du allen Traffic der UDP/TCP/ICMP ist.
In eine dieser drei Kategorien fällt 99,9% des Internet-Traffics (Ja, auch P2P-Netzwerke).
Das einzige, was du mit den Regeln blockierst sind (relativ) harmlose VPN-Protokolle, die GRE benutzen.
Ähnlich witzlos ist es, sich überhaupt um den output-Chain zu kümmern.
Der betrifft nur Traffic, den der Router selbst erzeugt und wenn jemand schon in der Lage ist auf dem Router ungewollten Traffic zu erzeugen, dann kann er sicher auch gleich die Firewall anpassen...
Ok danke,
deswegen habe ich die Einstellungen erstmal hier reingepostet. Ich brauch halt Feedback, weil ich, wie schon erwähnt, nicht viel Ahnung von diesem Bereich habe.
Nur was hat denn dann 2P mit " Wenn überhaupt, dann erlaubst du, dass User über bestimmte Protokolle Verbindungen mit Rechnern über das I-Net aufbauen." gemeint?
Hast du denn schonmal generell mit ROS gearbeitet und die Firewall eingestellt?
deswegen habe ich die Einstellungen erstmal hier reingepostet. Ich brauch halt Feedback, weil ich, wie schon erwähnt, nicht viel Ahnung von diesem Bereich habe.
Nur was hat denn dann 2P mit " Wenn überhaupt, dann erlaubst du, dass User über bestimmte Protokolle Verbindungen mit Rechnern über das I-Net aufbauen." gemeint?
Hast du denn schonmal generell mit ROS gearbeitet und die Firewall eingestellt?
Nur was hat denn dann 2P mit ... gemeint?
2P meint hier die Layer 5 Protokolle, also Dinge wie HTTP,FTP,DNS,etc.
TCP,UDP,ICMP sind Layer 4 Protokolle.
Hast du denn schonmal generell mit ROS gearbeitet und die Firewall eingestellt?
Ich kümmere mich derzeit um ca. 100 ROS-Router, einer davon mit ~80 Firewall-Regeln...
Ok ich merk es schon. Mein Problem lässt sich wohl hier nicht lösen. Ich versteh das auch. Das Thema Firewall-Regeln ist einfach zu komplex, dass es dafür eine Standartlösung gibt und ich hab einfach zu wenig Ahnung davon. Ich hatte etwas gehofft, dass man mein Problem mit vll. 20 Regeln lösen könnte und deswegen jemand eine halbwegs allgemeine Lösung parat gehabt hätte. Ich muss mal schauen, wo ich mich sonst noch schlau machen kann.
Trotzdem Danke an alle.
Trotzdem Danke an alle.
