FSC Connect2air AP-600RP-USB: Firewall einrichten

Hallo ihrs,

ich habe einen Fujitsu-Siemens Connect2air AP-600RP-USB WLAN Router der über eine NAT Firewall verfügt, die ich gerne konfigurieren möchte.

Leider kenne ich mich auf dem Gebiet nicht so richtig aus und suche jemanden der mir ein bisschen Unterstützung geben kann.
Es geht mir speziell darum, Einstellungen der Firewall richtig zu interpretieren, dass ich generell jeglichen Datenverkehr verbieten kann außer z.B. den Datenverkehr auf Port 80 oder 21 etc. oder halt alles erlaube aber bestimmte Ports (z.B. Emule) sperre. Dies idealerweise auch auf bestimmte IP Adressen bezogen.
Das ganze aus dem Grund, weil ich mir das WLAN mit einem Bekannten teilen möchte und daher ein paar Reglementierungen einbauen will.

Ich habe selber schon mal ein paar Versuche unternommen, meist jedoch mit dem Ergebnis, dass der Router nachher so verbockt war, dass ich nur noch nach einem Reset wieder an das Konfigurationsmenü kam.
Auf Dauer ziemlich lästig…
Das Handbuch bringt mich derzeit nicht wirklich weiter…
Wer mal kurz reinschauen möchte: http://www.achim-sieger.de/manual_fw.pdf (225 KB)

Wenn sich jemand auskennt würde ich mich über konkrete Konfigurationshilfe sehr freuen.
Kommentare wie „lerne erstmal TCP/IP“ sind sicherlich nicht unbegründet, bringen mich aber im Moment nicht weiter.

Viele Grüße
Achim

ich habe einen Fujitsu-Siemens Connect2air AP-600RP-USB WLAN
Router der über eine NAT Firewall verfügt, die ich gerne
konfigurieren möchte.

Eine leider immer mehr verbreitete Annahme ist, dass NAT eine „Firewall“ sei. Diese Annahme ist leider falsch, den NAT und „Firewall“ sind zwei unterschiedliche Paar Schuhe. NAT brauche ich, wenn ich mit mehreren Rechnern aus dem LAN über eine gemeinsame IP-Adresse ins Internet - oder generell in ein anderes Netz - will. Da durch NAT die Source-Ports ausgehender Pakete auf andere Portnummern umgesetzt werden, um gleiche Anfragen unterschiedlicher Rechner auseinander halten zu können, woraus dann wiederum „nebenbei“ ein gewisser Eindringschutz resultiert, wird hier fälschlicherweise viel zu oft von „Firewall“ gesprochen.

Leider kenne ich mich auf dem Gebiet nicht so richtig aus

Dann ändere das bitte. Du kannst sonst nicht beurteilen, was Dich wann und ob überhaupt angreift und wie Du Dich wirklich schützen bzw. bestimmten Datenverkehr sicherstellen/blocken kannst. Falls nötig.

[snip]
Das ganze aus dem Grund, weil ich mir das WLAN mit einem
Bekannten teilen möchte und daher ein paar Reglementierungen
einbauen will.

Bitte? Dafür ist weder NAT noch eine „Firewall“ auf dem Router geeignet, es sei denn, Dein Bekannter soll das Internet völlig und strikt anders nutzen als Du.

[snip]
http://www.achim-sieger.de/manual_fw.pdf (225 KB)
Wenn sich jemand auskennt würde ich mich über konkrete
Konfigurationshilfe sehr freuen.

Ich werde mir das mal anschauen - wenn ich gerade mal keinen Bock habe, irgendwas sinnvolles zu tun :wink: (SCNR)

Kommentare wie „lerne erstmal TCP/IP“ sind sicherlich nicht
unbegründet, bringen mich aber im Moment nicht weiter.

Tut mir leid, Achim, auch wenn’s Dich nicht weiter bringt: ohne wenigstens Grundkenntnisse der Materie geht es einfach nicht. Da musst Du zuerst durch, denn sonst wird das auf die Ferne eine unendliche Geschichte. In der Zeit hast Du’s 3 mal selbst begriffen. Garantiert.

Viele Grüße
Achim

dto., Ulli

Hallo Ulli,

Das ganze aus dem Grund, weil ich mir das WLAN mit einem
Bekannten teilen möchte und daher ein paar Reglementierungen
einbauen will.

Bitte? Dafür ist weder NAT noch eine „Firewall“ auf dem Router
geeignet, es sei denn, Dein Bekannter soll das Internet völlig
und strikt anders nutzen als Du.

genau da liegt der Hase im Pfeffer.
Ich möchte den Zugriff auf das Internet in Teilbereichen Clientspezifisch einschränken.

Beispiel:
Ein Client mit der IP 192.168.1.5 soll keinen FTP Zugriff über Port 21 auf Beispielsweise einen Webserver bekommen. Ob das nun Sinn macht sei dahingestellt, es geht mir mehr um die Einstellung die ich zu tätigen habe.
Ich hab das selber mal vesucht einzustellen, aber ich komme nach wie vor mit meinem FTP-Programm auf meinen Webspace.

Tut mir leid, Achim, auch wenn’s Dich nicht weiter bringt:
ohne wenigstens Grundkenntnisse der Materie geht es einfach
nicht. Da musst Du zuerst durch, denn sonst wird das
auf die Ferne eine unendliche Geschichte. In der Zeit hast
Du’s 3 mal selbst begriffen. Garantiert.

Ich gebe Dir ja Recht und ich befasse mich auch mit der Materie, aber was nützt es mir, wenn ich das selbst angeeignete nicht selber in meinem Netzwerk testen kann, weil ich möglicherweise nur einen Systematischen Fehler bei der Programmierung des Routers mache.

Es würde mir schon weiterhelfen wenn ich ein Beispiel hätte, wie man z.B. unterbindet, dass nur Client 192.168.1.5 einen FTP-Zugriff nach außen bekommt, ansonsten aber keine Reglementierungen existieren.

Viele Grüße
Achim

Hi Achim,

[snip]
aber was nützt es mir, wenn ich das selbst
angeeignete nicht selber in meinem Netzwerk testen kann, weil
ich möglicherweise nur einen Systematischen Fehler bei der
Programmierung des Routers mache.
[snip]

Du kannst es drehen wie Du willst. In diesem konkreten Fall könnte Dir hier ja geholfen werden, wenn Du noch ein paar Informationen mehr preisgeben würdest, doch was würde das nutzen? So lange Du nicht wirklich weisst, wie eine TCP/IP Verbindung aufgebaut und genutzt wird, tappst Du immer in den gleichen Fehler: Du generierst eine Regel für eine Annahme , nicht für einen Sachverhalt , da Du den Sachverhalt nicht kennst. Drum versuche ich mal einen Spagat.

Ein FTP-Server horcht im Normalfall auf Port 21 (TFTP: 69), d.h. wenn ich mit ihm kommunizieren will, muss ich eine Anfrage zur Herstellung einer Verbindung (SYN) zu der IP-Adresse des Servers(1) auf Port 21 schicken. Die Verbindung selbst kann danach über den vorgesehenen Datenkanal auf Port 20 oder aber einen beliebigen Port laufen! Um einem Rechner(2) im LAN nun dieses SYN gezielt zu verbieten, muss die Regel dem folgenden Aufbau entsprechen:

"source-IP Rechner(2):ANY port" „dest-IP Server(1):stuck_out_tongue:ort 21“ outbound DENY

Damit kann Rechner(2), zumindest über Port 21, keine FTP Verbindung mehr zu Server(1) etablieren. Wenn Du ansonsten alles auf „ALLOW“ läßt, sollte Dir das helfen.

Gruß
Ulli

1 „Gefällt mir“

Hallo Ulli,

vielen Dank erstmal für die Erklärung.
Ich werde später mal versuchen ob das umgesetzt bekomme.

Welche Informationsquelle (Buch, Internetseite o.a.) kannst Du mir empfehlen, um mir das nötige Wissen anzueignen?

Gruß
Achim

Welche Informationsquelle (Buch, Internetseite o.a.) kannst Du
mir empfehlen, um mir das nötige Wissen anzueignen?

Nun, das Internet schlechthin … versuche doch einmal, falls Du des Englischen so weit mächtig bist, den Start bei http://www.firewall.cx/ zu machen, dort gibt es unter dem Punkt „Networking“ (der 2. Punkt in der oberen Navigationsleiste) einige Links zu Seiten, auf denen die wichtigsten Funktionen der Netzwerktechnik recht anschaulich erklärt werden. Zu den Begriffen, die Dir dort begegnen werden, liefert dann eine Suchmaschine wie z.B. Google tonnenweise Material zum Vertiefen. Aber es gibt hier sicher auch Mitleser, die den einen oder anderen Link zu deuschsprachigen Seiten kennen - heraus damit!

Viel Spaß …
Ulli

1 „Gefällt mir“

Man sollte genauer hin schauen, wenn …
… man eine Seite länger nicht besucht hat …

Nun, das Internet schlechthin … versuche doch einmal, falls
Du des Englischen so weit mächtig bist [blahblah snipped]

Stelle auf der Seite rechts einfach „Deutsch“ ein … *schäm*

Hi,

passt schon…

Vielen Dank nochmal an Dich.
Ich werde mich mal einlesen.

Gruß
Achim

Hi Ulli,

Ein FTP-Server horcht im Normalfall auf Port 21 (TFTP: 69),
d.h. wenn ich mit ihm kommunizieren will, muss ich eine
Anfrage zur Herstellung einer Verbindung (SYN) zu der
IP-Adresse des Servers(1) auf Port 21 schicken. Die Verbindung
selbst kann danach über den vorgesehenen Datenkanal auf Port
20 oder aber einen beliebigen Port laufen! Um einem
Rechner(2) im LAN nun dieses SYN gezielt zu verbieten, muss
die Regel dem folgenden Aufbau entsprechen:

„source-IP Rechner(2): ANY port“ „dest-IP Server(1):stuck_out_tongue:ort 21“
outbound DENY

Da genau lag mein Problem. Das „any“.
Dank Deines Postings hab ich es jetzt nun erstmalig geschafft, besagte FTP-Verbindung im Router zu unterbinden.
Jetzt weiss ich wenigstens schon mal dass ich auf em Richtigen weg bin und erstmal prinzipiell die Richtung stimmt die ich einschlagen will.

Gruß
Achim