Hi Herbert
Auch, Hi Herbert
Die Post hat mir x-DSL installiert.
Dies funktioniert mit einem 1:1 NAT Router.
d.h., dieser Router läßt alles in beide Richtungen ungefiltert durch.
Hast Du schon mal einen NAT Router gesehen, der nicht in beide Richtungen ungefiltert durch läßt?
NAT deswegen, weil es das einfachste von allen ist: Eine IP-Nummer intern wird auf eine IP-Nummer von extern abgebildet.
Ich habe dahinter eine Fireall angeschlossen und (muss wohl)
PAT darauf einrichten.
Warum „muß“?
Na Du stellt Fragen: Bei ADSL kriegst Du genau eine IP-Nummer von der Post (oder wem auchimmer) zugeteilt. Nun muss ich damit eine Firma versorgen. Damit scheidet NAT (1:1) aus. Also kommt – du ahnst es bereits: PAT = Masquarading!
Was möchtest Du mit der Firewall machen? Was erlauben? Was verbieten?
Genau! Und mehrere interne IP-Nummern/Ports nach extern (IP/Ports) abbilden). Das geht mit PAT.
Sollte ganz einfach sein - möchte man meinen.
Nein, Firewalls sinnvoll einrichten ist nicht einfach.
Diese 3com OfficeConnet ist aber relativ einfach. Alles weitgehend vorkonfiguriert, und mit dem Browser administrierbar. Solltest Du Dir mal ansehen, wenn Du kannst. Das ganze ist fast „assistenten - geführt“. Für alle gedacht, die nur ein paar Dienste brauchen, und nicht 100Jahre konfigurieren wollen.
Ist wirklich einfach: Du sagst was raus darf (HTTP, FTP, SMTP, POP, DNS) und was rein darf (gar nichts) und schon bis Du fertig! Ist natürlich etwas untertrieben.
Nur kann ich von intern (hinter der Firewall) keine einzige Maschine und auch keine IP-Adresse auf der anderen Seite
erreichen.
Das scheint Dir nicht zu gefallen *SCNR*
Zur Sache Wie kannst Du die andere Seite nicht erreichen? ping, telnet, ssh, …? Kannst Du die Firewall erreichen? Kannst Du den Router erreichen? Klappt die Erreichbarkeit dieser beiden Geräte und sind nur externe Maschinen „tot“?
Ich kann rein gar nichts: Ping, HTTP, Telnet, Gopher, SMTP, DNS,
Ums noch mal zu verdeuttliche: Hinter der Firewall ist nichts erreichbar. Da der WAN-Port (Netzwerkport = Netzkarte) der Firewall auch bereits „hinter der Firewall“ liegt, kann ich auch diese nicht erreichen.
Zur Verdeutlichung
o.) zwischen der Firewall und dem Router ist ein TransferNetz.
Ich vermute folgendes
|Router|-----|Firewall|------|internes Netz|
Was meinst Du mit „TransferNetz“?
Richtig erkannt, genau so ist es!
Aber die Frage im letzten Absatz ist doch nicht ernst gemeint oder?
Wenn doch dann: Das Netzwerk zwischen Firewall und Router ist ein Transfernetz. Geliebt wie ein Kropf und doch unabdingbar. Wie glaubst Du, kommen die Packte von der Firewall zum Router und ins Internet? Richtig, weil beide Geräte „multihomed“ sind, und daher auf beiden Seiten einen (Netzwer)-Port und damit eine IP-Nummer haben. Merke Netzwerk-Port, nicht IP-Port!
Das sollte aber keine Problem sein.
Was kann da falsch laufen?
Kann man nie wissen, solange es nicht funktioniert.
Ich sehe das als (zweit)-einfachste Form der Netzverbindung! Das funktioniert überall, und wird auch bei mir funktionieren. Nur leider nicht auf Anhieb!
Erfahrungsgemäß vieles.
Muss ich wohl zur Kenntnis nehmen!
Ich habe eine „Black-BOX“ Firewall von 3COM OfficeConnet Firewall 25
Die kenne ich nicht.
Schade!
Die ist so voreingestellt, daß mit minimalem Aufwand die Sache laufen sollte.
voreingestellt - von 3COM?
Jow, von 3com! Die meisten Leute stellen sich was furchtbar komplizierte unter einer Firewall vor! Für winzige Netzwerke muß das nicht kompliziert sein: Du bestimmst welche Dienste (=IP-Ports) (DNS, HTT, SMTP, POP) in welche Richtung dürfen, und fertig.
o.) IP - Nummern für WAN- und LAN-Port
o.) die nach aussen sichtbare (PAT) Adresse
Vielleicht versteh ich da was nicht - die (IP-) Adresse hat in ihrer elementaren Form ja nichts mit ports zu tun. In der
Anwendung sind zwar beide gemeinsam beteiligt, jedoch sollten sie in diesem Fall wohl getrennt betrachtet werden.
Na sehr firm scheinst Du mir nicht zu sein 
(tschuldige!)
Wenn von WAN- und LAN- Ports die Rede ist, dann meint man damit Netzwerk-Ports (=Netzanschlüsse), nicht IP-Ports!
Es fällt mir schwer zu glauben, daß das neu ist für Dich?
o.) und Regeln
Wie lauten diese?
Wie bereits gesagt: Raus alle wichtigen Dienste (SMTP, HTTP, …), rein gar nichts? Hältst Du das für kompliziert?
Es könnte sein, daß Du PAT und NAT durcheinander bringst. Ist es seitens der Telekom okay, daß Du interne Adressen (eine oder mehrere) vergibst, die der Router dann umwandelt? Hast Du direkten Zugriff auf die Routerkonfiguration?
Hey! Versuch Dir vorzustellen, warum ich xDSL verwendet habe: Weil es ein Firmenzugang zum Internet ist. Und eine Firma hat nur mal mehr als einen (=1) PC. Und da ich am Router ins Internet nur eine IP-Nummer habe, ist PAT sowieso voraussetzung.
An den Router kommt ich nicht direkt. Das macht die Post nach meinen Wünschen. Sprich: ich habe gesagt wos lang geht und genau so wurde es eingerichtet. Leider habe ich keine Möglichkeit, das zu kontrollieren. Ich sehe nur waS durch geht (im Moment nichts), sonst nichts. Allerdings muß mir den Knülch von der Post noch mal zur Hand gehen, wenns nicht läuft!
IMO ist es immer der falsche Weg, bei einer Firewall-Installation auf voreingestellte Dinge zurückzugreifen. Niemand kennt die Bedürfnisse besser als (in diesem Falle) Du. Hat diese 3COM-Firewall auch ein logfile? Da stehen meistens brauchbare Dinge drin.
Genau! Darum habe ich das Netzwerkschema entwofen und das xDSL dann in Auftrag gegeben.
Das mit den Logfiles ist eine gute Idee: Leider sehe ich da nur, daß der WAN-Port nicht online geht. Das würde bedeuten, daß der Router was hat. Der hat aber nichts, ich kann mit einem direkt angeschlossenem PC surfen. Wenn ich das nicht in den Griff kriege, muß ich noch mal mit 3com reden!
Bitte nimms mir nicht krumm, daß ich sehr direkt geantwortet habe. Ich wollte Dir nicht zu nahe tretten, aber doch verduetlichen, worums mir geht.
Leider scheint noch keiner hier eine Feierwall konfiguriert zu haben?!
Trotzdem herzlichen Dank und Gruß an Dich!
Herbert
