Routerfirewall

Hi,

Ich habe viel gelesen, aber immer noch nicht den Durchblick

Router = DLink 624+ incl. Firewall (nur Grundeinstellungen und 1em PC den Port 80 geblockt), diverse Windowsdienste deaktiviert, feste IPs, MS-Sicherheitscenter deaktiviert, keine Firewall auf System, nur AntiVirGuard.

Port-Scan.de ergab bei allen mögl. Tests, dass ich anscheinend recht sicher bin.
Port 131 (Authentication Service) geschlossen, 0 offen, 0 gefiltert.
Auch andere Tests zeigen zumindest Status stealth. Bisher nirgends beunruhigende Meldungen.
Nessus Internsivscan lasse ich gerade nochmals laufen, da er mir abbrach. (Standbymodus war nicht deakaktiviert *gg*)

Irgendwo habe ich gelesen, man soll dennoch gewisse Adressen irgendwie blocken.
Unter anderem auch 127.0.0.1 (local host?).

Würde mich freundlicherweise jmd. aufklären, ob ich in der Routerfirewall etwas einstellen soll, und falls ja, was?

Das wäre echt toll.

Wie das dann genau geht, werde ich dann schon irgendwie rausfinden.

thx and bye

Hi,

das verstehe ich nicht. Der PC war die ganze Nacht an.
Die Seite habe ich offen gelassen, obwohl da stand ich kann sie verlassen.

Im Nessusreport steht:
Number of hosts which were alive during the test : 0

[1] Sie haben kurz nach den Scanbeginn ihre Internetverbindung getrennt.

[2] Sie haben den Portscan mehrmals mit ein und der selben IP-Adresse durchgeführt

[3] Sie verwenden eine Firewall oder Router oder beides, der die IP-Pakete nicht durchreicht.

[4] Sie verwenden eine Netzwerkverbindung aus einem privaten IP-Bereich
(10.0.0.0-10.255.255.255, 172.16.0.0-172.16.255.255, 192.168.0.0-192.168.255.255)

[5] Port-Scan konnte das Zielsysten nicht erkennen weil das ICMP-Protokoll (ping) nicht
nicht freigegeben wurde.

Und nun?

bye

Hallo,

Im Nessusreport steht:
Number of hosts which were alive during the test : 0

Das bedeutet vermutlich, dass mindestens eine dieser Möglichkeiten zutrifft, bei dir vermutlich

[5] Port-Scan konnte das Zielsysten nicht erkennen weil das
ICMP-Protokoll (ping) nicht
nicht freigegeben wurde.

Grüße,
Moritz

Hallo,

Das bedeutet vermutlich, dass mindestens eine dieser
Möglichkeiten zutrifft, bei dir vermutlich

[5] Port-Scan konnte das Zielsysten nicht erkennen weil das
ICMP-Protokoll (ping) nicht
nicht freigegeben wurde.

danke für die schnelle Antwort.

Dann ist doch sicher alles im grünen Bereich. Klingt jedenfalls gut.

Somit benötige ich also keine besonderen Einstellungen?!

bye

Hallo Marion,

Somit benötige ich also keine besonderen Einstellungen?!

Nein. Durch das NAT-Routing prinzip bist du hinreichend geschuetzt, wenn du keine Ports weiterleitest.

Wenn allerdings mehrere PCs in deinem Netz haengen und einer ist befallen, schuetzt dein Router deine anderen PCs nicht. Der schuetzt dich „nur“ gegen alles was von aussen kommt.

der Guenther

Hi Günther,

Somit benötige ich also keine besonderen Einstellungen?!

Wenn allerdings mehrere PCs in deinem Netz haengen und einer
ist befallen, schuetzt dein Router deine anderen PCs nicht.
Der schuetzt dich „nur“ gegen alles was von aussen kommt.

Kann man hiergegen Einstellungen vornehmen?
Wie?

OT:
Überlegung besteht, einen alten Pentium 2 als ‚zusätzlichen Schutz‘ dazwischen zu schalten. Ist aber wohl zu klein für XP.
Habe auch keine XP Install-CD, nur Recovery. Kann man sich aber wohl auch ohne Install-CD basteln, nur mit dem I386 Ordner und Bart PE Builder.

thx and bye

Hallo Marion,

Kann man hiergegen Einstellungen vornehmen?

Indem man alle Dienste am Rechner abschaltet, die Ports oeffnen und die nicht gebraucht werden.

http://www.dingens.org/

OT:
Überlegung besteht, einen alten Pentium 2 als ‚zusätzlichen
Schutz‘ dazwischen zu schalten.

Wozwischen soll der denn geschaltet werden? Wovor soll der Schuetzen? Wenn der dich vor Angriffen aus dem Internet schuetzen soll, kannst du das lassen, der Router schuetzt euch genug.

Gegen Angriffe aus dem internen Netz kann der dich aber auch nicht schuetzen.

Ist aber wohl zu klein für XP.

Was du vorhast koennte ein 2000 sicher auch, das geht generell auf solchen Eimern (XP meistens auch, wenn >=128MB Speicher). Aber wie gesagt, ich denke nicht, dass das funktioniert wie du es denkst.

Habe auch keine XP Install-CD, nur Recovery. Kann man sich
aber wohl auch ohne Install-CD basteln, nur mit dem I386
Ordner und Bart PE Builder.

Du darfst eine Recovery-Version nur auf dem Rechner installieren, auf dem es urspruenglich installiert wurde. Ansonsten ist es Softwarediebstahl.

Auch wenn du eine vernuenftige XP-Install CD zu deinem anderen Rechner bekommen haettest, hast du dafuer nur ne Einzelplatzlizens.

Damit darfst du das auch nicht nochmal installieren. Das ist kein Kavaliersdelikt, sondern Diebstahl von mehreren Hundert Euro.

der Guenther

Hi again,

Indem man alle Dienste am Rechner abschaltet, die Ports
oeffnen und die nicht gebraucht werden.

http://www.dingens.org/

danke! Und auch http://www.ntsvcfg.de/
kenne ich.

Abgeschaltete Dienste erwähnte ich ja und zeigen, dachte ich, auch die Ergebnisse der Scans.

Genau damit habe ich z. B. ein Problem:

Dazu filtern Sie alle Pakete, die von außen ankommen, und als Absenderadresse eine aus den Netzen 192.168.0.0/16, (C-Netz?) 10.0.0.0/8, (A-Netz?) 172.16.0.0/12 (B-Netz?) oder 127.0.0.0/8 (Local Host?) haben. (Aber was bedeutet das/16 /8 + oder bis?)
Zweckmäßig ist es auch, alle Pakete zu filtern, die von außen ankommen, und nicht für die Adresse der externen Schnittstelle bestimmt sind, sprich: eine andere Zieladresse haben als die externe Schnittstelle.

Das ist für Anfänger ja absolut leicht verständlich. Woran erkenne ich, was von außen kommt (WAN?), was oder wo ist die externe Schnittstelle, welche Zieladresse hat diese?

Ich hoffte, dass mir hier jmd. eine grobe Einführung, bzw. konkrete Hinweise liefern kann.
Klar, kann ich mir auch alles wieder mühsam selbst anlesen, aber versuchen kann man es ja

Wozwischen soll der denn geschaltet werden? Wovor soll der
Schuetzen? Wenn der dich vor Angriffen aus dem Internet
schuetzen soll, kannst du das lassen, der Router schuetzt euch
genug.

Vermutlich ein Verständnisproblem, Gedankenfehler von mir. Dachte, dass der Traffic erst über den PC geht und im Falle einer Infektion, dort zuerst etwas crasht, bevor es in mein Netzwerk gelangt.
Alles recht viel Stoff zum autodidaktisch erlernen und ohne Hilfe.
Mir fehlt irgendwie oft der Gesamtzusammenhang dieser einzelnen Puzzleteilchen meines ‚Wissens‘.

Habe auch keine XP Install-CD, nur Recovery. Kann man sich
aber wohl auch ohne Install-CD basteln, nur mit dem I386
Ordner und Bart PE Builder.

Du darfst eine Recovery-Version nur auf dem Rechner
installieren, auf dem es urspruenglich installiert wurde.
Ansonsten ist es Softwarediebstahl.

Stimmt, aber für den Laptop kann ich dennoch ne selbstgebastelte Install-Boot-CD brauchen und benutzen. BS XP hab ich ja eine Lizenz, wenn auch nur OEM. Kontrolliert bei Privatleuten eh keiner, nehme ich an. Wäre recht viel Aufwand.

thx und bye

Hallo Marion

Versuche Dir mal ein paar Antworten zu geben.

Dazu filtern Sie alle Pakete, die von außen ankommen, und als Absenderadresse eine aus den Netzen 192.168.0.0/16, (C-Netz?) 10.0.0.0/8, (A-Netz?) 172.16.0.0/12 (B-Netz?) oder 127.0.0.0/8 (Local Host?) haben. (Aber was bedeutet das/16 /8 + oder bis?)

1a)
Nun das „/16“ gibt die Anzahl von Einsen in der Subnet-Maske an.
/8 entspricht in ‚doted‘ Format also 255.0.0.0
/16 entspricht 255.255.0.0

1b)
Früher unterschied man Netzwerk-Klassen. Dabei gab die Klassen A, B und C.
A-Netze haben IP-Adressen von 1.x.x.x bis 127.x.x.x und eine 8-Bit Subnet-Maske (also 255.0.0.0 oder /8)
B-Netze haben IP-Adressen von 128.x.x.x bis 191.x.x.x und eine 16-Bit Subnet-Maske
C-Netze haben IP-Adressen von 192.x.x.x bis 223.x.x.x und eine 24-Bit subnetmaske
Höhere IP-Adressen sind reserviert für Multicast und Entwicklungsanwendungen

(Heutzutage spielt diese ursprüngliche Einteilung keine Rolle mehr)

Aus diesen Klassen-Bereichen wurden wiederum einige Teilbereiche für spezielle Anwendungen reserviert.
127.x.x.x ist für locale Anwendungen
Die anderen von Dir aufgezählten Bereiche sind sogenannte „Private“ Adressbereiche … das heisst diese können frei, innerhalb Deines Unternehmens verwendet werden.
ABER im Internet werden diese Adressbereiche nicht verwendet.
Wenn Du also ein solches Packet empfängst, dann ist dies höchstwahrscheinlich ein gefälschtes Packet.

Woran erkenne ich, was von außen kommt (WAN?), was oder wo ist die externe Schnittstelle, welche Zieladresse hat diese?

Die externe Schnittstelle ist Dein Internet-Anschluss, sprich der Port auf Deinem Router, der nach aussen zeigt.

Ganz generell scheint mir bei Dir ein Verständniss-Problem zu herschen.
Du kannst Dein internes Netz nicht gegeneinander absichern - und gegen das Internet hilft Deine Router-Firewall. Ob Du innerhalb des Netzes wirklich Schutz-Mechanismen brauchst, wage ich aber zu bezweifeln.

BTW:
Punkte 1&2 sind ziemlich einfache Grundlagen, wenn Du Dich ernsthaft (oder beruflich) damit auseinandersetzt, empfehle ich Dir dringend einen Grundlagen-Kurs über TCP/IP zu machen!

Seppi

Stimmt, aber für den Laptop kann ich dennoch ne
selbstgebastelte Install-Boot-CD brauchen und benutzen. BS XP
hab ich ja eine Lizenz, wenn auch nur OEM. Kontrolliert bei
Privatleuten eh keiner, nehme ich an. Wäre recht viel Aufwand.

Hää???
Vielleicht verstehe ich nicht was Du meinst, aber Du darfst ein BS nur einmal installieren. Wenn Du eine WinXP-Lizenz für den Laptop hast, darfst Du da natürlich XP installieren (OEM oder nicht spielt keine Rolle) … allerdings frage ich mich dann, wieso Du keine CD hast.

Wenn die XP-Lizenz bereits für einen anderen PC verwendet wird (zB. an deinem Schreibtisch), darfst Du sie nicht nochmals verwenden - auch wenn beide Computer Dir gehören.

Wegen der Kontrolle wäre ich mir übrigens nicht so sicher …

Seppi

hi Seppi,

Versuche Dir mal ein paar Antworten zu geben.

das ist nett

Dazu filtern Sie alle Pakete, die von außen ankommen, und als :Absenderadresse eine aus den Netzen 192.168.0.0/16, (C-Netz?) :10.0.0.0/8, (A-Netz?) 172.16.0.0/12 (B-Netz?) oder 127.0.0.0/8 (Local :Host?) haben. (Aber was bedeutet das/16 /8 + oder bis?)

1a)
Nun das „/16“ gibt die Anzahl von Einsen in der Subnet-Maske
an.
/8 entspricht in ‚doted‘ Format also 255.0.0.0
/16 entspricht 255.255.0.0

Ich seh zwar keine Einsen aber: /24 entspricht dann 255.255.255.0???
(*grübelmode* das läuft jetzt bestimmt unter Rubrik Dummheit.)

1b)
(Heutzutage spielt diese ursprüngliche Einteilung keine Rolle
mehr)

O.K. von diesen Netzen hörte ich und hab die aus ner Liste abgelesen.

Aus diesen Klassen-Bereichen wurden wiederum einige
Teilbereiche für spezielle Anwendungen reserviert.
127.x.x.x ist für locale Anwendungen
Die anderen von Dir aufgezählten Bereiche sind sogenannte
„Private“ Adressbereiche … das heisst diese können frei,
innerhalb Deines Unternehmens verwendet werden.

Also vermutlich meine in den TCP/IP Einstellungen zugeordnete festen IPs.

ABER im Internet werden diese Adressbereiche nicht verwendet.
Wenn Du also ein solches Packet empfängst, dann ist dies
höchstwahrscheinlich ein gefälschtes Packet.

Soweit hatte ich das auch so verstanden.

Woran erkenne ich, was von außen kommt (WAN?), was oder wo ist die ::externe Schnittstelle, welche Zieladresse hat diese?

Die externe Schnittstelle ist Dein Internet-Anschluss, sprich
der Port auf Deinem Router, der nach aussen zeigt.

Das was mir z. B. Active Ports unter ‚Remote Port‘ im Protocol TCP -> Path c:\x\x\Firefox.exe, oder AVGNT.exe anzeigt?
Oder die Ports, unter denen meine Router IP angezeigt wird? Die steht aber nur unter der Rubrik ‚local Port‘ und nur einer davon ist TCP, der Rest ist UDP.

Ist wahrscheinlich ne zu große Zumutung. Kapier leider nicht, woran ich erkenne, was von außen kommt. Um etwas von draußen zu blocken muss ich das ja zuordnen können.

Ich lese also nochmal dieses fucking english Manual und probiere irgendwie durchzusteigen und versuch es dann ggfls. im D-Link Forum.

Ganz generell scheint mir bei Dir ein Verständniss-Problem zu :herschen.
Du kannst Dein internes Netz nicht gegeneinander absichern - und :gegen das Internet hilft Deine Router-Firewall. Ob Du innerhalb des :Netzes wirklich Schutz-Mechanismen brauchst, wage ich aber zu :bezweifeln.

Beziehst du das jetzt auf den zwischengeschalteten PC?
Ja, da gehe ich wie erwähnt, von Verständnisproblemen aus. Ist auch nicht aktuell.

BTW:
Punkte 1&2 sind ziemlich einfache Grundlagen, wenn Du Dich ernsthaft oder beruflich) damit auseinandersetzt, empfehle ich Dir dringend :einen Grundlagen-Kurs über TCP/IP zu machen!

Mich fasziniert das alles, aber es fällt mir nicht leicht, mir das Wissen anzueignen. Mich verwirrt noch vieles. Müssen muss ich das nicht können, aber würden tät ichs gerne *g*
Leider haben meine Freunde mit solchen Sachen nichts am Hut. Da kann ich nur in Foren fragen. Darum auch meine Anmeldung hier, da mir die Gegenseitigkeit gefällt.

Danke für deine Mühe.

bye

hi again,

Hää???
Vielleicht verstehe ich nicht was Du meinst, aber Du darfst
ein BS nur einmal installieren. Wenn Du eine WinXP-Lizenz für
den Laptop hast, darfst Du da natürlich XP installieren (OEM
oder nicht spielt keine Rolle) … allerdings frage ich mich
dann, wieso Du keine CD hast.

Weil es ein vorinstalliertes XP ist und ich nur sone doofe Recovery CD habe. Reparaturoption von Original Install Cd fehlt da z. B. und sicher noch einiges mehr.

Wenn die XP-Lizenz bereits für einen anderen PC verwendet wird
(zB. an deinem Schreibtisch), darfst Du sie nicht nochmals
verwenden - auch wenn beide Computer Dir gehören.

Danke, schon klar. Für jeden PC ne extra Lizenz, sprich 2 PCs = 2 XPs.

Wegen der Kontrolle wäre ich mir übrigens nicht so sicher …

Mir auch egal, da bisher legal unterwegs.

bye

Ich seh zwar keine Einsen aber: /24 entspricht dann
255.255.255.0???
(*grübelmode* das läuft jetzt bestimmt unter Rubrik Dummheit.)

Genau, das stimmt.
Nun, in der Informatik besteht alles aus Einsen und Nullen. Die obige Subnet-Maske sieht in realität so aus: 11111111111111111111111100000000

Da dies kein Mensch lesen kann, hat man sich geeinigt entweder die Anzahl Einsen (24) anzugeben oder die 32 Bit in 8-er Gruppen zu teilen und die Gruppen einzeln in Dezimalzahlen umzurechnen.

Aus diesen Klassen-Bereichen wurden wiederum einige
Teilbereiche für spezielle Anwendungen reserviert.
127.x.x.x ist für locale Anwendungen
Die anderen von Dir aufgezählten Bereiche sind sogenannte
„Private“ Adressbereiche … das heisst diese können frei,
innerhalb Deines Unternehmens verwendet werden.

Also vermutlich meine in den TCP/IP Einstellungen zugeordnete
festen IPs.

Kann, muss aber nicht sein.
Manche Service-Provider verteilen auch IP-Adressen aus ihrem offiziellen Internet-Tauglichen bereich … spätestens an deinem Internet-Gateway brauchst Du eine solche offizielle Adresse.

Woran erkenne ich, was von außen kommt (WAN?), was oder wo ist die ::externe Schnittstelle, welche Zieladresse hat diese?

Die externe Schnittstelle ist Dein Internet-Anschluss, sprich
der Port auf Deinem Router, der nach aussen zeigt.

Das was mir z. B. Active Ports unter ‚Remote Port‘ im Protocol
TCP -> Path c:\x\x\Firefox.exe, oder AVGNT.exe anzeigt?
Oder die Ports, unter denen meine Router IP angezeigt wird?
Die steht aber nur unter der Rubrik ‚local Port‘ und nur einer
davon ist TCP, der Rest ist UDP.

Ist wahrscheinlich ne zu große Zumutung. Kapier leider nicht,
woran ich erkenne, was von außen kommt. Um etwas von draußen
zu blocken muss ich das ja zuordnen können.

Ich lese also nochmal dieses fucking english Manual und
probiere irgendwie durchzusteigen und versuch es dann ggfls.
im D-Link Forum.

Kenne D-Link selber nicht, aber vermutlich muss man eine Begriffsverwirrung auflösen.

Der Begriff „Port“ bezieht sich oft auf physikalische Anschlüsse (Buchsen) und ein solcher war auch der erwähnte Anschluss an welchem die IP-Adressen gefiltert werden sollten.

Mit „Ports“ wird aber auch die Ansteuerung verschiedener Software-Prozesse aus dem Netzwerk bezeichnet. (http benutzt zB. per default port 80)
Die Ports in deiner Antwort hier sind solcher und nicht zu verwechseln mit den physikalischen Ports.

Seppi

in jeder Hinsicht.

Vielen Dank für deine Ausführungen.

Ich werde meine Ausdrucksfähigkeit noch ein bisschen schulen und bis dahin alles lassen wie es ist.

Soll doch da von irgendwo draußen reinkommen was will.
Wenn nichts mehr geht, geht Platt machen.

Der Begriff „Port“ bezieht sich oft auf physikalische
Anschlüsse (Buchsen) und ein solcher war auch der erwähnte
Anschluss an welchem die IP-Adressen gefiltert werden sollten.

= Modembuchse am Router. Router = Filter?

Mit „Ports“ wird aber auch die Ansteuerung verschiedener
Software-Prozesse aus dem Netzwerk bezeichnet. (http benutzt
zB. per default port 80)
Die Ports in deiner Antwort hier sind solcher und nicht zu
verwechseln mit den physikalischen Ports.

Physikalische Ports filtern. ‚Anfrage Ports‘ filtern.
Wo gehts zum Hauptbahnhof?

Das Einzige, was außer Bahnhof in meinem Köpfchen abläuft ist.
Sag deinem Router, er soll alles was von draußen kommt und aussieht, als würde es von innen kommen, ablehnen.

Wo ist draußen? Da wo das Internet über den physikalischen Port= Leitung=Kabel=Modem rein kommt.
Wie der Router den Port nennt (identifiziert) ist nun herauszufinden, damit ich dem Router sagen kann, wenn von da=extern was rein will, das eigentlich nur intern ist und sein darf, behandele es anders, als wenn es von dort=intern kommt aber ganau so aussieht
(Absenderadresse 192.168.0.0/16, 10.0.0.0/8, 172.16.0.0/12 oder 127.0.0.0/8 haben.)

Herr wirf Hirn vom Himmel.

outende and diffused Greetings

Hallo Marion,

Der Begriff „Port“ bezieht sich oft auf physikalische
Anschlüsse (Buchsen) und ein solcher war auch der erwähnte
Anschluss an welchem die IP-Adressen gefiltert werden sollten.

= Modembuchse am Router. Router = Filter?

Nein. Port ist einfach nur eine Schnittstelle. Das kann entweder Hardwaremaessig gesehen eine Buchse sein oder eben Softwaremaessig eine Schnittstelle, wo Informationen übertragen werden können.

Ein Router ist auch ein Filter. Aber in erster Linie ist es ein Router.

Das was du mit Activescan siehst ist nur das, was dein Computer an Ports in dein lokales Netz aufhat. Das zeigt dir nicht an, was dein Router für offene (Software-)Ports hat.

Dein Router ist insofern ein Filter, dass er nur das rein lässt, was von innen angefordert ist. Also du schickst mit deinem Browser eine Anfrage und die Antwort wird von deinem Router an deinen PC übermittelt.

Ein offener Port an deinem Rechner schickt aber keine Anfragen, der wartet „nur“, dass Anfragen an ihn kommen. Und weil das so ist, wird der Port nicht „nach aussen“ (also ins Internet) geöffnet und dein Rechner ist sicher.

Ich hoffe, das war jetzt halbwegs verständlich.

Das Einzige, was außer Bahnhof in meinem Köpfchen abläuft ist.
Sag deinem Router, er soll alles was von draußen kommt und
aussieht, als würde es von innen kommen, ablehnen.

Das ist richtig, sollte er aber als lieber Router von Hause aus machen.

Wo ist draußen? Da wo das Internet über den physikalischen
Port= Leitung=Kabel=Modem rein kommt.

Okay. Jetzt wird es schwierig. Denn „Internet“ usw. sind per Definition in einer anderen Schicht des ISO-OSI Modells. Musst du jetzt nicht verstehen. Aber Fakt ist, dass Kabel, Leitung, Modem noch kein Internet machen. Sie sind nur die Basis für die Anwendung „Internet“. Unklar? Egal.

Was man gemeinhin als draussen bezeichnet ist das Internet. Sozusagen das Strassennetz.

„Drinnen“ ist dein Computer, sozusagen dein Haus.

In deinem Haus hast du sehr viele Türen auf die Strasse. Wenn ein Dienst was auf der Strasse anbieten will, macht er sich eine Tür auf und wartet auf Anfragen. Wenn der Dienst nun liederlich programmiert ist, kann es vorkommen, dass böse Menschen am Dienst vorbei dein Haus besetzen. Und das willst du verhindern.

Jetzt kommt dein Router ins Spiel.

Er baut einen Zaun um alle Computer im LAN, also um alle Häuser und macht alle seine Türen zu. Er definiert drinnen nicht als nur ein Haus, sondern als ein Verbund aus Häusern mit einer kleinen Strasse innerhalb des Zaunes.

Willst du aus deinem Haus was von der großen Strasse ausserhalb des Zaunes, fragst du beim Zaunmeister (Routersoftware) an, ob du das kriegen kannst, der leitet die Anfrage weiter und übermittelt dir die Antwort.

Die Türen an deinem Haus können jetzt immernoch offen sein. Aber weil kein Dienst mehr auf der richtigen Strasse, sondern nur noch auf der Strasse innerhalb des Zaunes was anbieten kann, ist dein Haus vor Angriffen von aussen (also die grosse Straße) geschützt.

Die von mir beschriebenen Türen sind Software-Ports und grosse Strasse ist die „Anwendung“ Internet.

Wie der Router den Port nennt (identifiziert) ist nun
herauszufinden, damit ich dem Router sagen kann, wenn von
da=extern was rein will, das eigentlich nur intern ist und
sein darf, behandele es anders, als wenn es von dort=intern
kommt aber ganau so aussieht

Sieht es aber nicht. Dein Zaunmeister weiss was innen und was aussen ist. Und wenn eine Anfrage rausgeschickt wird und eine Antwort sieht aus, als wenn sie von innen kommt, sollte der Zaunwächter die Türe zuschlagen.

Herr wirf Hirn vom Himmel.

*Platsch*

Ich hoffe ich habe das jetzt halbwegs verständlich erklärt. Wenn du noch Fragen hast, nur zu.

Der Günther.

Mich fasziniert das alles, aber es fällt mir nicht leicht, mir
das Wissen anzueignen. Mich verwirrt noch vieles. Müssen muss
ich das nicht können, aber würden tät ichs gerne *g*
Leider haben meine Freunde mit solchen Sachen nichts am Hut.
Da kann ich nur in Foren fragen. Darum auch meine Anmeldung
hier, da mir die Gegenseitigkeit gefällt.

Ein guter Startpunkt ist auch:
[FAQ:476]

LG
Stuffi

Hallo Güther,

Folgendes waren ja meine Ausgangsfragen:
Irgendwo habe ich gelesen, man soll dennoch gewisse Adressen irgendwie blocken. Unter anderem auch 127.0.0.1 (local host?).
Würde mich freundlicherweise jmd. aufklären, ob ich in der Routerfirewall etwas einstellen soll, und falls ja, was?

Konkret war mein Problem diese Aussage:
Dazu filtern Sie alle Pakete, die von außen ankommen , und
als Absenderadresse eine aus den Netzen 192.168.0.0/16, 10.0.0.0/8,
172.16.0.0/12 oder 127.0.0.0/8 haben.

Seppi schrieb:
ABER im Internet werden diese Adressbereiche nicht verwendet.
Wenn Du also ein solches Packet empfängst, dann ist dies
höchstwahrscheinlich ein gefälschtes Packet.

Soweit war mir ja auch alles klar, dass das interne Adressbereiche sind (IPs A-CNetz).

Auch Seppi bekommt ein Stern *STERN*

Dein Router ist insofern ein Filter, dass er nur das rein lässt,
was von innen angefordert ist. Also du schickst mit deinem
Browser eine Anfrage und die Antwort wird von deinem Router an
deinen PC übermittelt.

Eben.

Das Einzige, was außer Bahnhof in meinem Köpfchen abläuft ist.
Sag deinem Router, er soll alles was von draußen kommt und
aussieht, als würde es von innen kommen, ablehnen.

Das ist richtig, sollte er aber als lieber Router von Hause aus
machen.

Wie der Router den Port nennt (identifiziert) ist nun
herauszufinden, damit ich dem Router sagen kann, wenn von
da=extern was rein will, das eigentlich nur intern ist und
sein darf, behandele es anders, als wenn es von dort=intern
kommt aber ganau so aussieht

Sieht es aber nicht. Dein Zaunmeister weiss was innen und was
aussen ist. Und wenn eine Anfrage rausgeschickt wird und eine
Antwort sieht aus, als wenn sie von innen kommt, sollte der
Zaunwächter die Türe zuschlagen.

Was soll dann aber die obige Aussage ‚Pakete die von außen kommen und den internen Adressbereich‘ nutzen zu filtern? Wenn doch der Router sowieso nur reinlässt,
was von innen angefordert wird, und nicht das, was von außen ungefragt gesendet wird!
Genau das habe ich bis jetzt leider noch immer nicht verstanden, zumal mein Router
ja auf fremde Anfragen nicht antwortet. (Siehe meine Portscan Ergebnisse)

Für mich sagt dieser Satz aus, dass man einen Filter einstellen soll der unterbindet, dass
Pakete mit ‚gefälschten‘ Adressen in mein internes Netz weitergeleitet werden.
Ich wollte doch einfach nur wissen, was damit gemeint ist.
Da ich schon meinte, einigermaßen zu kapieren, was ein Router macht, konnte ich mit diesen gefälschten Paketen eben nichts anfangen. Es klingt so, als müsse man dafür explizit etwas einstellen, weil der Router diese gefälschten Pakete nicht automatisch erkennt. Auch verstand ich nicht, warum da von außen was reinkommen könnte, ohne dass von innen entsprechendes angefordert wurde.

Und jetzt kommt auch noch das dazu:

Zweckmäßig ist es auch, alle Pakete zu filtern, die von außen
ankommen, und nicht für die :Adresse der externen Schnittstelle
bestimmt sind, sprich eine andere Zieladresse haben als die externe
Schnittstelle.

Also doch etwas zusätzlich filtern. Jetzt geb ich es wirklich auf. Sonst muss ich noch annehmen ich wäre strunzdumm.
Die Verwirrung ist komplett. Oben schreibst du noch schön bildlich mit viel Liebe und Mühe, wie und dass der Router alles von Haus aus macht und man nichts einstellen muss.
Nun erzählst du mir was über externe Schnittstellen und Pakete filtern die von außen kommen.

Wobei wir wieder bei meiner eigentlichen Ausgangsfrage wären *g*

Jetzt wäre es aber nett, wenn du das da oben konkretisierst. Sag mir bitte was genau ich machen soll.

Herr wirf Hirn vom Himmel.

*Platsch*

Verfehlt

Ich hoffe ich habe das jetzt halbwegs verständlich erklärt.

Ja du hast alles wirklich super erklärt.
Besonders die Straßen und Häusergeschichte hast du wirklich süß beschrieben
Du bekommst auch wenigsten hier eine Sternchen *STERN*
Auch wenn es nicht so aussieht, aber einiges hatte ich eigentlich schon begriffen.

Wenn du noch Fragen hast, nur zu.

Ja! Erkläre mir bitte, was die damit meinen:

Dazu filtern Sie alle Pakete, die von außen ankommen, und
als Absenderadresse eine aus den Netzen 192.168.0.0/16, 10.0.0.0/8,
172.16.0.0/12 oder 127.0.0.0/8 haben.

Und was du damit meinst:

Zweckmäßig ist es auch, alle Pakete zu filtern, die von außen ankommen, und nicht für die Adresse der externen Schnittstelle bestimmt sind, sprich: eine andere Zieladresse haben als die externe Schnittstelle.

Vielen Vielen Dank für den riesigen Aufwand.

bye stupid Marion

Hallo Marion,

Hallo Güther,

Günther. Soviel Zeit muss sein.

Wenn du noch Fragen hast, nur zu.

Ja! Erkläre mir bitte, was die damit meinen:

Ich kann es ja mal versuchen.

Dazu filtern Sie alle Pakete, die von außen ankommen, und
als Absenderadresse eine aus den Netzen 192.168.0.0/16,
10.0.0.0/8,
172.16.0.0/12 oder 127.0.0.0/8 haben.

Wie gesagt, sind diese IPs (Hausnummern) nur innerhalb deines Zaunes gültig. Auf der grossen Strasse sind diese Hausnummern verboten.
Das heißt im Umkehrschluss, wenn von der Großen Strasse ein Paket mit einer solchen Absendeadresse ankommt, ist es mit Sicherheit gefälscht.

Ich kenne deinen Router nun nicht, aber normalerweise sollte das der Router das von alleine blocken und es sollte keiner Anpassung deinerseits bedürfen.

Mal anders rum gefragt: Bietet die Konfiguration des Routers Möglichkeiten, eine derartige Filterung einzustellen? Wenn nicht, ist es ohnehin müßig, sich darüber den Kopf zu zerbrechen.

Und was du damit meinst:

Zweckmäßig ist es auch, alle Pakete zu filtern, die von außen
ankommen, und nicht für die Adresse der externen Schnittstelle
bestimmt sind, sprich: eine andere Zieladresse haben als die
externe Schnittstelle.

Hab ich das geschrieben? Kann ich mich gar nicht erinnern. Aber egal.

Wenn an deinem Zaunwächter ein Paket ankommt, was nicht explizit für dich ist (z.B. über Broadcast oder Multicast), könnte dein Zaunwächter es unter Umständen trotzdem abliefern. Das ist auch sinnvoll, wenn du diese Dienste nutzen willst.
Aber auch hier kenne ich deinen Router nicht genug. Vermutlich filtert er das ohnehin (also stellt es nicht zu). Die meisten Router, die so für den privaten Gebrauch bestimmt sind, bieten derartige Einstellmöglichkeiten nicht. Da ist irgendwas voreingestellt und du musst damit leben.

Aber ich glaube du überschätzt die Gefahr etwas. Wenn ein Portscan gut verlaufen ist und du mit eingeschränkten Benutzerrechten sowie Firefox und Thunderbird das Internet benutzt, solltest du relativ sicher sein.
Egal was von aussen kommt, zuerst wird dein Zaunwächter beschossen. Im schlimmsten Fall könnte es passieren, dass dein Router kurzzeitig den Dienst quittiert, aber die Gefahr für deinen Rechner ist äusserst gering.

stupid Marion

Jetzt hör aber auf. Noch Fragen? Nur zu!

der Günther

Hallo Güther,

sorry, dass ich jetzt erst antworte. Musste So Morgen erst regenerieren (war ne lange Nacht *gg*) und Sonntagabend wurde es wieder spät.

Dazu filtern Sie alle Pakete, die von außen ankommen, und
als Absenderadresse eine aus den Netzen 192.168.0.0/16,
10.0.0.0/8,
172.16.0.0/12 oder 127.0.0.0/8 haben.

Wie gesagt, sind diese IPs (Hausnummern) nur innerhalb deines
Zaunes gültig. Auf der grossen Strasse sind diese Hausnummern
verboten.
Das heißt im Umkehrschluss, wenn von der Großen Strasse ein
Paket mit einer solchen Absendeadresse ankommt, ist es mit
Sicherheit gefälscht.

Ja sicher, das war mir ja schon die ganze Zeit klar. Die Frage war von Anfang an, welche die meinen, bzw. wie ich gefälschte von außen blocke.
Ich vermute inzwischen ich blicke es jetzt. Ich blocke diese internen Adressräume alle in der Firewall unter Rubrik WAN.

Mal anders rum gefragt: Bietet die Konfiguration des Routers
Möglichkeiten, eine derartige Filterung einzustellen? Wenn
nicht, ist es ohnehin müßig, sich darüber den Kopf zu
zerbrechen.

Ja. IP (TCP+UDP)und Mac Filter, sowie URL+Domain Blocking.
Aber nur von innen nach außen. Hier habe ich auch einen meiner Pcs fürs Internet geblockt.

In der Firewall kann man LAN und WAN Adressen blocken (TCP,UDP,ICMP)
WAN ist ja außen und LAN innen? Schrieb ich vorher schon, ist aber niemand darauf eingegangen. (Sondern lieber auf Dinge die ich nicht Fragte *gg*)

Und was du damit meinst:

Zweckmäßig ist es auch, alle Pakete zu filtern, die von außen
ankommen, und nicht für die Adresse der externen Schnittstelle
bestimmt sind, sprich: eine andere Zieladresse haben als die
externe Schnittstelle.

Hab ich das geschrieben? Kann ich mich gar nicht erinnern.
Aber egal.

Jetzt werd ich aber kirre. Ich habe doch auf dein Posting ganz normal
in diesem Editfenster geantwortet und da stand obige Antwort von dir. Ich erfinde doch sowas nicht. Warum ist das jetzt weg? Ok. ich hatte mir deinen Artikel erst gespeichert und dann später beantwortet.
Naja egal. Es verwirrte eh noch mehr.

Aber ich glaube du überschätzt die Gefahr etwas. Wenn ein
Portscan gut verlaufen ist und du mit eingeschränkten
Benutzerrechten sowie Firefox und Thunderbird das Internet
benutzt, solltest du relativ sicher sein.

Schon wieder ein Missverständnis. Ich fühle mich sehr sicher. War eben nur überrascht über diesen Hinweis von dingens.org bez. gefälschten Adressen. Das Gute ist, ich (und andere Leser) habe nun von euch viel erklärt bekommen, was ich eigentlich nicht wissen wollte. Ich hatte mich wohl nicht verständlich ausgedrückt. Tut mir leid.

Egal was von aussen kommt, zuerst wird dein Zaunwächter
beschossen. Im schlimmsten Fall könnte es passieren, dass dein
Router kurzzeitig den Dienst quittiert, aber die Gefahr für
deinen Rechner ist äusserst gering.

Wie gesagt, ich fühle mich sehr sicher.
http://www.wer-weiss-was.de/cgi-bin/www/service.fpl?..
Ich hatte noch nie ne PFW oder das Sicherheitscenter aktiviert, nur Antivirus. Ich hatte zum Glück noch nie einen Virus, Trojaner, Wurm & Co. Ich passe beim Surfen ein bisschen auf. Runtergeladene Dateien (von unbekannten Seiten)werden erst auf Viren getestet, bevor ich sie öffne. Die Virussoftware spätestens alle 2 Tage upgedatet.

So nun danke ich dir nochmals.
Neben der Verwirrung, die hier aufkam, habe ich trotzdem auch noch etwas neues erfahren.

thx and bye Marion