Ein guter Freund will im Haus seiner verstorbenen Eltern WG-Zimmer anbieten. Und zwar mit verschlüsseltem Wirelesslan-Internetzugang.
Verkabeln will er nicht (Haus zu gross) und die Risiken das er als Anschlussinhaber auch für den Mist seiner Bewohner geradestehen muss, weiss er auch.
Deshalb soll schon der Router einiges nicht erlauben.
Ok, nun soll ich ihm helfen den Router zu konfigurieren.
Jedoch so, das die Bewohner nur surfen, mailen und https-Verbindungen machen können.
Router ist der Gatelock von Trendmicro (integrierter e-mail-Virenschutz & Firewall - feine Sache für ne WG) wo man Dienste / Ports speziell auch sperren kann.
Nun die Frage:
Das die Bewohner keine Filesharingangebote machen können ist klar, da ja die Ports von Aussen nicht nach Innen geschaltet sind.
Aber es soll auch umgekehrt gesperrt werden, das diese die Bandbreite mit Videodownloads über Napster & Co dicht machen.
Welche Ports müssen dazu gesperrt werden?
Und was für andere Dienste soltle man auch noch blocken wo es ärger geben könnte?)
Oder:
Würde eigentlich es klappe, das ich sage alle sperrrt und speziell nur Port 80, 447 (ist doch https?) und 110 & 25 freigibt?
Oder welche Ports sollte man dann noch freischalten (Realplayerstream??)
am einfachsten ist es, alle Ports zu sperren und dann stück für Stück freigeben und testen. Ich kann dir aber aus Erfahrung sagen, das das nicht gut funktioniert. Da kommt jeder Mieter und fragt dann, ob Du einzelne Ports freigeben kannst. Z.B. für ssh um an den Uniserver zu kommen, oder dann IMAP statt POP3 oder verschlüsseltes POP3. Und was ist mit Webservern, die auf Port 8080 oder 8888 laufen? Du hast nach ner Zeit fast alle Ports offen und die Mieter sind genervt.
Und dann kannste natürlich auch über freigebene Ports „Schweinkram“ machen, du must ja nicht unbedingt nur http über Port 80 schicken. Und weisst Du schon immer ganz genau was über welchen Port geht?
Einen anderen Vorschlag habe ich für dich, wenn der Router ein gutes Logging hat und du das Logging aufbewahren kannst, brauchst Du nur noch einen guten wasserdichten Vertrag mit allen Mietern. Wenn dann einer was will, brauchst nur noch nach Tag und Uhrzeit zu schauen und von welcher IP was kommt. Achtung da kommt ne Menge Logvolumen auf dich zu, ein alter PC mit Linux kanns aber gut archivieren.
Das kommt natürlich auch auf die Mieter an, wollen die nur mal ein wenig Surfen und ihre Mails abholen ist das kein Problem, wenn aber …
Ist leider kein Patentrezept, wie die und die Ports auf und die zu und schon läuft alles.