Beantwortet: Firewall-Einstellungen im Router (Portfreigabe, Sicherheit....)

phill_1989

Junior Member
Hallo zusammen,

habe nochmal eine Frage, bin leider Anfänger habe dazu auch nichts wirkliches bei Google gefunden, was ich verwerten konnte.

Wie muss ich die Firewall-Einstellungen im Router vornehmen (Asus-RT-N18u).

Ich habe alles folgendermaßen konfiguriert: 1. Router am PC, Lan-Kabel zum zweiten Router, der über VPN Online gehen soll. Ich habe für den zweiten Router eine andere IP-Adresse vergeben, damit diese nicht im gleichen Netzwerk sind (192.168.0.1 und 192.168.1.1).
Dann habe ich im Routermenü bei der Firewall eine Whitelist aktiviert und folgendermaßen eingestellt:

Als Quell-IP habe ich die IP des ersten Routers (192.168.0.1)eingetragen und die Ports 149-151 und 1149-1151 freigegeben. Als Ziel IP habe ich die Adressen der Server eingegeben und ebenfalls die Ports 149-151 und 1149-1151 freigegeben.

Bin mir unsicher ob das so sicher und richtig konfiguriert ist. Besteht eine Gefahr die Ports so zu öffnen, kann ich nicht bei der Ziel IP alle Ports schließen?

Danke nochmal für eure Hilfe.
 

JackCarver

Well-known Member
Wenn du alle Ports bei der Ziel-IP verbietest, wie kannst du dann einen Dienst unter diesem Port erreichen? Das muss schon offen bleiben.Was Quatsch ist sind die Quellports, das sind natürlich nicht dieselben, die auch PP verwendet, sondern beliebige andere. Da musst du auch nix explizit freigeben als Quelle. In der Regel, sollte Antworttraffic auf Anfragen deines Routers auch ohne jegliche Quellfreigabe durchgelassen werden.
 

phill_1989

Junior Member
Vielen Dank für deine Antwort :) Wirklich Top, dass man hier so schnelle Hilfe bekommt.
Die IP-Adressen lasse ich also so und die Quellports blockiere ich alle und dann ist es auch sicher?
 

phill_1989

Junior Member
Das Problem ist, dass man bei der Einstellung für die Whitelist beim Quell-Port entweder das Feld leer lassen muss oder einen gültigen Port angeben muss. Hat einer einen Tipp, welchen Port ich da angeben, wenn ich das Feld leer lasse, sind doch alle freigegeben oder nicht? Wollte <1 angeben, das geht leider nicht :-(
 

JackCarver

Well-known Member
Wieso sollten alle offen sein, wenn du gar nix angibst? Ich sehe das eher so, dass dann alles zu ist. Probier doch nach der Einstellung einfach mal ohne VPN über deinen Router zu surfen, das sollte dann nicht klappen, wenn das dicht ist.
 

phill_1989

Junior Member
Es müssten dann alle Ports frei sein, weil ich die Whitelist und nicht die Blacklist aktiviert habe. Wenn ich die Blacklist aktiviere und dort bei den Ports nichts eingebe müssten alle gesperrt sein, bei der Whitelist alle frei sein.

Surfen kann ich nicht, sobald die Verbindung abgebrochen ist, liegt das aber nicht daran, dass ich die Server-IP's in die Whitelist eingetragen habe?

Habe gerade mal alle IP-Adressen des Servers eingetragen und dann nichts bei den Ports eingetragen (sowohl Quell-ports als auch Ziel Ports leer gelassen). Konnte trotzdem eine Verbindung zum VPN aufbauen und ganz normal surfen usw.

Wenn ich richtig schlussfolgere, muss man also beim Quell- und Ziel-IP Port mindestens einen Port freigeben, wenn man die Whitelist nutzen möchte. Bin mir jetzt etwas unsicher, was ich da eintragen soll.
 

JackCarver

Well-known Member
Ich weiß nicht ob das unbedingt n Sinn macht IPs einzutragen, da die sich wahrscheinlich schneller ändern als die benutzten Ports bei PP. Es sollte bei ner ordentlichen Firewall auch möglich sein, nur portbasiert zu blocken ohne explizit dafür IPs anzugeben.

"Müssten" bringt dir mal gar nix, probier es aus und du weißt was passiert wenn du bei White oder Blacklist nichts einträgst. Da es bei nem Router immer schwierig ist zu verstehen, wie er seine Optionen dann auch tatsächlich umsetzt, im Unterschied zu ner Firewall wie den iptables, zu denen es genug Dokumentation gibt, hilft da wohl nur ausprobieren.
Es könnte schon sein, dass bei Aktivierung der Whitelist alles geblockt wird, was man dort nicht einträgt und bei der Blacklist nur das geblockt wird was man dort einträgt und der Rest frei bleibt.

Wenn du keine Ports einträgst, vermute ich sind alle Ports auf den Ziel-IPs frei, er blockt dann lediglich IP basiert, nicht portbasiert. Beim Quellport was einzutragen ist Blödsinn, da dein Router nen beliebigen Quellport nutzt, den du nicht wissen kannst um sich mit PP zu verbinden. Was nutzt es also dort nen Fantasie-Port anzugeben, wenn du diesen Port nicht weißt?

Ich würde jetzt als erstes mal testen was passiert, wenn ich die Whitelist aktiviere und nichts eintrage und umgekehrt mit der Blacklist. Dann weißt du schonmal, welche Liste du aktivieren musst, nämlich die wo alles geblockt wird und nur das was man explizit freigibt erlaubt wird.
Dann würde ich bei den Quellen gar nix eintragen und beim Ziel nur die Zielports der PP Server, nicht deren IPs.
 

phill_1989

Junior Member
Danke für deine Antwort.

Habe das schon ausprobiert. Auch in der Konfiguration des ersten Postes (Ziel- und Quellport identisch) hat alles ganz gut funktioniert. Sobald die VPN-Verbindung weg ist, kann ich nicht mehr ins Internet.

Wenn ich bei der Whitelist beide Ports nicht eintrage, kann ich mich auch verbinden und surfen, würden die Ports bei keinem Eintrag blockiert würde das nicht gehen, oder?

Es ist auch egal welchen Port ich als Quell-Port eintrage, es läuft immer, unabhängig davon was ich dort eintrage. Ist es keine Sicherheitslücke, wenn ich dort das Feld leer lasse und somit alle Ports freigebe, macht es dann nicht Sinn, nur einen Port einzutragen, damit wenigestens die anderen gesperrt sind?
 

JackCarver

Well-known Member
Ziel und Quellport sind eigentlich nie identisch, das wäre reiner Zufall, falls das so wäre.

Du solltest folgendes erreichen:
Es wird erstmal alles geblockt und nur die Ports, die du dann auch freigibst werden erlaubt. So sollte ne Firewall von der Grundkonfiguration aussehen. Das andere, alles ist erlaubt und nur das was ich blocke nicht, ist suboptimal, da dort Sicherheitslücken entstehen können. Im ersten Fall merkst du einen nicht freigegebenen Port einfach daran, dass du den Dienst unter diesem Port nicht erreichen kannst.

Was passiert denn, wenn du:

a, nichts in die Whitelist einträgst
b, nichts in die Blacklist einträgst
??

Irgendwo sollte doch dann dein gesamter Traffic geblockt werden und das brauchst du erstmal als Ausgangssituation. Dann konzentrierst du dich nur noch auf die Liste, wo du nach Aktivierung diesen Fall hast. Die andere Liste ist dann uninteressant.

Es ist logischerweise egal, welchen Port du als Quellport einträgst, da es reiner Zufall wäre, wenn dein Router ausgerechnet den eingetragenen verwenden würde um sich zu PP zu verbinden. Wenn das zudem der Fall ist, dass alle Ports erlaubt sind, wenn du dort nichts einträgst verwendest du die falsche Liste, das soll ja gerade nicht der Fall sein. Es sollen alle geblockt sein, wenn du nichts einträgst.

Lies auch mal das Manual zu deinem Router, was dort unter dem Punkt Firewall steht, dass du nicht so im Trüben suchen musst. Evtl wird dort ja genau erklärt wie du die FW einrichten musst um erstmal nen Block aller Ports ausgehend zu erreichen.
 

phill_1989

Junior Member
Habe ich schon probiert, wenn ich nichts in die Blacklist eintrage ist alles blockert, wenn ich nichts in die Whitelist eintrage bei den Ports sind alle offen. Dementsprechend müsste ich die Whitelist nehmen.
Habe es auch probiert, egal was ich bei der Quell-IP eintrage, es funktioniert halt immer. Wäre das nicht auch logisch, das Ziel war es ja alle Ports der Quell-IP zu blockieren und die Ports von PP bei der Ziel-IP freizugeben.

Habe versucht bei der Quell-IP den Port 0 einzugeben, oder <1, was ja einer Sperre aller Ports gleich kommt, aber dann kommt eine Fehlermeldung, dass man einen ungültigen Port eingetragen hat.
Die Anleitung trägt leider eher zur Verwirrung bei (siehe Seite 79-80): http://www.produktinfo.conrad.com/d...86-an-01-de-ASUS_RT_N18U_N600_WLAN_ROUTER.pdf.

Gibt es einen Port den man dort einfach eintragen kann, ohne eine Sicherheitslücke zu erzeugen?? Auf dem Bild steht in der Anleitung ja auch nochmal, dass alles blockiert wird, wenn man das Feld leer lässt, aber das bezieht wohl auf die Blacklist. Ansonsten hätte ich ja keine Verbindung zum Server mehr herstellen können, als ich bei der Whitelist keine Ports eingetragen habe.
 

JackCarver

Well-known Member
Was nutzt es denn irgendwelche Ports zu blockieren, wo kein Dienst drauf läuft? Dann kannst die auch offen lassen bei dir lokal. Mach dich von dieser Quell-IP/Ports Geschichte frei, das interessiert hier nicht die Bohne, interessant ist das Ziel. Und hier nicht die IPs, sondern die Ports. Du möchtest nicht direkt über den 80er TCP surfen, sondern nur über die PP VPN Ports, das ist das Ziel.

Warum musst du die Whitelist nehmen, wenn dort alles im Urzustand offen ist?? Das hab ich in den Posts vorher versucht dir zu erklären, dass das genau das ist was du nicht brauchst. Es soll im Urzustand alles blockiert sein und von diesem Urzustand geht man aus, wenn das Hand und Fuß haben soll. Also nimm die Liste, wo das so ist und wenn das die Blacklist ist, dann eben die.

Anschließend öffnest du nur die Ports, die du benötigst und gut.

Bei den Quellports kannst du eintragen was du willst, das ist nicht das Problem bzw die von dir angesprochene Lücke. Ich würde da einfach gar nix eintragen, da die Ziel-Ports die interessanten sind.
 

JackCarver

Well-known Member
By the way, diese Blocks etc müssen natürlich Interface bezogen ablaufen, dh es soll sich nur auf das Standard-Interface des Routers auswirken, zb eth0. Das VPN Interface idR tun0 kann komplett frei von diesen Blocks bleiben, da du über das dann ja auch surfen etc möchtest.
 

phill_1989

Junior Member
Und nochmal danke für deine Geduld, bin eben Anfänger und habe mich auch versucht einzulesen, aber das zu verstehen war schwerer als gedacht.

1.
Ich glaube wir haben ein bisschen aneinander vorbei gesprochen. Was ich brauche ist die Whitelist. Ich habe es nochmal probiert, wenn ich die Whitelist aktiviere und nichts eintrage kann ich absolut nichts mehr machen, alles ist blockiert. Sobald ich die Whitelist ausschalte kann ich wieder normal surfen etc.
(Es ist natürlich schwer sich von sich von Quell-IP/Port frei zu machen, weil das genau die Einstellungen sind, die im Routermenü vorgenommen werden müssen/können und keine weiteren.)

2.
Ich dachte, dass eine Sicherheitslücke entsteht, wenn man Quell-Ports freigibt. Das man bei den Ziel-Ports die Ports von PP freigeben muss und alle anderen Ports blockieren muss war mir schnell klar (also die Ports 149-151 und 1149-1151 und alle anderen Ports blockieren).
Mein Problem war ja, dass ich dachte, dass eine Sicherheitslücke dadurch entsteht Quell-Ports freizugeben und der Router verlangt ja, dass man mindestens einen Port bei den Quell-Ports freigibt. Ich wusste nicht, dass man dort bedenkenlos alle freigeben kann, ohne das eine Sicherheitslücke entsteht.

3.
Zu den IP's. Habe es getestet. Es funktioniert natürlich auch nur die Ziel-Ports in die Whitelist einzugeben, kann mich dann mit dem VPN-Server verbinden und normal surfen etc. und wenn ich zum VPN-Server disconncte kann ich wiederum gar nichts machen, alles ist blockiert. Aber warum sollte man die IP's nicht noch zusätzlich eintragen. Wenn ich die IP eintrage, ist doch die Nutzung der Ports nur auf diese IP beschränkt oder nicht?

Werde dann folgende Einstellungen vornehmen:

Quell-IP: Adresse erster Router
QuellPort: leer lassen
Ziel-IP: IP-Adressen der Server
Ziel-Port: 149-151 und 1149-1151
Protokoll: UDP

Ich hoffe jetzt alles richtig verstanden und eingestellt zu haben :)
 
Top