Firewall mitinstalliert?

[DynaBlaster]

Ok Capsad - in dem Fall müssen wir natürlich die unterschiedlichen Richtungen des Traffics unterscheiden.

Auf der einen Seite haben wir Traffic vom Internet ins LAN, auf der anderen Seite den umgekehrten Weg vom LAN ins Internet. In der Standardkonfiguration meines HW-Routers dürfen die Clients im LAN auf alle Dienste (bzw. Ports) im Internet zugreifen. Andersherum laufen alle Verbindungen aus dem Internet auf die externe IP des HW-Routers ins Leere - ausser ich definiere Forwardings auf eine best. IP innerhalb meines LAN's. Der HW-Router stellt nun mal keinen Dienst zur Verfügung (außer das Webinterface).
Das ist genau wie bei nem "Firewall-losen" Linuxsystem - wenn kein ssh-Server installiert ist, brauch ich Port 22 auch nicht mittels iptables "schließen". Wo kein Dienst horcht, ist eben auch nichts.
Emule/Amule stellt für eine Hi-ID aber auf Port 4662 einen Dienst zur Verfügung - der ist aber nicht auf dem HW-Router verfügbar, sondern eben auf einem LAN-Client (deshalb das Forwarding, weil der Router selbst damit nichts anfangen kann).
In der anderen Richtung kann ich natürlich auch die LAN-Clients kontrollieren und z.B. festlegen, daß sie nur surfen dürfen - sprich jeder Zugriff ausser Port 80 ist gesperrt. Das hätte dann zur Folge, daß der HW-Router nur WWW zulassen würde: Mail, FTP, ICQ und andere Anwendungen (außer über ein Webinterface) würden nicht funktionieren.

Viele Router haben auch eine Funktion, die oft als DMZ bezeichnet wird. Wenn man dort eine interne IP angibt, dann werden alle Anfragen aus dem Internet an den entsprechenden Rechner mit eben dieser IP weitergeleitet.

Nachtrag: @peterschubert
Das Vorletzte trifft auf dich zu. Wenn du Port 80 schließt, lässt dein Router dich nicht raus. Entscheidend ist hier die "Richtung" des Traffics.

[berlinerbaer]

in meiner Sektion "Portweiterleitung" ist gar kein Dienst aufgeführt, d.h. keiner konfiguriert und eingerichtet, also ist Port 80 von außen nach innen dicht ?

[DynaBlaster]

Ja ! Port 80 ist dicht.

Nehmen wir an, du betreibst einen eigene Webserver hinter dem Router, müsstest du dem Router sagen, er soll Anfragen an die externe IP-Adresse und Port 80 an den LAN-Rechner mit einr bestimmten IP weiterleiten.

[herrchen]

in meiner Sektion "Portweiterleitung" ist gar kein Dienst aufgeführt,

hier wird kein dienst aufgeführt, sondern ein host (IP).
der router leitet alle pakete, die an diesen port gerichtet sind, an diese IP weiter.

d.h. keiner konfiguriert und eingerichtet, also ist Port 80 von außen nach innen dicht ?

ja.
s.o.

herrchen

[MrFire]

Also ich wollte eigentlich keine Grundsatzdiskussion eröffnen was nun im mDetail man als Portweiterleitung und Port öffnen versteht.
Da scheidnen sich dir Geister(wie man ja auch hier bereits erkennen kann)
Mein Problem besteht trotzdem immer noch, nach all den Ratschlägen hier in diesejm Thema und allen weitern INfos die mir als Link und hie rim Forum zur Verfügung sthen und gestellt werden.
Ich versuche mich nun mal etwas genauer/fachlicher( aus zu drücken:
Win hat keine satische IP und Debian auch nicht!
Ich habe eine Fritz Fon Wlan box mit Internet telefonie.
In dieser Kann cih nur Regeln erstellen um Ports auf weiterzueliten. Des weiteren vergibt dieser Router per DHCP IP adressen, und diese "statisch2, wenn es immer die Gleichen MAC adressen sind(urde ja hier schon angedeutet)
Es hängt ein WIN udn ein Linux rechner dran. Bei WIN habe ich eine High ID udn bei Linux eine LOWID. Doch die Ports sind eben "weitergeleitet". Also kann es nur an den Einstellungen auf dem Linuxrechner liegen.
Da ich aber bereits alles was hier vorgeschlagen wurde durchgespielt habe und sich Nichts ändert wed ich wohl weitersuchen müssen.

Ach eine Frage bezüglcih einr Antwort von slater:

Erlär mir doch mal, warum das nicht fnuktionieren aknn wenn man mit DHCP IPs vergibt!
Auch wenn man DHCp nutz, kann man für bestimmte Rechner(MACadressen) Ports freischschalten . Ich gebe zu, das ist ein heiden Aufwan d und recht kompliziert, doch das geht.
Aber das mache ich ja nicht(habe mich etwas unklar ausgedrückt) und bitte dies zu entschuldigen.

Des weiteren habe ich mit keinem Wort Router und Firewall verglcihen oder gar Gleichgestellt. Meine Frage war lediglcih, ob eine Firewall mitinstalliert wird, und das ist ja nicht der Fall!
ich werde mich diesem problem mal etwas genauer widmen und wenn ich eine Lösung gefunden habe werde ich es euch mitteilen. Sollte in der zwischenzeit noch jemand eine Idee haben dann her damit

Danke an alle!

[herrchen]

Es hängt ein WIN udn ein Linux rechner dran. Bei WIN habe ich eine High ID udn bei Linux eine LOWID. Doch die Ports sind eben "weitergeleitet".

wenn du bei dem Linux PC die IP ermittelt hast ("ifconfig") und diese in der Fritz-Box als
weiterleitung eingestellt hast, sollte es schon klappen ...

vermutung:
hast du womöglich versucht, die selben ports auf zwei verschiedene rechner zu leiten?
ich weiss nicht, ob die Fritz-Box das zulässt, aber das kann nicht gehen.

herrchen

[MrFire]

Du kannst die Ports(und da kam dann meine Formulierung auch her) nur weiterleiten. Der router leitet sie dann an jeden Rechner weiter der sich anmeldet! Wenn du sie dann nciht willst oder btrauchst, sperrst du sie auf dem rechner.
Aber du hast mich da gerade auf eine Idee gebracht, das werde ich mal gerade noch versuche!

[herrchen]

Du kannst die Ports(und da kam dann meine Formulierung auch her) nur weiterleiten. Der router leitet sie dann an jeden Rechner weiter der sich anmeldet!

??
du trägst in der Fritz-Box keine IP ein, zu der du weiterleiten willst?

herrchen

[slater]

***snip***

Ach eine Frage bezüglcih einr Antwort von slater:

Erlär mir doch mal, warum das nicht fnuktionieren aknn wenn man mit DHCP IPs vergibt!
Auch wenn man DHCp nutz, kann man für bestimmte Rechner(MACadressen) Ports freischschalten . Ich gebe zu, das ist ein heiden Aufwan d und recht kompliziert, doch das geht.
Aber das mache ich ja nicht(habe mich etwas unklar ausgedrückt) und bitte dies zu entschuldigen.

Des weiteren habe ich mit keinem Wort Router und Firewall verglcihen oder gar Gleichgestellt. Meine Frage war lediglcih, ob eine Firewall mitinstalliert wird, und das ist ja nicht der Fall!
ich werde mich diesem problem mal etwas genauer widmen und wenn ich eine Lösung gefunden habe werde ich es euch mitteilen. Sollte in der zwischenzeit noch jemand eine Idee haben dann her damit

Danke an alle!

Hi,
zumindest hier kann ich DHCP Adressen "statisch" vergeben lassen (sodass eine bestimmte MAC Adresse immer die bestimmte Adresse, die ich auswähle bekommt) - schätze mal er hat das evtl so gemacht,
Gruß
Capsad

Das ist eine möglichkeit, die ich nicht bedacht habe, aber es hat sich jetzt nicht so gelesen, als würde er etwas in dieser richtung machen (ein nicht zu unterschätzender vorteil wenn es so ist, bsp. neuer rechner im lan und alle sollen eine neue IP bekommen...)....

Wie schon gesagt, das war eine Möglichkeit an die ich nicht mehr dachte... und sie hat enorme vorteile... siehe oben....

Gruß

Slater


PS: bist du jetzt weiter gekommen?

[siraly]

Jetzt hab' ich's!

Du kannst auf der Fritz! Box Fon WLAN mit VoIP nur EINE Weiterleitung für einen bestimmten Port einrichten. Wenn also zur Zeit Deine Win-Büchse 'ne hohe ID erhält, dann eben deshalb, weil die Weiterleitung DARAUF zeigt - Linux hat dann das Nachsehen.

Ändere mal die Weiterleitung auf die Linux-Maschine. Dann sollte es auch klappen.

HTH

[slater]

das ist aber dann eine Sch... Config möglichkeit....

ist das bei jeder FritzBoxPhoneDingens so?

Wegen umzug fällt demnächst bei uns nämlich die Arcor ISDN-Tel-flat weg und da wollte ich dann zu 1&1 gehen wegen der VoIP... Die geben einem ja (zZ) kostenlos so ein Ding...

Ansonsten muss ich mir für die Hardware da was anderes überlegen....


Gruß

Slater

[herrchen]

das ist aber dann eine Sch... Config möglichkeit....

warum? alles andere würde keinen sinn machen.

herrchen

[MrFire]

So, nun habe ich hier alle soweit gebracht, dass sie ihren Hirnschmalz zum kochen brachten, eine Grundsatzdiskussion ausgelöst über Portfrei- weiterschaltung. Doch eigentlich lag es mal wieder an dem Bediener vor der kiste.

Ich bitte um Entschuldigung!!!!

Der Grund warum ich eine LowID erhielt war ganz einfach. Ich habe bei der IP Eingabe im Router mich schlciht und einfach verschrieben. Den Fehler fand ich natürlcih nciht, da ich ihn ja immer und immer wieder machte. Ich glaube ihr kennt das.

Also, ich bitte jetzt nochmals um vergebung und hoffe es isgt nu hier keiner verärgert.

An alle die sich Gedanken gemach thaben. Ich danke euch.

[KBDCALLS]

Also ein typischer PEBKAC

Problem Exist Between Keyboard and Chair

[slater]

das ist aber dann eine Sch... Config möglichkeit....

warum? alles andere würde keinen sinn machen.

herrchen

wenn Du nur Eine einzige IP angegeben kannst für das weiterleiten? dann könntest Du doch keinen weiteren Rechner mehr einen anderen Dienst laufen lassen...

oder meinte er das man pro Port nur an eine Weiterleiten kann?
Dann würde es wieder Sinn machen...

Gruß

Slater