Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Outpost Firewall sperrt nach Netz-Änderung meinen Internet Zugan

krisuu / 7 Antworten / Baumansicht Nickles

In der "alten" Konfiguration mit einem internen 192.168.* Netz, bei dem ein alter PC ICS Router zum Modem spielte und ich die interne LAN Adresse dieses Router-PCs (162.198.0.1) bei den anderen PCs als Gateway Adresse eingetragen hatte, hat es mit dieser Firewall (aktiviert) und den automatisch vorgeschlagenen Regeln auf Anhieb und problemlos geklappt.


In der "neuen" Konfiguration (WLAN Zugang zum Provider) mit einer WLAN-Bridge am lokalen Switch (mehrere lokale PCs) mit Funkverbindung zur Gateway-Adresse 10.118.255.254 (nicht mehr in meinem lokalen LAN Bereich sondern beim Provider) - eigentlich musste nur ein paar IP Adressen in den Netzwerkeinstelungen ändern - bekomme ich


a) bei DEaktivierter Outpost Firewall SOFORT eine Internet Verbindung (aber dafür keine Sicherheit)
b) bei aktivierter Outpost Firewall überhaupt KEINE Internet Verbindung!


Trotz langem Herumsuchen und Herumprobieren fand ich keine Einstellungen bei welcher ich bei aktivierter Outpost Firewall die Internet Verbindung zustande bringe. Insbesondere kann ich in der Firewall keine IP-Adressen für den Internet Zugang angeben, oder? Auch Löschen der Regeln für IExplorer und automatisches neues Hinzufügen beim nächsten Start desselben hat nix daran geändert.


Kann mir da bitte jemand weiterhelfen? Ohne Firewall (=nix Sicherheit) werde ich eher unruhig ;-)) Da kann dann plötzlich jeder im Netz des Providers auf meine freigegebenen Ornder zugreifen, oder?


Oder ist ein Router zwischen Switch und WLAN-Bridge die einzig wahre Lösung?


danke vlG /krisuu

bei Antwort benachrichtigen
Teletom krisuu „Outpost Firewall sperrt nach Netz-Änderung meinen Internet Zugan“
Optionen

Hi,

Gateway-Adresse 10.118.255.254 ist eine Adresse aus dem privaten Adressbereich, d.h. diese IP-Nummer existert nicht im Internet, wie jede private IP-Adresse.

Deine PCs kannst Du auf den privaten Adress-Bereich 10.x.y.z umstellen, z.B.
10.115.255.1 bis 10.115.255.253 SN: 255.255.255.0.

Dann solltest Du bei Outpost als trusted Network 10.115.255.* einstellen.

Die WLAN-Bridge ist vergleichbar mit einem Router (Bridge und Router ist aber nicht das selbe), deshalb ist die Sicherheit zum Internet durch dieses externes Gerät gegeben. Wenn Du Port 80 für einen internen Webserver freigeben willst, musst Du erst Port 80 für eine interne IP-Nummer am Gateway forwarden, sonst weiß das Gateway nicht, an welchen PC er die an den Webserver gerichteten Internet-Pakete weiterleiten soll.

Allein das Gateway verhindert, dass z.B. die Netbios-Freigabe-Ports 137-139 nicht vom Internet auf einen Deiner PCs erreichbar sind, weil kein Port-Forwarding zu diesen Ports eingerichtet ist.

HTH
Gruß
Teletom

bei Antwort benachrichtigen
krisuu Teletom „Hi, Gateway-Adresse 10.118.255.254 ist eine Adresse aus dem privaten...“
Optionen

Danke für die prompte Antwort. Ich vergaß wohl zu erwähnen, dass ich die Freeware Version von Outpost Firewall verwende. Und die hat keine Option "trusted Network" (oder ich bin einfach blind...). Die Option für Netbios Kommunikation wird damit doch wohl nicht gemeint sein...

Allerdings: Wundersamerweise funktioniert die Kommunikation nach mehrere Reboots und "Firewall On/off" über selbige aktiviert plötzlich (so ich dies schreibe)! Was mich aber nicht sonderlich beruhigt, da nicht nachvollziehbar. Wenigstens sehe ich jetzt, was alles so blockiert wird :-)

PS aus Interesse: Zu den von Dir angegebenen IP-Adressen. Ich habe vom Provider die Adressen 10.118.1.52-54 zugewiesen bekommen, und verwende diese in meinem LAN. Weiters SN 255.255.0.0 und Gateway 10.118.255.254.
Mit den obigen 10.115.*.* Adresse in meinem Netz würde ich das Gateway auch erreichen? Konflikt mit gleichen IP-Adressen im Provider-Netz?

vlG/krisuu

bei Antwort benachrichtigen
Teletom krisuu „Danke für die prompte Antwort. Ich vergaß wohl zu erwähnen, dass ich die...“
Optionen

Sorry, hab mich da etwas verschrieben (jaja, diese Hektik in der jetzigen Zeit), ich meine natürlich:
10.118.255.1 bis 10.118.255.253

Den Adress-Bereich 10.118.1.52-54 SN 255.255.0.0 solltest Du unbedingt für WLAN einhalten.

Darüber hinaus kannst Du Deine anderen PCs auf z.B.
10.118.255.1 bis 10.118.255.253 SN: 255.255.0.0 umstellen.
10.x.y.z ist normalerweise ein Class-A privates Netzwerk mit der Standard-Subnetmask: 255.0.0.0.
Wenn überall 255.255.0.0 als Subnetmask verwendet wird, handelt es sich um Subnet-Host-Verringerung, d.h. die ersten zwei Oktetts müssen überall gleich sein: 10.118. (nicht nur das erste Oktett- 10.).

Vom Provider hast Du 3 WLAN-IP-Nummern zugeteilt bekommen:
10.118.1.52
10.118.1.53
10.118.1.54
Gateway ist 10.118.255.254
Das bedeutet, dass das Gateway 3 Internet-Ip-Nummern den 3 internen Nummern (52-54) zuteilt. Genauso als wenn jeder WLAN-Computer einzeln in das Internet geht. Mit Sicherheit hast Du dann eine umkehrbar eindeutige Zuordnung Internet-Ip zur privaten 10er IP, deshalb ist der Einsatz von Firewalls auf den WLAN-Rechnern durchaus sinnvoll.

Die Freeware Outpost ist bei den WLAN-Computern gut geeignet (bitte nicht beim ICS-Rechner verwenden, da gibt es laut Hersteller-Angaben Probleme). Ja, die Option für Netbios Kommunikation ist damit gemeint. Netbios bedeutet, dass Du auf Windows-Verzeichnis- und Drucker-Freigaben zu greifen kannst. Das Gateway leitet die Internet-Quell-IP-Nummern weiter an die entsprechenden Ziel-Ip-Nummern des 10er Netzwerkes (Ziel-Internet-Ip wird durch die Ziel-IP des privaten Netzwerkes ausgetauscht). Man braucht also die Firewall nur so einzustellen, dass nur internen private IP-Nummern bezüglich Netbios zugelassen werden.

Rechtsklick auf Outpost-Systrayicon > Optionen > System > Erlaube Netbios Kommunikation > Eintellungen
192.168.0.0 Eintrage anklicken entfernen (nur wenn kein 192.168 Netzwerk vorhanden ist)
IP Adresse (Wildcards möglich) anklicken
10.118.*.* eintragen Hinzufügen OK OK

Es ist auch sinnvoll, dass Du Dein Netzwerk auf 10.118.*.* umstellst, damit Du auf alle internen Computer zugreifen kannst.

Leider kann ich aus Deinen Angaben nicht entnehmen, ob noch andere PCs ohne WLAN direkt am Switch angeschlossen sind und ob der ICS-Rechner immer noch als Internetzugang fungieren soll. Wäre aber äußerst interssant, wenn Du das hier mal postest.

Gruß
Teletom

[Diese Nachricht wurde nachträglich bearbeitet.]

bei Antwort benachrichtigen
krisuu Teletom „Sorry, hab mich da etwas verschrieben jaja, diese Hektik in der jetzigen Zeit ,...“
Optionen

vielen Dank für die ausführliche Erklärung!

zur Freeware Outpost kann ich sagen: in der "alten" Konfiguration habe ich diese genau in Verbindung mit ICS (auf einem alten P133 mit Win98SE) verwendet, und das hat auf Anhieb problemlos funktioniert. (Vielleicht habe ich ja auch nicht alles ausgereizt).

zu deiner Frage: meine PCs habe kein einziger WLAN sondern hängen in einem 100Mbit Ethernet LAN am Switch; erst die Ethernet-WLAN-Bridge hat eine WLAN Verbindung zum Provider.

Der ICS Rechner soll tatsächlich weiterhin als Internetzugang fungieren, allerdings nicht permanent (wäre, da Modem, auch nicht sinnvoll) sondern für Backup Zwecke sollte man der WLAN Provider ausfallen. Ich denke, dass ich dazu auf meinen PCs höchstens die Gateway-Adresse ändern muss. Werde das in den nächsten Tagen mal ausprobieren und dann an dieser Stelle posten.

vlG /krisuu

bei Antwort benachrichtigen
Teletom krisuu „vielen Dank für die ausführliche Erklärung! zur Freeware Outpost kann ich...“
Optionen

Bingo,

dacht ich mir. Der Netzwerkbereich 10.118.255.1 bis 10.118.255.253 SN: 255.255.0.0 ist für Dein LAN-Ethernet-Netzwerk sinnvoll.

Empfehlung:
ICS-PC (übrigens wenn Outpost beim ICS-PC funktioniert, ist das OK)
ICS aktivieren bzw. installieren, falls das noch nicht geschehen ist.
Feste IP-Nummer 10.118.255.1 SN: 255.255.0.0 einstellen.
Gateway: 10.118.255.254
ICSconfig verwenden

Download:
http://www.pcworld.com/downloads/file_description/0,fid,8253,00.asp
icsconfig.exe starten.
Get anklicken
IP/MASK
10.118.255.1 SN: 255.255.0.0 eintragen
DHCP/DNS
DHCP Enabled, deaktivieren (ansonsten Bereich 10.118.255.2 bis ...253 eintragen), auf Grund des geringeren Netzwerktraffics ist es besser, bei jedem LAN-Computer eine feste IP-Nummer einzutragen.
DNS Enabled, aktiv lassen
Set anklicken
Am besten Computer neu starten.

andere LAN-Ethernet-Computer:
feste IP-Nummer eintragen 10.118.255.2 ( bis 10.118.255.253) SN: 255.255.0.0
Gateway: 10.118.255.254

Darüber hinaus solltest Du bei jedem LAN-Ethernetcomputer (auch beim ICS-Computer) eine persistente Route eintragen:
MS-DOS-Eingabeaufforderung
route add 0.0.0.0 mask 0.0.0.0 10.118.255.1 /p Enter
route print Enter
Diese Route bewirkt, dass bei NichtFunktion des Gateways alle Pakete (Netzwerk 0.0.0.0 SN: 0.0.0.0) nach Deinem ICS-Computer (10.118.255.1) geschickt werden.

Viel Spaß
Teletom

bei Antwort benachrichtigen
Gurus krisuu „Outpost Firewall sperrt nach Netz-Änderung meinen Internet Zugan“
Optionen

nee, manchmal glaube ich DZM und gut is, aber et gibbet noch menschen.. ..aber wozu??

bei Antwort benachrichtigen
xafford krisuu „Outpost Firewall sperrt nach Netz-Änderung meinen Internet Zugan“
Optionen

schön daß sich dein internet problem gelöst hat, aber ich wollte noch was los werden. eine desktopfirewall ist so gut wie gar nicht geeignet ein WLAN abzusichern, da die größte gefahr dadurch droht, daß sich jemand in dein lan einklinkt. dabei könnte er deine internetverbindung mitnutzen, oder wenn du dein lan als trusted zone freigegeben hast deine rechner korrumpieren. um das wlan dicht zu machen solltest du überprüfen, ob WEP mit mindestens 128Bit aktiviert ist, du solltest eine MAC authentifizierung am zugang zum LAN und zum ganteway implementieren, eventuell DHCP nutzen, und IPSec ist auch kein fehler. die firewall kann nur, und das auch nur bedingt, den einzelnen rechner schützen.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen