Hi Leute,
ich habe eine kleine Frage bzgl. ZoneAlarm!
Ich habe einen Zonet-Router zuhause stehen, an dem mein DSL-Modem und mein Computer angeschlossen sind, etc. Einfach stinknormal halt...
Der Router sei einfach mal auf Adresse 192.168.1.1 und vergibt schön brav die IPs per DHCP... (dass der Router selbst auch eine "Firewall" darstellt sei mal zu vernachlässigen)
Internet und alles funktioniert prima!
jetzt stelle ich in Zonealarm folgendes auf Zone "Internet" (also durch Firewall geblockt!): Network 192.168.1.0 Subnet: 255.255.255.0
somit kann also bestimmt kein Eindringling auf meinen Comp!
Jetzt wenn ich aber auf meinen Router Einstellungen per HTTP treffen will (http://192.168.1.1), blockt ZoneAlarm ab! Nix geht...
Dann treffe ich folgende Einstellung: IP-Adress 192.168.1.1 stelle ich auf Zone "Trusted"! Der Zugriff über HTTP funzt...
Meine Frage: Wenn ich den Router somit erlaube auf meinen Comp zuzugreifen (Firewall für Adresse 192.168.1.1 deaktiviere), gebe ich da nicht gleichzeitig alles fürs gesamte Internet frei? 192.168.1.1 ist schließlich mein Gateway und die Adressen werden doch irgendwie übersetzt oder?
Kann ich 192.168.1.1 auf "Trusted" lassen, oder nicht?
Viren, Spyware, Datenschutz 11.257 Themen, 94.802 Beiträge
>>somit kann also bestimmt kein Eindringling auf meinen Comp! Mit Zone Alert, der wohl schlechtesten PF dieses Universums (außer vielleicht der bei Windows mitgelieferten)? Wohl eher nicht
Nu postet Kirsten also auch hier. Bei Chip haben ihm die Antworten nicht gefallen und in dcsf dürfte es ihm ebenso ergehen ;)
Ich verstehe einfach nicht, dass ich eine einfache Frage stelle, aber niemand eine Antwort geben kann, die nich lautet: "ZoneAlarm ist doch scheiße"...
Ob ZoneAlarm scheiße ist oder nicht, interessiert mich halt einfach nicht! ;o)
Und des mit Chip... naja, da ich da mehrere solche unqualifizierten Antworten bekommen habe, dachte ich, ich versuche es in einem professionellem Forum!
Sorry, falls ich jemanden zu nahe rücke, ist nicht bös gemeint!
Aber ich will doch nur normal über MEINE Frage diskutieren!
Tja, ich hätte auch gerne ein paar Antworten auf meine Fragen, aber man kann ja nun nicht alles haben :D
1.) Warum probierst du es nicht einfach selber aus, indem du die Adresse auf "trusted" stellst und dann einen Porttest (grc.com oder irgend etwas anderes) durchlaufen lässt, anstatt erst in diversen Foren auf eine Antwort zu warten (die "nein" lauten dürfte)?
2.) Warum benutzt du eine PF, wenn du einen Paketfilter im Router hast?
3.) Warum von all den möglichen PFs ausgerechnet ZA, die definitiv Schrott ist, egal was man sonst von PFs hält?
Musst mal lesen, was er in dcsf schrieb, dann weißt du, warum :D
Da muss ich Die 100%ig recht geben, leider wiederholen einige Leute immer wieder das Gleiche und versuchen durch Klischees, die Aufmerksamkeit auf sich zu lenken. Wer mag aber immer nur das Gleiche lesen? - niemand.
Alles fließt und verändert sich (panta rei), selbst die ZoneAlarm-Firewall-Software wird weiterentwickeln.
Lass Dich nicht beirren. Dein geschildertes Problem ist sehr interessant und kann bei jeder Software auftreten, die LAN-IP-Nummern und Ports blockiert.
Auf dem Router läuft mit Sicherheit NAT (Network Address Translation) oder Masquerading, d.h. der Router leitet die eingehenden Internetpakete mit der Ziel-Internet-IP des Routers weiter an Deinen Computer mit der internen Ziel-IP des 192.168.1.0 Netzwerkes.
Im Router sind zwei Netzwerkadapter:
Einer für das Internet (DSL)
und
ein weiterer für das interne Netzwerk (LAN).
Wenn geroutet wird, wird immer entweder vom Internetadapter zum LAN-Adapter oder umgekeht vom LAN-Adapter zum Internetadapter geroutet.
Internet und LAN sind physikalisch getrennt bis auf die Routerverbindung.
Es könnten auch 192.168.1.0-Netzwerkadressen (außer 192.168.1.1) in das Internet geroutet werden, nur 192.168.x.y - Adressen gibt es im Internet nicht, da das private Netzwerkadressen sind.
Andererseits sind Deine 192.168.1.0-Netzwerk-Computer nicht am Internetadapter des Routers angeschlossen, aus diesem Grunde ist eine Verbindung über den Router (Gateway) nicht möglich. Ein Router routet nicht, in dem er nur einen Adapter verwendet.
Andere LAN-Computer können mit der obigen Einstellung nicht auf Deinen Computer zu greifen.
Gruß
Teletom
Andere wiederholen sich allerdings auch häufig. Vielleicht sollte man sich dann mit solchen Seitenhieben bedeckt halten.
Viele vielen Dank @Teletom,
du bist der erste, der endlich mal auf meine Frage eingegangen ist :o) Und danke für all deine Erklärungen!
Ok, dass andere Computer im LAN nicht auf meinen Rechner zugreifen können (angenommen ZoneAlarm wäre perfekt für alle Dummschwätzer, sorry...) ist klar... Wie steht es aber dann mit Rechnern aus dem Internet (denen mein Hauptinteresse gilt)?
Wenn eine Anfrage auf den Router trifft, wird die Ziel-IP auf 192.168.1.1 gesetzt (also auf die des Gateways)? Weil wenn dies so ist, würde ZoneAlarm ja nicht blocken, weil ich für 192.168.1.1 ja alles erlaubt habe?
Oder ist es so, dass die Anfrage dann doch (übersetzt) aus dem Netz kommt (192.168.1.0)... dann würde ZoneAlarm (oder eine andere Personal Firewall) ja blocken!
>>Oder ist es so, dass die Anfrage dann doch (übersetzt) aus dem Netz kommt (192.168.1.0)... dann würde ZoneAlarm (oder eine andere Personal Firewall) ja blocken! Wie schon gesagt, su könntest es ganz einfach selbst ausprobieren und hättest dann diese Frage gar nicht erst stellen zu brauchen
@Tom: irgendwie merkwürdig: alles, was dir nicht passt ist entweder polemisch oder ein Klischee und alles was andere Leute kritisieren ist für dich ganz toll...naja, ich sag dazu nichts
Wozu sind Foren denn da?
Und selbst wenn ich eine Antwort durch "probieren" bekommen, weiß ich noch immer nicht, warum, wieso und weshalb!
>>Wozu sind Foren denn da? Um Lösungen für Probleme zu bekommen, die man nicht selbst lösen kann, nicht um dir das Denken abzunehmen oder alles für dich zu machen.
Ein Forum ist kein bezahltes Support-Team und deshalb sollte man zumindest ein bisschen Eigeninitiative zeigen, ich eröffne ja nun auch keinen Thread "gebt mit mal den Link zu web.de, ich bin zu faul die URL einzugeben" ;)
Eben...du sagst es. Das WIESO und WESHALB lässt sich nicht mal mit den hilfsbereitesten Leuten in Foren klären, wenn DU es nicht willst.
Dir fehl(t)en offensichtlich ein paar Basics bzgl. Routing und Netzwerk allgemein.
Insofern ist gerade noch verständlich, dass du den Hinweis, ZA sei NO-NO, ignoriertest bzw. als nebensächlich abtatest.
Nicht mehr verständlich ist es, dass du lieber iden irrelevanten Beiträgen eines Teletom applaudierst, weil du nicht erkennst, dass er dir auf Umwegen die fehlenden Basics im Schnellverfahren eintrichtern will.
So funktioniert Lernen aber nun mal nur in den allerseltensten Fällen, schon gar nicht im Bereich Netzwerke. Niemand will dir hier übel. Die Hilfe als solche erkennen und annehmen ist dein Part.
Ok, das wars...
Danke für diese Schlaumeiereien! Und ich habe mich vor dir bzw. irgendwelchen anderen Pseudo-Admins auch nicht zu rechtfertigen, dass ich keineswegs nur Basics besitze! Und habe mich auch nicht zu rechtfertigen, warum ich eine Frage stelle!
Sorry, so funktioniert keine Community!
Ciao!
Bitte :->
Und ich habe mich vor dir bzw. irgendwelchen anderen Pseudo-Admins auch nicht zu rechtfertigen, dass ich keineswegs nur Basics besitze!
Korrekt. Verlangt auch niemand. Oder siehst du irgendwo die Frage "Wieso weißt du das nicht?"
Und habe mich auch nicht zu rechtfertigen, warum ich eine Frage stelle!
Korrekt. Siehst du irgendwo die Frage "Wieso fragst du?"
Sorry, so funktioniert keine Community!
Nicht korrekt. Genauso funktioniert sie. Einer stellt ne Frage, andere antworten. Was du mit der Antwort machst, ist dein Bier.
Ich kopiere dir mal die letzte Antwort eines Users aus dcsf hier rein:
Du solltest:
[ ] dich schämen
[ x ] verstehen, was dein "Router" macht. Stichwort: NAT
[ x ] welche Konsquenzen das hat
[ x ] Lernresistenz abbauen
hallo? das ist nicht das OT brett!
;-)
Nein, kein Rechner im Internet kann wegen dieser Einstellung auf deinen Zugreifen, da die Quelladresse der Pakete wichtig ist, nicht die letzte Station vor deinem Rechner. Versucht die 213.39.195.43 auf deinen Rechner zuzugreifen, was sie schon wegen NAT nicht könnte ohne Portforwarding, so wäre die Absendeadresse trotz Router immer noch 213.39.195.43 und somit würden die Pakete geblockt.
Hi netcrawler und alle, die sachlich interessiert sind,
hör einfach nicht auf die Klischee-Reiter.
Das sind mit Sicherheit die gleichen, die in anderen Foren mächtig auftrumpfen. Dein Problem ist viel interessanter.
Also der Router ist verbunden über LAN mit Deinem PC, auf welchem eine Personal-Firewall läuft.
Der Router hat eine Verbindung zum Internet und besitzt zum Beispiel die angenommene IP 200.0.0.1
( wird bei jeder Anwahl neu zugeteilt, ist wirklich frei erfunden ),
außerdem hat der Router die feste LAN-IP 192.168.1.1, weil er ja auch zwei Netzwerkadapter hat.
Du kannst Internetseiten aufrufen, d.h. der Zielport 80 ist ausgehend für Internet-IPs bei Deiner Firewall freigeschaltet.
Angenommen Du willst die Site 62.146.75.234 (Nickles.de) aufrufen, dann ist der Weg, wie folgt,
wenn Dein PC die IP 192.168.1.11 über DHCP zugeteilt bekommen hat und der nächste freie Port 4015 ist:
Quelle: 192.168.1.11:4015 Ziel:62.146.75.234:80
Das Ziel befindet sich nicht im LAN also wird das Paket an den Gateway geleitet.
Wenn Port 5160 der nächste freie Port am Router ist, erfolgt über NAT eine IP-Übersetzung:
Die Quelle wird ausgetauscht.
Quelle: 200.0.0.1:5160 Ziel:62.146.75.234:80. Die Weiterleitung erfolgt.
Dabei wird der Port 5160 für die Rückantwort und für Deine IP 192.168.1.11 reserviert.
Antwort:
Der Port wird bei 62.146.75.234 auf den nächsten freien Port gestellt (z.B. Port 6355).
Quelle: 62.146.75.234:6355 Ziel: 200.0.0.1:5160
NAT-Übersetzung am Router
Quelle: 62.146.75.234:6355 Ziel: 192.168.1.11:4015
und www.nickles.de erscheint bei Dir im Browser.
Wie man sieht, wird weder bei der Quelle eingehend noch beim Ziel ausgehend die Router-IP 192.168.1.1 in den Netzwerkpaketen verwendet.
192.168.1.1 muss lediglich als Standard-Gateway oder als statische Route eingetragen sein.
Die IP des Routers muss sich im gleichen Netzwerk befinden.
Deine Firewall filtert die Pakete anhand der Quell-Ip eingehend und der Ziel-IP ausgehend.
Das Netzwerk 192.168.1.0/24 wird blockiert, aber nicht die Verwendung des Standard-Gateways.
Somit ist klar, dass die Ziel-Ip 192.168.1.1 ausgehend blockiert wird,
wenn Du auf Deinen Router Einstellungen per HTTP treffen willst (http://192.168.1.1).
(Andersherum, also wenn der Zugriff zuerst vom Internet erfolgt, ist kein Zugriff auf Deinen PC möglich,
weil der Router nicht wissen kann, an welche LAN-Ip-Nummer er die Anfrage senden soll!!!!
Man müsste erst beispeilsweise Port 80 für Deinen PC am Router freischalten,
z.B. Internet-IP:80 TCP-MAP 192.168.1.11:80,
da müsste Dein PC jedoch eine feste IP-Nr. haben.)
Ich bedanke mich für die Bekanntgabe Deines interessanten Sachverhalts.
Viel Spaß
Teletom
PS: Was Ihr nur habt, die Welt ist doch in Ordnung?
An die <Zitatanfang> "Schlaumeier" <Zitatende> kennt Ihr GET OFF OF MY CLOUD?