Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge

Verfolgung starten Optionen

Neue Firewall - Konfiguration?

frank6661 / 15 Antworten / Baumansicht Nickles

Hallo.
Ich habe mir, weil ich mit meiner alten nicht mehr zufireden war, eine neue Firewall heruntergeladen und installiert. Diese hört auf den Namen Comodo und ist viel umfangreicher. Ich bin da jetzt ein bisschen überfordert:
Bei meiner alten Firewall konnte ich keine speziellen Netzwerkregeln aufstellen. Ich hab da jetzt mal im Internet ein bissl herumgesucht, und habe ein paar Einstellungen vorgenommen. Könnt ihr mir bitte sagen, wie sinnig diese sind und evtl. Ergänzungen geben? Ich wäre euch dankbar.

erlaubt
für WWW: TCP IP [any] port 1024-65535 --> IP [any] port 80
für SMTP: TCP IP [any] port 1024-65535 --> IP [smtp-adresse] port 25
für POP: TCP IP [any] port 1024-65535 --> IP [pop-adresse] port 110
für FTP: TCP IP [any] port 1024-65535 --> IP [any] port 21, 1024-65535

geblockt
für IP-Protokoll IP [any] (das war als Regel schon voreingestellt)

bei Antwort benachrichtigen
GarfTermy frank6661 „Neue Firewall - Konfiguration?“
Optionen

für WWW: TCP IP [any] port 1024-65535 --> IP [any] port 80

betreibst du auf deinem rechner einen webserver - wenn nicht, dann ist diese regel sinnlos.

für SMTP: TCP IP [any] port 1024-65535 --> IP [smtp-adresse] port 25

betreibst du einen mailserver, der via smtp zu erreichen sein soll - wenn nicht, siehe eins weiter oben.

für POP: TCP IP [any] port 1024-65535 --> IP [pop-adresse] port 110

siehe antwort davor.

für FTP: TCP IP [any] port 1024-65535 --> IP [any] port 21, 1024-65535

siehe antwort davor. ...wobei du bei dieser regel die hosen förmlich runterfallen läßt - speziell für den bereich 1024-65535

wie dann?

besorge dir bitte eine firewall, deren betriebsanleitung entweder in deutsch, oder sonst für dich verständlich ist. es macht keinen sinn eine fw zu benutzen, wenn man mit den regelsätzen nicht klarkommt.

alternativen?

router mit eingebauter hardwarefirewall - meist einfacher zu konfigurieren, wenn sie preiswert sind. netgear ist hier echt gut.

wenn du mehr geld in die hand nehmen kannst, dann kauf dir eine fortigate 50B.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
frank6661 GarfTermy „für WWW: TCP IP any port 1024-65535 -- IP any port 80 betreibst du auf deinem...“
Optionen

Also einen Webserver betreibe ich nicht, aber ich greife auf das Internet zu und so wie ich das verstanden habe, muss man das freigeben.
SMTP und POP brauch ich, so weit ich das verstanden habe, für Thunderbird, mit dem ich meine E-Mails organisiere und abhole.
Dann nutze ich wegen meiner Website auch noch ein FTP-Programm (d.h. für mich, ich muss auch noch FTP freigeben...)

Aber okay, ich geb nur den Port 21 frei...

Aber ich glaube eine Bedienungsanleitung in Deutsch hilft mir da auch nicht weiter, da ich nur keinen Plan hab, welche Ports und IP-Adressen ich freigeben muss, damit mein Rechner noch relativ sicher ist...

Trotzdem erstmal danke für deinen Kommentar.

bei Antwort benachrichtigen
GarfTermy frank6661 „Also einen Webserver betreibe ich nicht, aber ich greife auf das Internet zu und...“
Optionen

"...so wie ich das verstanden habe, muss man das freigeben...."

das hast du dann falsch verstanden.

"...SMTP und POP brauch ich, so weit ich das verstanden habe, für Thunderbird, mit dem ich meine E-Mails organisiere und abhole....."

auch hierfür ist es NICHT erforderlich ein loch in die fw zu bohren und generell allen von außen nach innen den zugang zu gewähren.

"...Dann nutze ich wegen meiner Website auch noch ein FTP-Programm..."

du betreibst auch KEINEN ftp-server - also mußt du bei dir incoming auch ftp [plus die masse ports ab 1024...] freigeben.

"...da ich nur keinen Plan hab, welche Ports und IP-Adressen ich freigeben muss, ..."

du kannst ja fragen...

"...welche Ports und IP-Adressen ich freigeben muss, damit mein Rechner noch relativ sicher ist......"

die erste regel dazu ist absolut simpel: KEINE - solange du keine dienste auf deinem rechner VON AUSSEN erreichbar machen willst, gibst DU NICHTS auf deisem rechner frei.

beispiel gefällig?

du hast einen server auf dem eine website www.google.de läuft... [achtung: theorie] - dann muß der webserver in seinen firewallregeln port 80 offen haben.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
frank6661 GarfTermy „ ...so wie ich das verstanden habe, muss man das freigeben.... das hast du dann...“
Optionen

Achso... okay. Jetzt kommt mein Gehirn der Sache schon näher... :-) Danke.

Soll ich da einfach alles blocken, was so rein und raus geht? Ich kann folgende Protokolle auswählen: IP, TCP, UDP, ICMP.

Also lass ich alle Protokolle auf Blocken, bis ein Dienst (vertrauenswürdig natürlich) wohin "telefonieren" will und geb dann für den die Ports und die IP-Adresse frei, die der unbedingt benötigt?!
Okay, das klingt verständlich. Werd ich mal machen.

Danke.

bei Antwort benachrichtigen
GarfTermy frank6661 „Achso... okay. Jetzt kommt mein Gehirn der Sache schon näher... :- Danke. Soll...“
Optionen

"...Soll ich da einfach alles blocken, was so rein und raus geht? ..."

im grunde fängt man genau so an - du wirst schnell merken, welche regel für welchen dienst/datenfluß nötig ist. regell dazu?

nur freigeben, was man wirklich braucht. nicht mehr und nicht weniger. lieber einen zuviel verweigert, als einen zuviel zugelassen.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
frank6661 GarfTermy „ ...Soll ich da einfach alles blocken, was so rein und raus geht? ... im grunde...“
Optionen

Okay.
Und wie merk ich, dass ich ein Protokoll zulassen muss, statt eines Programmes? Kann so etwas überhaupt vorkommen?

(Also ich meine damit, dass ein Programm nicht funktioniert, obwohl die Firewall das Programm komplett zulässt, der Fehler aber darin liegt, dass ich ein Protokoll geblockt habe, was das Programm benötigt. Z.B. hab ich das bemerkt, als ich das Internet Protokoll nach außen geblockt hab, ging das Internet nicht mehr... [Ich weiß, das ist ist logisch, aber man muss ja ausprobieren... :D ] )

Bei der Netzwerk-/ Protokollregelung hab ich bis jetzt IP incoming, TCP/UDP incoming und ICMP in- und outcoming geblockt. Kann man das so stehen lassen, oder muss ich spezielle Ports doch freigeben?

bei Antwort benachrichtigen
xafford GarfTermy „für WWW: TCP IP any port 1024-65535 -- IP any port 80 betreibst du auf deinem...“
Optionen
ür WWW: TCP IP [any] port 1024-65535 --> IP [any] port 80

betreibst du auf deinem rechner einen webserverbild - wenn nicht, dann ist diese regel sinnlos.


Schon mal was von Egress-Filterung gehört? Anscheinend wohl nicht. Kleiner Tipp zum lesen der Angaben: Lokal ist der erste Teil der Regel.
Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
GarfTermy xafford „ Schon mal was von Egress-Filterung gehört? Anscheinend wohl nicht. Kleiner...“
Optionen

@xaff

egress ist hier nicht gefragt und wurde als begriff hier bis heute nicht verwendet. ich sehe also keinen anlass darüber zu diskutieren.

anstatt hier mit kleinen tipps zu glänzen, kannst du gerne mit verwertbarem weiterhelfen.

"...Kleiner Tipp zum lesen der Angaben: Lokal ist der erste Teil der Regel. ..."

komisch - ich habe gelernt, dass der pfeil den datenfluß darstellt. du hast was anderes gelernt? ...dann lass uns an deinem wissen teilhaben.

;-)

The two basic principles of Windows system administration: For minor problems, reboot For major problems, reinstall
bei Antwort benachrichtigen
xafford GarfTermy „@xaff egress ist hier nicht gefragt und wurde als begriff hier bis heute nicht...“
Optionen

Wenn Du weißt, dass der Pfeil den Datenfluss darstellt dann solltest Du die Regeln eigentlich auch richtig lesen können:

für WWW: TCP IP [any] port 1024-65535 --> IP [any] port 80

Übersetzt:

Alle Verbindungen von lokal zwischen Port 1024 und 65535 nach remote Port 80 zulassen.

Sowas nennt sich Egress und war dadurch dass die Regeln derzeit wohl so gesetzt sind dann wohl doch gefragt.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
out-freyn GarfTermy „@xaff egress ist hier nicht gefragt und wurde als begriff hier bis heute nicht...“
Optionen
ich habe gelernt, dass der pfeil den datenfluß darstellt. du hast was anderes gelernt? ...dann lass uns an deinem wissen teilhaben.

In diesem Fall wird aber mit den Pfeil nicht der Datenfluss dargestellt, sondern die Richtung der (initialen) Kommunikation. Links steht dabei für LAN, rechts für WAN.

für WWW: (LAN) TCP IP [any] port 1024-65535 --> (WAN) IP [any] port 80
Um auf www-Server zugreifen zu können, sollte das schon so eingestellt werden. Ganz so sinnlos ist das also nicht.


für IP-Protokoll IP [any] Vom WAN initiierte Kommunikation sollte soweit geblockt werden. Vielleicht lassen sich am Router auch noch sinnvolle Regeln für ICMP erstellen.
The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
bei Antwort benachrichtigen
frank6661 out-freyn „ In diesem Fall wird aber mit den Pfeil nicht der Datenfluss dargestellt,...“
Optionen

Ich hab das mal ausprobiert mit (LAN) TCP IP [any] port 1024-65535 --> (WAN) IP [any] port 80 erlaubt
und zur Kontrolle (LAN) TCP IP [any] --> (WAN) IP [any] geblockt.
Das Problem hierbei ist jetzt, dass ich manche Seiten nicht mehr erreiche (z.B. Google), andere (z.B. Wikipedia) aber schon. Ich dachte Internet hätte allgemein den Port 80?!

"für IP-Protokoll IP [any] Vom WAN initiierte Kommunikation sollte soweit geblockt werden."
--> Dazu hätte ich auch noch eine Frage. Das klingt so, als ob ICQ dann auch nicht mehr geht, zumindest von außen nach innen. Ist das so?

bei Antwort benachrichtigen
out-freyn frank6661 „Ich hab das mal ausprobiert mit LAN TCP IP any port 1024-65535 -- WAN IP any...“
Optionen
Das klingt so, als ob ICQ dann auch nicht mehr geht, zumindest von außen nach innen. Ist das so?

Kann sein (ich kenn' mich mit ICQ nicht aus). Es wird jede Art der Kontaktaufnahme vom WAN aus geblockt, die _nicht_ durch eine vorherige Anfrage aus dem LAN ausgelöst wurde.

Aber zu ICQ gibts bestimmt eine Dokumentation, die auf die notwendigen Einstellungen bei der Firewall eingeht.
The conspiracy theory of society [...] comes from abandoning God and then asking: »Who is in his place?« (Sir Karl Popper, Conjectures and Refutations, 1963)
bei Antwort benachrichtigen
frank6661 out-freyn „ Kann sein ich kenn mich mit ICQ nicht aus . Es wird jede Art der...“
Optionen

Ich hab das jetzt mal ausprobiert: Es geht trotzdem.

Danke erstmal für euer aller Hilfe

Ich habe aber trotzdem noch eine letzte Frage. Dann lass ich euch in Ruhe ;-)

Bei der Netzwerk-/ Protokollregelung hab ich bis jetzt IP incoming, TCP/UDP incoming und ICMP in- und outcoming geblockt. Kann man das so stehen lassen, oder muss ich spezielle Ports doch freigeben, oder noch etwas feiner einstellen?
Was bringt mir eigentlich ICMP? Ich hab mich zwar mal drüber informiert, aber so richtig schlau bin ich da nicht draus geworden.

bei Antwort benachrichtigen
xafford frank6661 „Ich hab das jetzt mal ausprobiert: Es geht trotzdem. Danke erstmal für euer...“
Optionen

ICMP ist grob gesagt ein Protokoll um Status-, Fehler- und Prüfnachrichten zwischen Rechnern auszutauschen. Für einen einzelnen Privatrechner ist das in der Regel nicht nötig und kann geblockt werden.

Pauschalurteile sind immer falsch!!!
bei Antwort benachrichtigen
frank6661 xafford „ICMP ist grob gesagt ein Protokoll um Status-, Fehler- und Prüfnachrichten...“
Optionen

Okay, danke.

bei Antwort benachrichtigen