Firewall mit erweiterter Sicherheit - Serverprogramme auf LAN beschraenken



  • Hatte noch keine Zeit den Linksys anzuschauen, deswegen konnte ich dazu noch nix sagen.

    Sieht aber ganz gut aus. Und fuer 90 Euro (wie kriegt man auf einer Ami-Tastatur ein Eurozeichen hin?) anscheinend ein ganz gutes Angebot. Wird so zeitnah wie moeglich bestellt.
    Was istn der Unterschied zw Tomato und Standard-Firmware?



  • €90 würde ich nicht zahlen, den gibt's derzeit auch schon für unter €70
    http://geizhals.at/de/570767

    Der Unterschied zwischen normaler und Tomato Firmware ist... die Tomato hat ein hübscheres Web Frontend 😃 Ne, ernst, die kann einfach viel mehr.

    Und vor allem kann sie ordentlich QoS machen. D.h. volle Kanne Download über HTTP und/oder P2P und trotzdem ohne nennenswerten Lag Surfen. Auch mit mehreren PCs gleichzeitig. Was das Ding inetwa kann, was es für verschiedene Builds gibt, und was die wiederum können kannst du hier finden:

    http://en.wikipedia.org/wiki/Tomato_(firmware)

    In der Feature Matrix steht auch welche Builds USB 3G Modems unterstützen.

    Bzw. auf der TomatoUSB Homepage: http://tomatousb.org/

    Aber Achtung: ich persönlich hab' den E3000 nicht mit einem UMTS Stick laufen (ich hab zwar den E3000 mit TomatoUSB, bin auch sehr zufrieden damit, hab aber keinen UMTS Stick, kann es also auch nicht ausprobieren). Ich kann also nicht *garantieren* dass es auch funktioniert.

    ----

    Ich persönlich verwende den Toastman Build. Der kann alles was ich brauche, und 3G Modem kann er laut Webseite auch (ich hab auch ne Option "USB 3G Modem support" im "USB Support" Menu, kanns aber wie gesagt nicht ausprobieren):

    http://toastmanfirmware.yolasite.com/

    Wenn du den verwenden willst, die Files liegen momentan hier:

    http://www.mediafire.com/?88t1vzzcgrphx#4v25ye54j4tdd

    Ich würde entweder das tomato-E3000USB......-RT-Ext.bin bzw. das tomato-E3000USB......-RT-VPN.bin File nehmen - je nachdem ob du VPN Support brauchst.

    Die Shibby und Teaman Builds dürften auch gut sein, hab zumindest schon öfter Beiträge von zufriedenen Usern in diversen Foren gelesen.

    ps: und das unerwünschte WLAN kannst du deaktivieren, sind bloss zwei Checkboxen. Ansonsten einfach verwenden, WLAN is kuhl, und mit WPA2/AES auch ausreichend sicher.



  • Ok, dann werd ich wohl das Ding kaufen und Tomato drauf laufen lassen. Eine Frage sei mir noch erlaubt: Wenn das ne Linux-Distri ist muesste man doch theoretisch auch Programme zum laufen bringen. Wenn alle Stricke reissen koennte ich ja dann immernoch die Linux-Variante von MWConn zum laufen bringen...

    EDIT: Und kriegt man, falls es Probleme gibt, auch die Originalfirmware wieder drauf?



  • Programme laufen lassen... pfuh, ja, geht schon, aber ich hab keine Ahnung wie viel Aufwand das ist.
    Original Firmware bekommt man wieder drauf, ja.



  • Gut, Router kommt hoffentlich morgen an (wenn DHL nicht wieder den Expressversand verbockt 🙄 ).

    Schonmal danke an alle, die mir geholfen haben, insbesondere an dich, hustbear. 🙂



  • hustbaer schrieb:

    Programme laufen lassen... pfuh, ja, geht schon, aber ich hab keine Ahnung wie viel Aufwand das ist.

    Bei Tomato solala. Interessant wird natuerlich sein, ob das Tool ueberhaupt fuer die richtige Architektur verfuegbar ist.



  • Grad nochmal nachgeguckt, scheint nur auf Ubuntu zu laufen -.-
    Naja, solange der Toastmann das richtig managet, besteht ja auch kein Bedarf nach dem Extra-Tool.



  • Jonas OSDever schrieb:

    Grad nochmal nachgeguckt, scheint nur auf Ubuntu zu laufen -.-

    Ich meinte mehr die CPU-Architektur denn die Distro. Welche Distros supported werden ist nicht so wichtig dafuer, fuer welche Distros sich das Ding zurechtbasteln laesst. Wenn es das Ding aber nur fuer x86-CPUs gibt, waere das ein ziemlicher Hemmschuh. 🙂



  • Jonas OSDever schrieb:

    Gut, Router kommt hoffentlich morgen an (wenn DHL nicht wieder den Expressversand verbockt 🙄 ).

    Und, angekömmt?



  • Jo.
    Tomate ist auch schon reingequetscht worden, nur die Internetverbindung will noch nicht richtig. Stick zeigt "Verbunden" an, Tomate zeigt verbunden an, aber ich konnte nicht surfen und Pings haben auch nicht geklappt. Ich bin mir nicht sicher, aber ich glaube das liegt daran, dass ich noch keinen DNS-Server eingetragen hab.
    Ich wollte mal versuchen dierekt auf die IPs zuzugreifen, kam aber (krankheitsbedingt) noch nicht dazu. Werds aber gleich mal ausprobieren.

    EDIT: Hat nich geklappt 😞 Wahrscheinlich muss ich noch iwas einstellen. Bei Routern bin ich halt noch absoluter Noob. Bin erstmal googeln 🕶



  • Waaaaaaaaah, hoffentlich hab' ich dir da jetzt keinen Mist aufgeschwatzt 😞
    (Also Mist ist der E3000 sicher nicht, aber ... hoffentlich bekommst du das 3G Modem zum laufen!)

    Jonas OSDever schrieb:

    krankheitsbedingt

    Gute Besserung!

    EDIT: Hat nich geklappt 😞 Wahrscheinlich muss ich noch iwas einstellen. Bei Routern bin ich halt noch absoluter Noob. Bin erstmal googeln 🕶

    Ja, mach das mal!

    Oder probier mal nen Shibby Build:

    http://tomato.groov.pl/download/K26/build5x-097-EN/



  • Sorry fuer die diesmal wirklich verspaetete Antwort, aber ich hab mich erstmal etwas kuriert anstatt am Router rumzuwerkeln.

    Mit dem Shibby-Build hats jetzt geklappt. Die Einstellungen sind unveraendert uebernommen. Scheinbar war das Feature bei Toastman noch im Test... egal, Hauptsache es laeuft. 👍

    Aber jetzt muss ich wieder Noobfragen stellen (bitte nich hauen). Wie funktioniert das jetzt genau mit der Firewall, bzw. wie sage ich was durch darf und was nicht? Advanced>Firewall scheint irgendwie nicht die Einstellung zu sein die ich haben will...

    P.S.: Wenn die Seite, um den aktuellen Datenverbrauch abzurufen (pass.telekom.de) einwandfrei funktioniert habe ich auch die richtige APN angegeben, oder (wg. moeglicherweise extremen Kosten bei fehlerhafter APN)?



  • Ok, mittlerweile hab ich rausgefunden, dass ich mit iptables arbeiten muss.

    Allerdings hab ich grad anscheinend Mist gebaut, da ich ins Firewallscript eingetragen habe, dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt) und mich scheinbar selber ausgesperrt habe. 😞
    Kann man das irgendwie geradebiegen?

    EDIT: Mit dem Telnet-Daemnon auf Port 233 komm ich anscheinend auch nicht mehr drauf.



  • Jonas OSDever schrieb:

    Wie funktioniert das jetzt genau mit der Firewall, bzw. wie sage ich was durch darf und was nicht?

    Standardmaeszig geht doch eh nix durch. Da musst du ueberhaupt nichts umstellen.

    Allerdings hab ich grad anscheinend Mist gebaut, da ich ins Firewallscript eingetragen habe, dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt) und mich scheinbar selber ausgesperrt habe. 😞
    Kann man das irgendwie geradebiegen?

    Ja, aber nicht via Netzwerk. Router neustarten, normalerweise sollten die iptables-Regeln nicht automatisch gesichert und wiederhergestellt werden.

    Ansonsten ueber eine serielle Konsole oae.



  • Neugestartet hab ich ihn schon... und leider wird das Firewallscript beim Start ausgefuerht.

    nman schrieb:

    Standardmaeszig geht doch eh nix durch. Da musst du ueberhaupt nichts umstellen.

    Aber beim ausfuehren von iptables -L meinte er bei INPUT u.a.:

    source anywhere dest anywhere prot all ACCEPT
    

    (genaue Formatierung kann ich gerade nicht angeben, weil ich ja keinen Zugriff mehr habe)

    nman schrieb:

    Ansonsten ueber eine serielle Konsole oae.

    Geht das dann ueber RS-232? Entsprechende Schnittstelle hab ich am Computer, aber wo soll ich das am Router rankoppeln?



  • Mit dem Shibby-Build hats jetzt geklappt. Die Einstellungen sind unveraendert uebernommen. Scheinbar war das Feature bei Toastman noch im Test... egal, Hauptsache es laeuft.

    Uff. Bin ich froh 🙂

    Neugestartet hab ich ihn schon... und leider wird das Firewallscript beim Start ausgefuerht.

    Was immer gehen sollte (auch mit so-gut-wie jedem anderen Router) ist ein "30/30/30 Reset":

    http://www.textingthefridge.com/2011/02/30-30-30-reset.html

    Der Reset-Button ist beim E3000 neben dem Power-Schalter, auch schön rot umrandet.

    Danach sollten *alle* Einstellungen weg (=auf Default) sein. Hoffentlich hast du da noch nicht all zu viel rumgeschraubt was du dann neu machen musst.

    Was iptables angeht, da brauchst du nix manuell in irgendwelche Skripte eintragen.
    Wie nman schon geschrieben hat: per Default blockiert der Router sowieso alle *eingehenden* Verbindungen - er könnte auch gar nicht wissen an welche IP er sie weiterleiten soll.

    D.h. man muss für jede eingehende Verbindung die erlaubt sein soll ein Port-Mapping machen. Und das geht recht komfortabel über die Web-Oberfläche.

    EDIT: waaaaaah, Edit Unfall ("Editieren" statt "Zitieren" erwischt)! Hab's aber glaub wieder 1:1 (oder fast) hingebracht - Browser History sei Dank.



  • Jonas OSDever schrieb:

    dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt)

    REJECT ist übrigens angenehmer zu debuggen als DROP, und auch für eventuelle User angenehmer, wenn mal ein Dienst nicht läuft. c-plusplus.net macht zum Beispiel auch REJECT auf allen Ports, wo nichts läuft, was es für mich als Nutzer viel angenehmer macht, https://c-plusplus.net/ auszuprobieren und unverzüglich festzustellen, dass das nicht funktioniert.



  • Christoph schrieb:

    Jonas OSDever schrieb:

    dass alle eingehenden und forward-Verbingungen geblockt werden (also die Regeln geflusht und dann auf Drop gesetzt)

    REJECT ist übrigens angenehmer zu debuggen als DROP, und auch für eventuelle User angenehmer, wenn mal ein Dienst nicht läuft. c-plusplus.net macht zum Beispiel auch REJECT auf allen Ports, wo nichts läuft, was es für mich als Nutzer viel angenehmer macht, https://c-plusplus.net/ auszuprobieren und unverzüglich festzustellen, dass das nicht funktioniert.

    Hm.
    Also ich bin bei Reject etwas skeptisch.
    Damit verkündet man doch nur lauthals dass hier ein Rechner läuft, und bittet quasi darum in diverse "hier scannen wir mal öfter, vielleicht geht mal ein Port auf" Listen aufgenommen zu werden.

    Bei öffentlichen Servern wird das egal sein, weil die sowieso schon unter Beschuss sind, bzw. sowieso Ports ganz offen haben müssen - dann macht's schon keinen Unterschied mehr ob die anderen auf Reject laufen oder auf Drop.

    Bei privaten Netzwerken die nichts bzw. bloss den einen oder anderen vereinzelten High-Port offen haben würde ich persönlich aber immer Drop lassen.



  • hustbaer schrieb:

    Also ich bin bei Reject etwas skeptisch.
    Damit verkündet man doch nur lauthals dass hier ein Rechner läuft, und bittet quasi darum in diverse "hier scannen wir mal öfter, vielleicht geht mal ein Port auf" Listen aufgenommen zu werden.

    Das macht man sowieso. Wenn kein Rechner laufen würde, würde nämlich der vorhergehende Hop (also der beim Provider) "host unreachable" zurückschicken. Wenn gar keine Antwort kommt, ist klar, dass da ein Host läuft, der sich totstellt.

    Solche Scanner scannen eh so viele Hosts und so viele Ports parallel, denen sind timeouts völlig egal. Keine Antwort heißt einfach "da ist ein PC, der stellt sich tot", was genauso gut ist wie "da ist ein PC, der meine Anfragen abweist".

    Deswegen ist meine Erfahrung, dass man sich mit drop nur selber in den Fuß schießt.



  • Puh, endlich laeuft das Ding wieder. Der 30/30/30-Reset hat geholfen.
    Musste zwar einiges wieder hinfrickeln, aber in Anbetracht der Tatsache, dass ich schonmal die AD Datenbank zerstoert hattte, den Server per Registry runterstufen durfte, weil der normale Weg nicht ging, und dann die GPOs neueinstellen durfte, schockt mich kein Einstellungsverlust mehr.

    Aktuell lasse ich die Einstellung vorerst mal auf DROP, da ich keine Dienste anbiete. Sollte ich aber wirklich irgendwann mal Dienste laufen lassen, die nicht nur lokal einsetzbar sein sollen, werde ich das aendern. Aber fuer heute hab ich wirklich keine Lust mehr nochmal an der Firewall rumzufummeln. Da kann man zu viel kaputt machen 😉


Anmelden zum Antworten