4. Router Firewall / IP Filter Verständnisfrage

Router Firewall / IP Filter Verständnisfrage

  • C

    Moin!

    Ich wollte mal meinen heimischen Router etwas abdichten und hab mich rangesetzt, die interne Firewall zu konfigurieren. Dort kann ich Filterregeln für Ankommenden/Abgehenden Datenverkehr hinterlegen. "Abgehend" ist mir soweit klar (Ich hab erstmal alles dichtgemacht bis auf http/https, da alle Rechner erstmal nur Surfen dürfen sollen).
    Aber wie soll ich nun den ankommenden Verkehr filtern? Ich weiss doch nicht, auf welchem lokalen Port z.B. eine http Verbindung ankommt, oder doch? 😕

    0
  • S

    Cpp_Junky schrieb:

    Aber wie soll ich nun den ankommenden Verkehr filtern? Ich weiss doch nicht, auf welchem lokalen Port z.B. eine http Verbindung ankommt, oder doch? 😕

    Hierbei ist gemeint wer die Verbindung initiiert. Wenn du zB einen Server auf Port 80 anfragst, ist das eine ausgehende Verbindung - obwohl der Server dir ja auch Daten schickt.

    Eingehende Verbindungen braucht man idR nur wenn man Services laufen lassen will die von aussen zugreifbaren sein sollen -> bei dir also vermutlich nichts.

    0
  • C

    Hm, aber wenn ich bei ankommendem Verkehr alles auf "nicht zulassen" stelle, geht nichts mehr 😕

    0
  • S

    OK, dann geht dein Router da mehr ins Detail als die meisten.

    Der Router selber weiss ja wer welche Verbindung über ihn aufgebaut hat. dh du kannst RELATED und ESTABLISHED (so nennt es zB iptables) connections auch eingehend erlauben. established ist klar -> eine offene verbindung darf in beide Richtungen senden und empfangen. related ist zB bei ftp wichtig, da ftp ja ports hin und herschiebt.

    Auf Port basis die eingehenden Connections erlauben geht ja nicht, weil wie du bereits erkannt hast, du keinen Einfluss darauf hast von welchen Ports die Connections erfolgen (und der Router legt die Ports ja auch wieder um).

    0
  • C

    Hm ja, scheint wirklich so zu sein. Via netstat hab ich inzwischen festgestellt, das Verbindungen über den iexplorer auf den lokalen Ports >= 50.000 ankommen. Keine Ahnung ob das immer so ist, aber bisher funktioniert es (habe mal testweise alles Eingehende bis 49.999 gesperrt).
    Eigentlich sollte das Ganze doch aber sowieso "überflüssig" sein, weil die NAT Konfiguration nur explizit angegebene Dienste weiterleitet (Forwarding), oder?

    0
  • Z

    Cpp_Junky schrieb:

    Hm ja, scheint wirklich so zu sein. Via netstat hab ich inzwischen festgestellt, das Verbindungen über den iexplorer auf den lokalen Ports >= 50.000 ankommen. Keine Ahnung ob das immer so ist, aber bisher funktioniert es (habe mal testweise alles Eingehende bis 49.999 gesperrt).

    Die dynamischen Ports gehen bei 49152 los. Da der Router normalerweise durchzählt wirst du irgendwann Probleme bekommen, wenn er wieder vorne anfangen will (wenn du Pech hast, bedeutet "vorne" bei deinem Router 1024

    0
Anmelden zum Antworten