Speedport W 501V

Hallo

Ich möchte bei meinem Router die Firewall ausstellen! Ich finde nichts weiter als nur diesen Menüpunkt "NAT & Portregeln" Weiss jemand was hier zutun ist?

MfG und danke Chris

 

Du kannst die Firewall deines Routers nicht einfach abstellen.. Das ist gleichzeitig die Routerfunktion (nämlich NAT). Du kannst unter Umständen diverse Filter abschalten oder einen Rechner in eine demilitarisierte Zone (DMZ) setzen. Aber warum zum Geier sollte man das (zu Hause) wollen?
Beschreib erstmal das Problem bevor du die Lösung für das Problem einer vermeintliche Lösung erfragst. (kompliziert aber soll so sein *g)

 

hehe schauen wir mal

also ich versuche daten via rechner & laptop auszutauschen das funkt aber ned weil der jeweilige rechner meint ich sollte den admin. des jeweiligen rechner informieren... dachte dass es an der firewall liegen könnte^^

 

Das liegt nicht am Router. Wenn, dann stört da eine Firewall auf den Rechnern. Oder du hast keine Zugriffsrechte. Oder du hast dein Netzwerk falsch konfiguriert. Ohne Angabe der Fehlermeldung schwer zu sagen.

 

NAT (das was man so als Firewall bezeichnen könnte) arbeitet zwischen Dem WAN Port un den LAN Ports des Routers. Also zwischen internet und lokalem Netzwerk. Zwischen deinen beiden PC's arbeitet sie nicht. DH wie bereits vom Doc erwähnt... du musst das Netzwerk konfigurieren.

 

NAT hat zunächstmal nichts mit Firewall zu tun und ist kein Sicherheitsfeature, wenn man mal von der Tatsache absieht, dass die privaten Hosts von außen nicht zu sehen sind.NAT macht nichts anderes, als dass es zwischen den privaten Hosts und den öffentlichen Hosts Datenpakete über eine öffentliche IP vermittelt.In den Datenpaketen ist auch eine Angabe über den Port enthalten, der auf dem Zielrechner angesprochen werden soll.

An dieser Stelle kommt die Router-Firewall ins Spiel, indem sie die eingehenden Pakete je nach Port filtert und NAT daran hindert, die Pakete weiterzuleiten, die einen bestimmten, nicht erlaubten Port ansprechen wollen.Ist die Routerfirewall aktiviert, dann läßt die Standardeinstellung häufig nur Pakete zu, die an wenige vordefinierte Ports geschickt werden können (z.B. http).

Portforwarding bohrt nun Löcher in diese Firewall, indem es für weitere,festdefinierte Ports oder Portbereiche Ausnahmeregelungen definiert.

Natürlich kann man die Firewall von NAT-Routern auch ganz abschalten, wenn man das möchte.Die NAT-Funktion ist dadurch nicht beeinträchtigt.Im Gegenteil, es ist ja so, dass das Portfilterung einer Firewall NAT daran hindert, sich ungebremst zu entfalten.

 

Bingo. Von aussen nicht zu sehen. Ich kenne Firmen die sogar 2x NATen bevor es rausgeht. z.B Wenn ein Server von aussen ansprechbar aber vom Rest des Netzwerks nicht mal die IPRange bekannt sein soll. In einem speziellen Fall passiert das sogar auf beiden Seiten. Also theoretisch 4x NAT.

Also was NAT macht sind wir uns einig aber die Tatsache dass es ein Ansprechen der Rechner dahinter verhindert indem es Anfragen, die nicht durch den User im Router erlaubt wurden (durch Portforwarding), verwirft ist für mich Teil eines Firewall Konzepts. Denn eingehende Verbindungen sind damit etwas um das ich mir damit keine Sorgen mehr machen muss.
Mal ein Beispiel: Würmer kommen durch einen Router nicht durch (wenn NAT aktiviert wurde, keine Portweiterleitungen mit den entsprechenden Ports eingegeben wurden und natürlich der Rechner nicht in einer DMZ steht). Somit verhindert NAT netzwerkübergreifende Wurmattacken: Teil eines Firewall Konzepts.
Mal etwas konkreter. Routerbenutzer hatten nie Probleme mit z.B dem (symantec) "Blaster" Wurm.
Da es allerdings nicht die eigentliche Aufgabe von NAT ist sondern eher ein "Nebenprodukt" wird das oft nicht als Firewall anerkannt. War mir schon immer unverständlich. Es erfüllt doch die Vorraussetzungen...

Und nein man kann bei NAT keine Firewall deaktivieren. Es gibt keine Standards bei Routern ausser NAT und keine Einstellungen dafür. Alles andere ist Herstellerabhängig. Es gibt durchaus SA Router die ausser NAT und einem dhcp Server nichts anbieten. Nichtmal portforwarding... (z.B der erste Eumex Router der Telekom mit Firmware des ersten Releases).

Natürlich haben die meisten heutigen Router zusätzlich diverse Filterfunktionen die sich abschalten lassen. Allerdings auch nur zwischen den Netzwerken und nicht Netzwerkintern.

 

Sicher.Das sehe ich ja auch so, nur dass das eben keine Funktion von NAT ist, sondern die der Firewall.

Die Firewall (Portfilterfunktion) wird auf NAT draufgesetzt.
NAT für sich genommen, filtert keine Ports.
Ein NAT-Router kann ja auch ohne eine Firewallfunktion ausgestattet sein.Da wird dann keinerlei Filterfunktion praktiziert; aber NAT läuft trotzdem ganz normal.

Siehe dazu auch hier :

http://de.wikipedia.org/wiki/Network_Address_Translation

In dem Artikel ist richtigerweise von Portfiltern oder Firewall nicht die Rede.

 

Ein Beispiel eines solchen Routers hatte ich ja genannt. Trotzdem wurden durch NAT eingehende Verbindungen verworfen. Wohin sollen die auch gehen?
Was würde denn passieren wenn man NAT ohne Portfilterfunktion benutzen würde (In welchem Heim Sa Router lässt sich das denn einstellen???) und eine Anfrage für eine eingehende Verbindung am Router ankommt? An welchen Rechner wird die Anfrage gesendet? Es ist ja lediglich die IP des Routers und ein Port bekannt. Nichts womit sich ohne Portfilter und Weiterleitung ein Rechner identifizieren lassen würde.

edit: Hab einen Schalter an meinem alten Router gefunden: Firewall an/aus. Egal ob an oder aus NAT filter eingehende Verbindungen raus. Solange nicht klar ist an welchen Rechner die Verbindung gehen soll wird sie nicht weitergeleitet. Die "Firewall" bezieht sich dabei dann auf spezielle Filter die z.B Flooding oder ähnliches verhindern sollen.

 

In meinem Uralt-Telekom-Router (über den sich ja schon Antidepressiva lustig gemacht hat) habe ich in den Einstellungen unter Firewall die Möglichkeit, die Firewall abzuschalten.Es gibt hier nur den Status ja oder nein.

Portforwarding (hier virtuelle Server genannt) findet man unter NAT-was nicht ganz logisch ist, weil ja hier eine Firewall-Regel gesetzt wird.

Der Router weiß, welche Paket von welchem Rechner kommen (die Pakete werden routerintern markiert) und kann deshalb Antwortpakete auch wieder richtig für den entsprechenden Zielrechner im LAN zuordnen; das ist eine seiner wesentlichen Routerfunktionen.

Ein Konflikt entsteht nur dann, wenn man z.B. gleichzeitig an zwei Rechnern im LAN einen Webserver laufen ließe; an beiden Rechnern wäre der Port 80 freigeschaltet und es kommt eine ( nicht von innen initierte) Anfrage von außen an Port 80.Da wüßte der Router nicht, an welchen der beiden Rechner mit dem offenen Port 80 das Paket geroutet werden sollte, wenn für beide das Portforwarding gesetzt ist.

 

hehe siehe mein edit. Das ist nicht zufällig die "Eumex LAN"? *g
Trozudem werden eigehende Verbindungen blockiert (hatte die damals während der "Blaster" epedemie noch.

Da kommt kein Antwortpaket sondern eine Verbindungsanfrage von aussen an die IP des Routers und von mir aus Port 4665. Bei einem Antwortpaket hätte sich ja bereits der Rechner im LAN gemeldet. Der Router müsste jetzt wissen, welcher Rechner eine Verbindung von aussen auf Port 4665 erwartet und spätestens wenn es mehrere Rechner sind gibts Probleme.

 

Ja gehen wir davon aus, dass die Firewall deaktiviert ist oder der Port geforwardet wird.Wenn auf mehreren Rechnern der gleiche Port offen ist, dann gibt's bei einer Anfrage von außen den angesprochenen Konflikt.Wenn ich bewußt als Server auf mehreren Rechnern mit dem gleichen Dienst angesprochen werden will, dann muss ich deshalb zur Umgehung des Konflikts auf einem Rechner den Standardport umdefinieren.Der Client, der den Host ansprechen will, muss das natürlich wissen und den geänderten Port zum Beispiel bei http oder ftp in die Adresszeile des Browsers einbeziehen.Oder,wenn mit Masquerading statt mit NAT gearbeitet wird, dann kann auch durch den Router direkt ein Port auf einen anderen Port gemappt werden (z.B. wenn der Client die Portumkonfiguration nicht kennt) . Das macht den Unterschied zwischen NAT und Masquerading aus.

 

Nein wenn der Port weitergeleitet wurde gibt es den Konflikt nicht. Denn es ist klar an welchen Rechner die Verbindung gehen soll.

Nicht wollen! Nimm doch mal den Blaster als Beispiel. Jeder Rechner (der nicht up to date war) wäre ein Ziel. Egal ob Firewall aktiv oder nicht, solange NAT aktiv ist kann keine Verbindung zu einem Rechner aufgebaut werden. Denn es ist nicht klar welcher Rechner der Empfänger der Verbindung wäre. Alle haben den lauschenden Port und könnten als Zie auserwählt werden.

 

Nicht unbedingt.Ich kann ja das Portforwarding auf den gleichen Port für zwei Rechner freischalten.Wenn ich mal den einen und mal den anderen als Server nutze, ist das durchaus eine denkbare Konfiguration.Ob dann der Router checkt, welcher Rechner läuft, weiß ich nicht.

Diese Problematik führt ja auch dazu, dass man mithilfe von UPnP Port Triggering betreibt.Der Port ist auf dem Router geschlossen, solange die Anwendung keinen Port auf dem Rechner öffnet;erst wenn das der Fall ist, dann wird auch das temporäre Portforwarding freigeschaltet.Beim klassischen Portforwarding hat man ja einen statischen Zustand.

Da hast du völlig Recht.Aber es müssen eben immer mindestens zwei Rechner laufen.Es darf keiner alleine übrig bleiben.

 

öhm.... ok.. das hab ich auch noch nicht probiert...

Das würde bedeuten, dass ein Rechner der alleine hinter einem Router sitzt bei dem die Firewall abgeschaltet wurde, einfach einen Server hosten könnte ohne sich um Ports sorgen machen zu müssen... Mal versucht? Kanns nicht testen da mein Router keine Einstellung "Firewall abschalten" hat. Dafür halt diverse einzel Filter (keine Konfiguration des Portfilters ausser eben NAT deaktivieren).

 

Nein.Müßte aber so sein wie du sagst.


Meine Frage : NAT abschalten ? Was passiert denn dann ? Hat der Router dann nur noch eine Switch-Funktion ?

Bei mir gibt es einen Konfigurationsbereich unter NAT; Spezialanwendungen.Da steht :

 

Reines Gateway. Du könntest ja auch mehrere WAN IPadressen haben.

Spezialanwendungen:
Hab ich mich damals auch gefragt. Habs dann als Portrange freigabe abgetan (konnte unter virtual server nur einzelne Ports weiterleiten). Oder Port triggerung... habs nie gebraucht und recht schnell einen anderen Router gekauft.

 

Habe ich gar nicht :P