technoforum.de: DSL-"Router" --- welche Ports zulassen

»	technoforum.de » Produktions- & DJ-Technik, Hard- & Software » DSL-"Router" --- welche Ports zulassen

Autor

Thema: DSL-"Router" --- welche Ports zulassen

XcypherX
Minimal & Kompakt
Usernummer # 3451

verfasst

Also, mein DSL-Router (eigentlich ist es ja nur ein Switch mit NAT und Firewall) soll so konfiguriert werden, das nur die Ports ins Internet zugelassen werden, die ich brauche.
Da hier ja einige DSLer sind, meine Frage welche ich da brauche außer:

5190 ICQ
8080 HTTP
20 FTP
21 FTP
6667 mIRC

SLSK?
Eudora? (normaler SMTP, gell?)
Emule?
?? (Winamp, Media Player etc.)

Danke im Voraus...

Aus: ... | Registriert: Aug 2001 | IP: [logged]

Neuro

Usernummer # 883

verfasst

In Richtung Internet kannst du alle Ports auflassen. Bei den einkommenden solltest du die Ports 1-1024 sperren, insofern du keine Dienste selber anbietest, sprich Web,Mail etc.

Du kannst bei Google auch nach Seiten suchen, die sich mit Firewalls beschäftigen. Dort gibt es meistens Listen die erläutern was dir gefährlich werden könnte. Prinzipiell reicht es aber, die ersten 1024 Ports zu blocken.

Aus: dead H-Town Ghetto | Registriert: Aug 2000 | IP: [logged]

partylarry

Usernummer # 1636

verfasst

ohhhh...das würde mich auch mal interessieren, da ich in 2 wochen auch nen dsl-router bekomme und ich da nicht so viel ahnung habe!*g*

Aus: Hamburg / Bonn | Registriert: Dec 2000 | IP: [logged]

PigFace
500
Usernummer # 4299

verfasst

Zunächst solltest du mal abchecken welche Dienste dein Router bereits standardmässig unterstützt (RTFM), bei den meisten aktuellen Modellen muß man für Standard-Dienste wie z. B. FTP nichts mehr zusätzlich konfigurieren.
Bei exotischeren Diensten wie z. B. dem Esel findest du Infos zu Ports die das entsprechende Proggy benutzt idR in der Anleitung des Programms (RTFM)

oder auf der Webseite des Software-Herstellers.
Infos zur Konfiguration von DSL-Routern gibt's z. B.

hier.

[ 17-12-2002: Beitrag editiert von: PigFace ]

Aus: Somewhere in the skeleton | Registriert: Nov 2001 | IP: [logged]

drehkopf

Usernummer # 921

verfasst

@xcypherx
ganz wichtig:
icq is nich immer 5190 und http hat nix mit outgoing 8080 zu tun.
da dein router masquerading macht musst du dich um die sachen wie icq und http keine sorgen machen.
für ftp musst du ab sofort passive mode benutzen (pasv).
sollte dein router socks5 können solltest du auch das anschalten und damit icq (wegen filetransfer) und kazaa versorgen, evtl auch ftp (wenn dein client das kann)

an sonsten, wie neuro sagt: raus alles.

rein: 1-1024 zu machen.
wenn du einen lokalen ftp laufen hast:
20+21 tcp via destination nat auf deinen lokalen rechner umleiten.

für emule
4662 tcp sowie 4672 udp (kannste aber unter einstellungen im emule auch ändern) auch via destination nat auf deinen lokalen rechner umleiten.
wenn du mehrere emules im netz laufen lassen willst (was ziemlich schwachsinnig wär) muss jeder emule zwei eigene ports bekommen.

wtf ist slsk ..
eudora funzt auch so (wegen masq)

hoffe das hilft.

//EDIT
@der C
bitte korrekturlesen und bestätigen

[ 17-12-2002: Beitrag editiert von: drehkopf ]

Aus: kontrolliertem Anbau | Registriert: Aug 2000 | IP: [logged]

Thomas Broda
BassFiMass PhonkAggressor
Usernummer # 72

verfasst

Wer bei eingehenden Verbindungen die Ports 1-1024 zumacht, braucht sich nicht zu wundern, wenn hinterher nichts mehr geht.

Essentiell dürften sein:

110 pop3,
25 smtp,
80 http,
443 https,
21 (ausgehend) ftp control,
20 (eingehend) ftp data,
53 (udp! und tcp) dns,
119 nntp und evtl.
22 ssh

8080 ist ein Standardport für HTTP-Proxys, in deinem Fall dürfte ein Proxy sich aber hinter der Firewall im internen LAN befinden, so daß dieser Port firewall-seitig geschlossen bleiben kann.

Aus: Jux und Dollerei | Registriert: Dec 1999 | IP: [logged]

Thomas Broda
BassFiMass PhonkAggressor
Usernummer # 72

verfasst

quote:
Ursprünglich geschrieben von drehkopf:

eudora funzt auch so (wegen masq)
bitte korrekturlesen und bestätigen

Nein, da ge-"masqueradeter" IP-Traffic letztlich auch steckenbleibt, wenn der Port TCP-seitig gesperrt ist.

Aus: Jux und Dollerei | Registriert: Dec 1999 | IP: [logged]

drehkopf

Usernummer # 921

verfasst

@thomasbroda
das stimmt so nicht.
weil die ports die du angibts diejenigen sind ZU den du dich verbindest.
wenn er jetzt irgendwelche server laufen haben würde müsste er den entsprechenden port auf lassen, aber das ist nicht der fall.
soweit ich das dem posting entnehmen kann.
die ports an der lokalen maschine sind immer andere. eine mail wird nie auf outgoing port 25 rausgeschickt werden.

verbessert mich wenn meine bildung fürn a**** ist.

[EDIT]
STOP.
du musst hier unterscheiden zwischen incoming vom internet und incoming vom lokalen ethernet-interface. natürlich nur von internetseite sperren.
[/edit]

[ 17-12-2002: Beitrag editiert von: drehkopf ]

Aus: kontrolliertem Anbau | Registriert: Aug 2000 | IP: [logged]

Neuro

Usernummer # 883

verfasst

Ist richtig so, clientseitig werden die hohen, unpriviligierten Ports verwendet, die sich serverseitig mit den niederen, priviligierten Ports verbinden. Deshalb sollten auch alle ausgehenden Ports offen bleiben. Wird nun ausgehend 1-1024 geblockt, geht natürlich nichts mehr.

[ 17-12-2002: Beitrag editiert von: Neuro ]

Aus: dead H-Town Ghetto | Registriert: Aug 2000 | IP: [logged]

drehkopf

Usernummer # 921

verfasst

@neuro
*verneig* danke.

Aus: kontrolliertem Anbau | Registriert: Aug 2000 | IP: [logged]

XcypherX
Minimal & Kompakt
Usernummer # 3451

verfasst

Eudora ging nämlich schon mal nicht mit der Einstellung, also scheint Thomas recht zu haben. mal sehen, wie weit ich heute abend zu Hause komme...

*g*

Aus: ... | Registriert: Aug 2001 | IP: [logged]

drehkopf

Usernummer # 921

verfasst

also mit eudora habe ich ehrlich gesagt selbst weniger erfahrung, aber wenn das ding ganz normal wie ein smtp/pop3/imap client verhält, dann _muss_ es so funktionieren. ausser du hast andere fehler eingebaut.

wo wir schonmal dabei sind. mach am besten gleich die ports 54321 und 37321 zu
nur als vorsichtsmaßnahme
(kein scherz)

[EDIT]
uhuh..
@thomasbroda
sorry, bei einer sache hattest du recht. ftp 20 ist incoming. ja. aber:
deswegen mein tip mit dem pasv mode oder socks server. ganz einfach aus dem grund, daß er wohl mehrere rechner hat, und dadurch ein DNat nicht sinnvoll wäre.

[ 17-12-2002: Beitrag editiert von: drehkopf ]

Aus: kontrolliertem Anbau | Registriert: Aug 2000 | IP: [logged]

XcypherX
Minimal & Kompakt
Usernummer # 3451

verfasst

...er hat mehrere rechner.

es sieht (soweit ich mich an heute morgen erinnern kann) so aus, dass ich nicht nach aus- und eingehend unterscheiden kann...

aber das werde ich heute mal checken...

Aus: ... | Registriert: Aug 2001 | IP: [logged]

drehkopf

Usernummer # 921

verfasst

@xcypherx
sorry wegen der dritten form...

btw. dürft man mal wissen was für ne firewall das ist?

Aus: kontrolliertem Anbau | Registriert: Aug 2000 | IP: [logged]

nicogrubert
endlosrille
Usernummer # 1292

verfasst

btw, welcher DSL Router ist denn zu empfehlen ?

ich hatte mir da mal den SMC 7004 ABR rausgesucht. kostet neu ca. 112 Euro.

Aus: Zürich | Registriert: Nov 2000 | IP: [logged]

Thomas Broda
BassFiMass PhonkAggressor
Usernummer # 72

verfasst

quote:
Ursprünglich geschrieben von Thomas Broda:
Wer bei eingehenden Verbindungen die Ports 1-1024 zumacht, braucht sich nicht zu wundern, wenn hinterher nichts mehr geht.

Meinte natürlich bei ausgehenden Verbindungen.

Sorry...hatte am WE Veranstaltung.

Aus: Jux und Dollerei | Registriert: Dec 1999 | IP: [logged]

drehkopf

Usernummer # 921

verfasst

@nicogrubert
ich persönlich bin freund von iptables

aber bei nem router würd ich firma bintec empfehlen.. ist allerdings nicht im bereich des bezahlbaren für privat...

@thomasbroda
allerdings geht es bei ausgehenden verbindungen auch nur um die destination-ports die du angibts.
es ist durchaus möglich das trotz gesperrten 1-1024 outgoing source-port immer noch alles funktioniert, nur nicht unbedingt immer. (falls ein programm einen priviligierten port will, hast pech gehabt.)

Aus: kontrolliertem Anbau | Registriert: Aug 2000 | IP: [logged]

XcypherX
Minimal & Kompakt
Usernummer # 3451

verfasst

Ich gucke heute abend mal nach...

edit: wegen Hersteller des Routers und somit auch der Firewall

[ 17-12-2002: Beitrag editiert von: XcypherX ]

Aus: ... | Registriert: Aug 2001 | IP: [logged]

Neuro

Usernummer # 883

verfasst

*handreich* @ drehknopf

Gibt ja doch ein paar mehr Linuxfreunde hier. Ich wäre ja für eine TF-LUG.

Aus: dead H-Town Ghetto | Registriert: Aug 2000 | IP: [logged]

Thomas Broda
BassFiMass PhonkAggressor
Usernummer # 72

verfasst

quote:
Ursprünglich geschrieben von drehkopf:

ich persönlich bin freund von iptables

Me too. Seitdem ich mich auf der Arbeit mit einem Novell Border Manager-System allerheftigst abfucken mußte und noch immer muß, weiß ich wieder, wie schön und logisch netfilter/iptables und /var/log/messages sind.

quote:

aber bei nem router würd ich firma bintec empfehlen.. ist allerdings nicht im bereich des bezahlbaren für privat...

Ich würde einen 486SX-25 mit zwei Netzwerkkarten, Linux und iptables nehmen. Einfache installation, jederzeit perfekte Kontrolle und volle Funktionalität (Routing, NAT, evtl. DHCP für die Clients). Außerdem läßt sich so eine Kiste mit squid auch noch als HTTP-Proxy benutzen, incl. ACL-gesteuertem Zugriff. Von den sonstigen Möglichkeiten z.B. mit Hinblick auf cron mal ganz abgesehen. Dagegen sieht so ein Router-Kästchen mit ein paar Blink-LEDs und Fernkonfiguration per Webbrowser ziemlich arm aus.

Aus: Jux und Dollerei | Registriert: Dec 1999 | IP: [logged]

XcypherX
Minimal & Kompakt
Usernummer # 3451

verfasst

@thomas

tja, wenn man sowas nicht hat und zudem keinen platz mehr und dann zuletzt noch einen hub kaufen muss...

Aus: ... | Registriert: Aug 2001 | IP: [logged]

Druckversion