Viper780
ModeratorEr ist tot, Jim!
|
Was sollte man am Router in der Firewall einstellen das die Halbwegs sicher ist?
Ich kann Quell-IP+Port und ZielIP+Port einstellen und ob er alle diese Pakete die den Regeln entsprechen durchlassen soll oder verbieten soll.
Das ganze getrennt für Eingehenden- und Ausgehendenverkehr.
|
FrankEdwinWrigh
stuck on the outside
|
naja was willst du genau wissen ..
so "zu" wie möglich, so offen wie nötig ..
also alles dicht, und die sachen die du benötigst aufmachen. die ports die du nicht definierst dass sie reingeroutet/patet werden, kommen eh nicht durch. also musst du nur ausprobieren was nicht funktioniert.. p2p zB .. und das öffnen
quell-ip von aussen definieren bringt daheim selten was, da du ja kaum immer mit der selben kommunizierst. das würde zB was bringen, wenn du sagst .. du willst per RDP rein, aber nur von deinem firmennetzwerk mit statischer outside global adresse.
Mfg fEW
Bearbeitet von FrankEdwinWrigh am 22.03.2008, 13:31
|
delete1
|
naja, ein trusted host ist sicher nichts schlechtes. glaub aber nicht dass er das meint.
|
Viper780
ModeratorEr ist tot, Jim!
|
nein kein trustet host. Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. JEtzt will ich da mal den Router etwas aktivieren, leider kan nich das ned administrieren und auch nix nachträglich freischalten, also hätte ich da gerne einen gewissen Satz an Regeln die eingestellt gehören
|
COLOSSUS
AdministratorGNUltra
|
Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. I call bullshit! Entschuldige, aber das kann es nicht geben, und eine "Firewall" koennte dir dann auch nicht wirklich im Sinne des Erfinders helfen (wenn du tatsaechlich Ports an dem Device listening geoeffnet haettest, und Services zur Verfuegung stellen muesstest). Die Probleme liegen folglich wo anders.
|
delete1
|
nein kein trustet host. Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. JEtzt will ich da mal den Router etwas aktivieren, leider kan nich das ned administrieren und auch nix nachträglich freischalten, also hätte ich da gerne einen gewissen Satz an Regeln die eingestellt gehören du brauchst ein QOS ev. auch vlans zu deinen gunsten. der linksys wrt54gl + ddwrt sollte für deine zwecke ausreichen. geht zwar wesentlich besser aber otto normal verb. wirds sicher 100 % zufrieden stellen! lg
|
Viper780
ModeratorEr ist tot, Jim!
|
ichhabe einen WRT54 bei mir in Wien, hier brauch ich aber ned mal einen router mehr da nur 1 PC rennt (abe rtrotzdem wird a billig digitus dazwischen hängen) Ein Grund für die Pakete ist Liwest selber die, ständig konfigurationsdaten fürs Modem ausschickt, aber es kommen wesentlich mehr Pakete an und ich habe den Grund noch nicht gefunden. Aber das war nicht die Frage! Sondern wie konfigurier ich meine SPI richtig? Das Interface schaut so aus
|
delete1
|
dein letztes posting sagt wieder was anderes aus, hab dich scheinbar nicht richtig verstanden.
deine vermutung => dass du langsames internet hast, weil dein kabel modem zuviele udp/tcp pakete bekommt, falsch ist, sollte dir vorab mal klar sein! (solange du nicht opfer eines dos angriffes hast da keinen grund zur beunruhigung)
aktivieren einer spi fw macht dein internet auch nicht schneller. sie sollte auch nur als zusatz dienen und zieht wenn viele rechner in netzwerk aufs internet zugreifen (bei dir ja nicht der fall) auch kräftig an der performance.
bezüglich der spi konfig:
konfiguration ist je ne nach router/os verschieden. wenn diese klar zwischen nat und spi trennen kann (bei dir scheinbar der fall) musst halt alles separat einstellen. in den meisten fällen und geräte reicht es die option zu aktivieren, dann macht der router die einstellungen auto.
die advanced einstellung auf deinen bild ergibt für mich imho keinen sinn in der config, sowas würde ich verwenden wenn ich eine richtige dmz aufbauen würde.
ansonsten mal schauen ob du als source ip auch die wan ip von deinem wrt54 verwenden kannst,(destination ist klar) dann kannst halt gezielt pfw betreiben. hast noch eine auswahlmöglichkeit bezüglich nat?
hth
|
Viper780
ModeratorEr ist tot, Jim!
|
so nochmal der wrt54g ist kein allheilmittel (und dd-wrt ist furchtbar instabil! - ich verwend nur mehr Tomato oder bei etwas aufwendigeren sachen openWRT oder freeWRT). Der hat damit nichts zu tun und ich verwende ihn in einem ganz anderen Netzwerk (ca. 200km entfernt) nur als bridge.
Ich weiß das eine Firewall das internet langsamer machen wird und ich befürchte das soetwas wie ein DoS für mein Problem schuld ist, ich kenne aber di eUrsache (noch) nicht. Ich will aber als zusätzliche Sicherheit.
Ich kann eine händische routingtable erstellen (würde mir das mehr bringen?) und natürlich einzelne Port Forwarden (bzw Portforwarding mit Trigger machen) Ich kann das selbe im Bild natürlich auch für eingehende Pakete machen (was für mich natürlich sinnvoller ist!)
Bearbeitet von Viper780 am 23.03.2008, 10:52
|
FrankEdwinWrigh
stuck on the outside
|
egal was du für die eingehenden einstellst. die pakete kommen bis an die tür deines lans und belasten somit deine wan verbindung so oder so, ob du sie nun ins lan lässt oder nicht.
wenn du vermutest dass das netz von innen her zugespamt wird, steck die rechner ab, nimm dein notebook mit und schau ob sich was ändert.
Mfg fEw
|
Viper780
ModeratorEr ist tot, Jim!
|
1. hab ich kein Notebook 2. seh ich auch eingehende pakete (unteranderem im Log) ja sie werden ohne PC langsam weniger (aber erst so nach 1-2 Tagen) abe rbleiben trotzdem noch sehr stark obwohl ich schon a andere IP habe.
und das ganze war nicht die Frage, kann mir wer sagen wie ich die SPI richtig konfiguriere?
|
GNU
Friedensbringer
|
Thread aufgewärmt:
Du müsstest de facto alle Portsbereiche blockieren, die du nicht brauchst, dann sollte es vielleicht etwas sicherer machen aber welche Ports als gefährliche Ports gelten, weiß cih leider auch nicht.
MFG
|