Welche Regeln bei SPI Firewall im Router?

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49722

21.03.2008 - 17:29

Was sollte man am Router in der Firewall einstellen das die Halbwegs sicher ist?

Ich kann Quell-IP+Port und ZielIP+Port einstellen und ob er alle diese Pakete die den Regeln entsprechen durchlassen soll oder verbieten soll.

Das ganze getrennt für Eingehenden- und Ausgehendenverkehr.

FrankEdwinWrigh

stuck on the outside

Registered: Nov 2002
Location: im 21. Jhdt.
Posts: 2507

22.03.2008 - 13:27

naja was willst du genau wissen ..

so "zu" wie möglich, so offen wie nötig ..

also alles dicht, und die sachen die du benötigst aufmachen.
die ports die du nicht definierst dass sie reingeroutet/patet werden, kommen eh nicht durch. also musst du nur ausprobieren was nicht funktioniert.. p2p zB .. und das öffnen

quell-ip von aussen definieren bringt daheim selten was, da du ja kaum immer mit der selben kommunizierst.
das würde zB was bringen, wenn du sagst .. du willst per RDP rein, aber nur von deinem firmennetzwerk mit statischer outside global adresse.

Mfg fEW

Bearbeitet von FrankEdwinWrigh am 22.03.2008, 13:31

delete1

Registered: Apr 2007
Location:
Posts: 1845

22.03.2008 - 13:50

naja, ein trusted host ist sicher nichts schlechtes. glaub aber nicht dass er das meint.

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49722

22.03.2008 - 21:11

nein kein trustet host. Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. JEtzt will ich da mal den Router etwas aktivieren, leider kan nich das ned administrieren und auch nix nachträglich freischalten, also hätte ich da gerne einen gewissen Satz an Regeln die eingestellt gehören

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12060

22.03.2008 - 21:16

Zitat von Viper780
Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist.

I call bullshit!

Entschuldige, aber das kann es nicht geben, und eine "Firewall" koennte dir dann auch nicht wirklich im Sinne des Erfinders helfen (wenn du tatsaechlich Ports an dem Device listening geoeffnet haettest, und Services zur Verfuegung stellen muesstest).

Die Probleme liegen folglich wo anders.

delete1

Registered: Apr 2007
Location:
Posts: 1845

22.03.2008 - 21:23

Zitat von Viper780
nein kein trustet host. Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. JEtzt will ich da mal den Router etwas aktivieren, leider kan nich das ned administrieren und auch nix nachträglich freischalten, also hätte ich da gerne einen gewissen Satz an Regeln die eingestellt gehören

du brauchst ein QOS ev. auch vlans zu deinen gunsten. der linksys wrt54gl + ddwrt sollte für deine zwecke ausreichen. geht zwar wesentlich besser aber otto normal verb. wirds sicher 100 % zufrieden stellen!

lg

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49722

22.03.2008 - 22:22

ichhabe einen WRT54 bei mir in Wien, hier brauch ich aber ned mal einen router mehr da nur 1 PC rennt (abe rtrotzdem wird a billig digitus dazwischen hängen)

Ein Grund für die Pakete ist Liwest selber die, ständig konfigurationsdaten fürs Modem ausschickt, aber es kommen wesentlich mehr Pakete an und ich habe den Grund noch nicht gefunden.

Aber das war nicht die Frage!

Sondern wie konfigurier ich meine SPI richtig?

Das Interface schaut so aus

delete1

Registered: Apr 2007
Location:
Posts: 1845

23.03.2008 - 07:51

dein letztes posting sagt wieder was anderes aus, hab dich scheinbar nicht richtig verstanden.

deine vermutung => dass du langsames internet hast, weil dein kabel modem zuviele udp/tcp pakete bekommt, falsch ist, sollte dir vorab mal klar sein! (solange du nicht opfer eines dos angriffes hast da keinen grund zur beunruhigung)

aktivieren einer spi fw macht dein internet auch nicht schneller. sie sollte auch nur als zusatz dienen und zieht wenn viele rechner in netzwerk aufs internet zugreifen (bei dir ja nicht der fall) auch kräftig an der performance.

bezüglich der spi konfig:

konfiguration ist je ne nach router/os verschieden. wenn diese klar zwischen nat und spi trennen kann (bei dir scheinbar der fall) musst halt alles separat einstellen. in den meisten fällen und geräte reicht es die option zu aktivieren, dann macht der router die einstellungen auto.

die advanced einstellung auf deinen bild ergibt für mich imho keinen sinn in der config, sowas würde ich verwenden wenn ich eine richtige dmz aufbauen würde.

ansonsten mal schauen ob du als source ip auch die wan ip von deinem wrt54 verwenden kannst,(destination ist klar) dann kannst halt gezielt pfw betreiben. hast noch eine auswahlmöglichkeit bezüglich nat?

hth

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49722

23.03.2008 - 10:47

so nochmal der wrt54g ist kein allheilmittel (und dd-wrt ist furchtbar instabil! - ich verwend nur mehr Tomato oder bei etwas aufwendigeren sachen openWRT oder freeWRT). Der hat damit nichts zu tun und ich verwende ihn in einem ganz anderen Netzwerk (ca. 200km entfernt) nur als bridge.

Ich weiß das eine Firewall das internet langsamer machen wird und ich befürchte das soetwas wie ein DoS für mein Problem schuld ist, ich kenne aber di eUrsache (noch) nicht.
Ich will aber als zusätzliche Sicherheit.

Ich kann eine händische routingtable erstellen (würde mir das mehr bringen?) und natürlich einzelne Port Forwarden (bzw Portforwarding mit Trigger machen)
Ich kann das selbe im Bild natürlich auch für eingehende Pakete machen (was für mich natürlich sinnvoller ist!)

Bearbeitet von Viper780 am 23.03.2008, 10:52

FrankEdwinWrigh

stuck on the outside

Registered: Nov 2002
Location: im 21. Jhdt.
Posts: 2507

23.03.2008 - 14:28

egal was du für die eingehenden einstellst. die pakete kommen bis an die tür deines lans und belasten somit deine wan verbindung so oder so, ob du sie nun ins lan lässt oder nicht.

wenn du vermutest dass das netz von innen her zugespamt wird, steck die rechner ab, nimm dein notebook mit und schau ob sich was ändert.

Mfg fEw

Viper780

Moderator
Er ist tot, Jim!

Registered: Mar 2001
Location: Wien
Posts: 49722

23.03.2008 - 20:57

1. hab ich kein Notebook
2. seh ich auch eingehende pakete (unteranderem im Log)
ja sie werden ohne PC langsam weniger (aber erst so nach 1-2 Tagen) abe rbleiben trotzdem noch sehr stark obwohl ich schon a andere IP habe.

und das ganze war nicht die Frage, kann mir wer sagen wie ich die SPI richtig konfiguriere?

GNU

Friedensbringer

Registered: Nov 2003
Location: Chile / HRE
Posts: 2236

21.04.2008 - 18:40

Thread aufgewärmt:

Du müsstest de facto alle Portsbereiche blockieren, die du nicht brauchst, dann sollte es vielleicht etwas sicherer machen aber welche Ports als gefährliche Ports gelten, weiß cih leider auch nicht.

MFG

Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49722	21.03.2008 - 17:29 Was sollte man am Router in der Firewall einstellen das die Halbwegs sicher ist? Ich kann Quell-IP+Port und ZielIP+Port einstellen und ob er alle diese Pakete die den Regeln entsprechen durchlassen soll oder verbieten soll. Das ganze getrennt für Eingehenden- und Ausgehendenverkehr.
FrankEdwinWrigh stuck on the outside Registered: Nov 2002 Location: im 21. Jhdt. Posts: 2507	22.03.2008 - 13:27 naja was willst du genau wissen .. so "zu" wie möglich, so offen wie nötig .. also alles dicht, und die sachen die du benötigst aufmachen. die ports die du nicht definierst dass sie reingeroutet/patet werden, kommen eh nicht durch. also musst du nur ausprobieren was nicht funktioniert.. p2p zB .. und das öffnen quell-ip von aussen definieren bringt daheim selten was, da du ja kaum immer mit der selben kommunizierst. das würde zB was bringen, wenn du sagst .. du willst per RDP rein, aber nur von deinem firmennetzwerk mit statischer outside global adresse. Mfg fEW Bearbeitet von FrankEdwinWrigh am 22.03.2008, 13:31
delete1 Registered: Apr 2007 Location: Posts: 1845	22.03.2008 - 13:50 naja, ein trusted host ist sicher nichts schlechtes. glaub aber nicht dass er das meint.
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49722	22.03.2008 - 21:11 nein kein trustet host. Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. JEtzt will ich da mal den Router etwas aktivieren, leider kan nich das ned administrieren und auch nix nachträglich freischalten, also hätte ich da gerne einen gewissen Satz an Regeln die eingestellt gehören
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12060	22.03.2008 - 21:16 Zitat von Viper780 Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. I call bullshit! Entschuldige, aber das kann es nicht geben, und eine "Firewall" koennte dir dann auch nicht wirklich im Sinne des Erfinders helfen (wenn du tatsaechlich Ports an dem Device listening geoeffnet haettest, und Services zur Verfuegung stellen muesstest). Die Probleme liegen folglich wo anders.
delete1 Registered: Apr 2007 Location: Posts: 1845	22.03.2008 - 21:23 Zitat von Viper780 nein kein trustet host. Im Grunde geht es drum das ich mich damit ned allzuviel beschäftigt habe aber meine Eltern das Modem zugespamt bekommen mit paketen und das Internet ***** langsam ist. JEtzt will ich da mal den Router etwas aktivieren, leider kan nich das ned administrieren und auch nix nachträglich freischalten, also hätte ich da gerne einen gewissen Satz an Regeln die eingestellt gehören du brauchst ein QOS ev. auch vlans zu deinen gunsten. der linksys wrt54gl + ddwrt sollte für deine zwecke ausreichen. geht zwar wesentlich besser aber otto normal verb. wirds sicher 100 % zufrieden stellen! lg
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49722	22.03.2008 - 22:22 ichhabe einen WRT54 bei mir in Wien, hier brauch ich aber ned mal einen router mehr da nur 1 PC rennt (abe rtrotzdem wird a billig digitus dazwischen hängen) Ein Grund für die Pakete ist Liwest selber die, ständig konfigurationsdaten fürs Modem ausschickt, aber es kommen wesentlich mehr Pakete an und ich habe den Grund noch nicht gefunden. Aber das war nicht die Frage! Sondern wie konfigurier ich meine SPI richtig? Das Interface schaut so aus
delete1 Registered: Apr 2007 Location: Posts: 1845	23.03.2008 - 07:51 dein letztes posting sagt wieder was anderes aus, hab dich scheinbar nicht richtig verstanden. deine vermutung => dass du langsames internet hast, weil dein kabel modem zuviele udp/tcp pakete bekommt, falsch ist, sollte dir vorab mal klar sein! (solange du nicht opfer eines dos angriffes hast da keinen grund zur beunruhigung) aktivieren einer spi fw macht dein internet auch nicht schneller. sie sollte auch nur als zusatz dienen und zieht wenn viele rechner in netzwerk aufs internet zugreifen (bei dir ja nicht der fall) auch kräftig an der performance. bezüglich der spi konfig: konfiguration ist je ne nach router/os verschieden. wenn diese klar zwischen nat und spi trennen kann (bei dir scheinbar der fall) musst halt alles separat einstellen. in den meisten fällen und geräte reicht es die option zu aktivieren, dann macht der router die einstellungen auto. die advanced einstellung auf deinen bild ergibt für mich imho keinen sinn in der config, sowas würde ich verwenden wenn ich eine richtige dmz aufbauen würde. ansonsten mal schauen ob du als source ip auch die wan ip von deinem wrt54 verwenden kannst,(destination ist klar) dann kannst halt gezielt pfw betreiben. hast noch eine auswahlmöglichkeit bezüglich nat? hth
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49722	23.03.2008 - 10:47 so nochmal der wrt54g ist kein allheilmittel (und dd-wrt ist furchtbar instabil! - ich verwend nur mehr Tomato oder bei etwas aufwendigeren sachen openWRT oder freeWRT). Der hat damit nichts zu tun und ich verwende ihn in einem ganz anderen Netzwerk (ca. 200km entfernt) nur als bridge. Ich weiß das eine Firewall das internet langsamer machen wird und ich befürchte das soetwas wie ein DoS für mein Problem schuld ist, ich kenne aber di eUrsache (noch) nicht. Ich will aber als zusätzliche Sicherheit. Ich kann eine händische routingtable erstellen (würde mir das mehr bringen?) und natürlich einzelne Port Forwarden (bzw Portforwarding mit Trigger machen) Ich kann das selbe im Bild natürlich auch für eingehende Pakete machen (was für mich natürlich sinnvoller ist!) Bearbeitet von Viper780 am 23.03.2008, 10:52
FrankEdwinWrigh stuck on the outside Registered: Nov 2002 Location: im 21. Jhdt. Posts: 2507	23.03.2008 - 14:28 egal was du für die eingehenden einstellst. die pakete kommen bis an die tür deines lans und belasten somit deine wan verbindung so oder so, ob du sie nun ins lan lässt oder nicht. wenn du vermutest dass das netz von innen her zugespamt wird, steck die rechner ab, nimm dein notebook mit und schau ob sich was ändert. Mfg fEw
Viper780 Moderator Er ist tot, Jim! Registered: Mar 2001 Location: Wien Posts: 49722	23.03.2008 - 20:57 1. hab ich kein Notebook 2. seh ich auch eingehende pakete (unteranderem im Log) ja sie werden ohne PC langsam weniger (aber erst so nach 1-2 Tagen) abe rbleiben trotzdem noch sehr stark obwohl ich schon a andere IP habe. und das ganze war nicht die Frage, kann mir wer sagen wie ich die SPI richtig konfiguriere?
GNU Friedensbringer Registered: Nov 2003 Location: Chile / HRE Posts: 2236	21.04.2008 - 18:40 Thread aufgewärmt: Du müsstest de facto alle Portsbereiche blockieren, die du nicht brauchst, dann sollte es vielleicht etwas sicherer machen aber welche Ports als gefährliche Ports gelten, weiß cih leider auch nicht. MFG

Welche Regeln bei SPI Firewall im Router?

Forum Index > Digital Life > Internet & Provider

Viper780

FrankEdwinWrigh

delete1

Viper780

COLOSSUS

delete1

Viper780

delete1

Viper780

FrankEdwinWrigh

Viper780

GNU