Offen wie ein Scheunentor

io.sys · 26.12.2002, 15:08

Hallo!

Ich habe im Moment eine Windows 2000 Server laufen, der mir als Fileserver und Router dient.

Er routet ins Internet.

Hab 2 NICs drin.

Eine am Switch angeschlossen, an dem auch meine Kiste hängt.
Eine am DSL-Modem angeschlossen.

Mittels PPPoE habe ich das ganze eingerichtet.
Die Karte am Switch hat 192.168.0.1
Als Standartgateway habe ich bei meinem Rechner o.g. Addy vergeben.

Alle Anfragen die nicht im LAN aufgelöst werden können, gehen ins Netz.

Das Problem ist hier nur, dass die Kiste offen wie ein Scheunentor steht.
Gibts ne Möglichkeit ausser ner FW einige Ports dicht zu machen?

Was haltet ihr von nem Linux-Squid?

Buschfunker · 26.12.2002, 15:11

Was für nen Routing Software haste drauf?
Ken! oder WinRoute, usw.?

io.sys · 26.12.2002, 15:34

Das läuft bei mir über PPPoE.
Die Treiber für das DSL-Modem (telekom) heissen ENGEL-Treiber glaub ich...

Damit erstell ich ne DFÜ-Verbindung.

-Razor- · 26.12.2002, 16:27

du kannst das ding doch mit einer software als router einrichten (dann brauchst du auch nicht den blöden Treiber von der telekom) und dann mit fast jeder beliebigen Firewall einige Ports sperren!
Mit Norton Firewall kannst du Ports sperren oder einige anlegen und die dann freigeben.

Buschfunker · 26.12.2002, 20:24

Wer routet was?
Da wird nichts geroutet solange keine Routing Software oder Router installiert wurde!!!

Gibt nur KEN DSL und WinRoute!

io.sys · 26.12.2002, 20:25

Ich hab neben den StandartProtokollen wie TCP/IP noch PPP over Ethernet installiert.
Das managt dann das ganze.
Die Karte am Switch ist StandartGateway. (STGW)
Die ist bei den anderen Rechnern unter STGW eingetragen.
Damit hats funktioniert und tut es immer noch.

Das mit Norton hab ich mir auch schon überlegt.
Das Problem ist nur, dass ich dann immer Schwierigkeiten bekomme die Zugriffe ins LAN zu managen.

Die Norton FW macht mir da zu viel dicht.

Ich will einfach ne Möglichkeit die Verbindung mit dem Internet überwachen zu können und damit auch einige Ports zu sperren.
Damit ich nicht alles durchlasse!

Bräuchte z.B. eigentlich nur folgende Ports oder besser Anwendungen:

Http

80
FTP

21
POP3

?25?
Https:

???
ICQ

?5190?
Quake3

27960 <-- Standartport; dann gibts noch n paar Abwandlungen aber die kann man ja mit einbeziehen.

Und dann wahrscheinlich noch n paar, die ich noch nicht kenne

-Razor- · 26.12.2002, 20:30

welchen port brauch man eigentlich für LAN (also welchen muss ich da freigeben, oder funkt das garnet darüber(über ports))

dann hol dir zonealarm, musst du nur gucken, das du den richtig einrichtest.

sonst meld dich mal über icq, dann sag ich dir wie du das am besten machst.
dann stellst du mal die fragen

( insider witz)

io.sys · 26.12.2002, 20:36

Das sind ja richtig schnelle Antworten hier!

Naja, fürs LAN intern kannst ja eigentlich alles offen lassen.
Du machst ja keine DMZ (DeMilitarisierteZone) auf, in der ne Armee von Servern steht.

Das Problem mit Norton war, dass immer gleich ALLES dicht gemacht wurde.
Also auch alle Anfragen von aussen geblockt wurden.

Ist ja für nen Single-PC nicht schlecht.
Aber wenn der im LAN hängt ist das nicht unbedingt die schönste Lösung!

WEnn ich mit ZoneAlarm jede einzelne NIC einzeln konfigurieren kann wäre das nicht schlecht.

Da hängts eben bei der Norton Firewall im Argen.

Bitte berichtigt mich, falls ich da was übersehen hab!

-Razor- · 26.12.2002, 20:54

du kannst doch bei norton auch einstellungen konfigurieren. und da kannst du die zugriffe auf das LAN erlauben. und ich meinter eigentlich welcher port für das LAN benötigt und genutzt wird, den kannst du dann für norton einrichten so das der den dann net sperrt, verstehste (freak)???
schau doch mal hier:
http://forum.tweakpc.de/viewtopic.php?t=7279

EoN · 26.12.2002, 22:01

Also ich kann nur Tiny Personal Firewall empfehlen. Die kann kostenlos heruntergeladen werden und ist vollkommen frei zu konfigurieren. Du kannst für das lokale Netzwerk bestimmte IP Adressen freischalten, welche uneingeschränkten Zugriff haben und sonst kannst du für jeden einzelnen Zugriff auf einen Port auf eine bestimmte Anwendung eine Regel festlegen bzw musst wenn es keine Regel gibt den Zugriff bestätigen oder abweisen.

Ist halt ein wenig Arbeit für jedes Programm genau zu definieren auf welchen Ports und zu welchen IP Adressen bzw Adressräumen es connecten darf, aber wenn es alles mal steht ist es perfekt an den jeweiligen Gebrauch angepasst.

Buschfunker · 27.12.2002, 13:07

Haha!
Was wollt ihr jetzt eigentlich im Klartext machen?
Kann es sein ihr keine Ahnung habt?

-Razor- · 27.12.2002, 20:21

kann es sein, dass du dich für den *superprofi* hältst???

io.sys · 27.12.2002, 21:33

@buschfunker

Wir sind ein wenig vom Thema abgekommen.
Aber ich weiss genau was ich will!
Bin zwar FiSi aber nicht so der Crack, weil ich in der Firma viel Bullshit gemacht hab, anstatt ne Ausbildung zu geniessen!

Dumm ist nicht der, der nichts weiss, sondern der, der nicht frägt!

@EoN

Ich muss mir das ganze (TinyFirewall usw)hier mal bei Gelgenheit angucken!
Danke bis dahin schon mal!

@Razor
Wegen dem Squid unterhalten wir uns via ICQ!

Buschfunker · 28.12.2002, 09:33

Halt mich nicht fürn Crack, wunder mich nur was ihr hier machen wollt!
Will hier keinen ärgern!
Vielleicht kann ich euch ja helfen wenn wer nochmal vernüftig die Frage stellt!?

ghostrider · 28.12.2002, 20:54

Zitat:

Zitat von -Razor-

und dann mit fast jeder beliebigen Firewall einige Ports sperren!
Mit Norton Firewall kannst du Ports sperren oder einige anlegen und die dann freigeben.

@Razor:

das ist so nicht ganz richtig! Ports kann man ausschließlich dadurch schließen, daß man entsprechende Dienste erst gar nicht anbietet. Wie das Problem mit den Netbiosports zu lösen ist (137 - 139) ist auf http://www.trojaner-board.de zu finden.

Hier die Kurzfassung:

Die Drucker- / Netzwerkfreigabe darf keinesfalls an den DFÜ-Adapter und das TCP/IP-Protokoll gebunden sein, sondern ausschließlich an die Ethernetkarte.

Ansonsten sind Dateien und Drucker auch vom Internet aus zu erreichen.

Empfehlenswert ist auch folgende URL speziell zum Thema: Sinn von PFWs: http://jenner.rz.tu-ilmenau.de/~traenk/dcsm.htm

Auf der Seite des Datenschutzbeauftragten von Niedersachsen gibt es aussagekräftige Tests in wie weit der Rechner anfällig ist:

http://www.lfd.niedersachsen.de/mast...0_I560,00.html

mfg ghostrider

_Smash_ · 30.12.2002, 15:42

also meine hardware ist genau so angeordnet wie deine, ich route über das windowseigene ics ins internet, geschützt wird das über ne norton firewall, die wenn du die sachen freigibst, auch alles schön durchlässt was du willst.
trotzdem ist laut einigen securitytestseiten mein rechner dicht.
trojaner und dos atacken werden übrigens auch in den freigegebenen ports überwacht (laut beschreibung)

bei der norton gibst du keine einzelnen ports explizit frei, sondern die programme, die zugriffe haben sollen....