Firewall.... nützlich oder störend

Buschfunker · 27.02.2003, 15:04

Aber nur wenn man ihn auch konfigurieren kann, was einige hier im Forum nicht so richtig können und die DMZ aktivieren, was meiner ansicht nach den wirkungsgrad der Firewall auf 0% sinken lässt

Stöhnie · 27.02.2003, 16:34

macht doch mal einen "sicherheits-test"

http://security.symantec.com/ssc/hom...OGIJPUVGCWETOM

Buschfunker · 27.02.2003, 16:57

Hab ne ganze Liste:
http://download.serveftp.net/www.atl...ests/index.htm

_Smash_ · 27.02.2003, 16:58

glaubst du diese security checks simulieren einen hackerangriff?
die machen alle nur port scanns... sonst nichts!

Buschfunker · 27.02.2003, 17:03

Naja!
Du hast schon recht!
Aber wenn die Ports blockiert sind geht das nicht!
Nagut, wenn da so nen super Crack sitzt, aber was will der in meinem Netz?
Also meine Firewall logged schon so einige Scans, besonders die ISPs die meinen DNS scannen wollen!

Leider gibt es noch keine Waffe gegen SYN-Attacken!

RUN · 03.03.2003, 15:57

Zitat:

Zitat von _Smash_

jo schön und gut, aber in letzter zeit habe ich zb extreme probleme zb bei emule.... was ja auf einigen und manchmal dynamischen ports kommuniziert... da wurden sehr oft ports geblockt, die wie gesagt nicht vorhersagbar waren.... und nach deaktivierung der firewall sprang der dl schlagartig um 300-400% an!

kann man bei norton es nicht soo einstellen, dass der client auf allen ports >1024 anfragen stellen darf.... und _nur_ die antworen auf die anfragen rein dürfen??

_Smash_ · 03.03.2003, 16:01

nope....

RUN · 03.03.2003, 16:06

das ist schlecht....
zum glück gibt es firewalls die das können....

wollte noch was zum router sagen

auch n router ohne firewall macht n lan schon sicher...
wnn man offene ports im lan hat z.b. vnc... kommt man da ohne route nicht ausm inet dran...
also iss man auch recht sicher vor trojanern...
1. troja server gehen mit der privaten addy raus(weil sie die nur kennen).
2. wenn keine route besteht.. dass man auf diesem port von aussen auf den bestimmten rechner kommt.. lässt dich der router nicht durch (weil er nicht weiss wohin mit dem packet)

und niemand trägt sich ohne grund ne route ein....: "route alle _anfragen_ ausm inet ins lan auf m bestimmten rechner" (hoff ich mal)

_Smash_ · 03.03.2003, 21:48

da hast du vollkommen recht.....

ich biete zb recht viele dienste ins internet an.... dabei hat mich die firewall eigentlich immer gestört....
ein paar posts höher steht nen link, da ist das recht gut beschrieben.... daß eine pf eigentlich voll fürn eimer ist!
jetzt ohne läuft eigentlich alles um einiges besser

und um nen trojanerconnect zu bekommen muss man immerhin den trojaner drauf haben.... und der wird von antivirensoftware beseitigt..

aber das haben wir hier eigentlich alles schon diskutiert....

Buschfunker · 04.03.2003, 16:50

Nicht ganz!
Das setzt vorraus das der Router NAT untersützt,
aber das kann ja heute eh jede noch so billige Kiste!!!

Joshua · 05.03.2003, 22:04

Zitat:

Zitat von Buschfunker

Nicht ganz!
Das setzt vorraus das der Router NAT untersützt,
aber das kann ja heute eh jede noch so billige Kiste!!!

Ein Router hat _immer_ NAT - ohne NAT würde keiner der Rechner im LAN auch nur eine einzige Internet-Seite aufrufen können.

Cheers,
Joshua

_Smash_ · 05.03.2003, 22:58

meine reden!

Buschfunker · 06.03.2003, 12:16

Bitte?
Du weißt schon was ein Router normalerweise für ne Aufgabe hat oder?
Er soll Datenpakete routen und nicht zwischen Netzwerken übersetzten!!!
Aber du hast schon recht, alle heutigen "Router" für den Otto-Normal-Verbraucher haben NAT.

Joshua · 08.03.2003, 07:04

Zitat:

Zitat von Buschfunker

Bitte?
Du weißt schon was ein Router normalerweise für ne Aufgabe hat oder?
Er soll Datenpakete routen und nicht zwischen Netzwerken übersetzten!!!
Aber du hast schon recht, alle heutigen "Router" für den Otto-Normal-Verbraucher haben NAT.

Sorry, ich habe mich wohl etwas unverständlich ausgedrückt:
Ein reiner Ethernet-Router muss nicht notgedrungen NAT können, die meisten bieten aber auch hier eine Option, NAT zu aktivieren.

Ein Router, der auf einer Seite Ethernet verwaltet und auf der anderen das Internet _muss_ immer NAT können (oder zumindest ein simples Masquerading), da die aus dem LAN stammenden Datenpakete niemals mit ihren inoffiziellen IPs ins Internet gelangen dürfen.
Ist ja auch eigentlich nur logisch:
Ein Datenpaket aus dem LAN z.B. mit der IP 192.168.1.1 - wie soll das bitte schon "den Weg zurück" finden ?

Cheers,
Joshua