Zum Inhalt springen
  • 0

Firewall am Router


MarcusBe

Frage

Hey,

ich komme einfach nicht weiter oder ich habe einen Denkfehler? Ich habe meine Firewall im Router und soll für den Rechner mit 192.168.12.18 den eingehenden und ausgehenden Datenverkehr für den Port 80 bzw. für HTTP erlauben erlauben. Also, dass dieser Webseiten aufrufen kann. Ich habe folgende Regeln:

Richtung Eingehend | Quell-IP: 0.0.0.0 | Quellport: 1024-65535 | Ziel-IP: 192.168.12.18 | Zielport: 80 | 

Richtung Ausgehend| Quell-IP: 192.168.12.18 | Quellport: 1024-65535 | Ziel-IP: 0.0.0.0/0 | Zielport: 80 | 

Habe ich die Quellports und die Zielports vertauscht? Wenn ja, wieso? Das Ziel ist doch immer der Port 80. Mir geht nur darum, das Prinzip zu verstehen.

 

Danke im voraus!

Link zu diesem Kommentar
Auf anderen Seiten teilen

12 Antworten auf diese Frage

Empfohlene Beiträge

  • 1
Am 17.5.2024 um 17:37 schrieb MarcusBe:

Also, es geht eigentlich um die Firewall an meinen Router Fritz Box 7590…  es geht auch nicht darum, dass ich das jetzt praktisch umzusetzen. Ich hab jetzt nur gemerkt, dass ich es einfach nicht verstehe. Und das wurmt mich gerade. Teils finde ich dann sogar nur einen Port den man angeben kann…das wird ja bei der Ausgangsregel der Zielport und bei der Eingangsregel der Quellport sein. 
 

Danke für deine Mühen!

 

Eine Fritzbox als Beispiel für das Verständnis von Firewalls zu erlernen, ist nicht gerade die beste Gerät. Nutze da lieber zum testen  als virtuelle  Maschinen pfsense oder jegliche *sense Ableger. Oder von Enterprise-Ablegern kann man auch SophosHome nutzen - probiere es aus.

In deinem Video liest du die Tabelle falsch. Der angegebene Port 80 bei 2:52 ist ein Ziel-Port, kein Quellport.
Der Quellport wird irgendein nicht-Standart Port sein, bspw. 50789.

Ich übersetze dir mal die erste Zeile im Video.

Zustand: Erlauben
Quell-IP: 162.213.214.140
Quell-Port: any ( 49152–65535 )
Protokoll: TCP
Ziel-IP: any (jegliche IP-Adresse ist damit gemeint)
ZIel-Port: 80

(Firewall-Regel für den Rückweg ist hier nicht zu bauen, wenn SPI zum Einsatz kommt)

 

**Off Topic ON **

Quellports im Arbeitsleben sind mit Firewalls eher uninteressant, da die meisten Firewalls das Prinzip 'Stateful Packet Inspection' (SPI) verwenden. Firewalls ohne SPI sind in der Handhabung dann wirklich so, dass du Firewallregeln in BEIDE Richtungen erstellen musst.

Bei einem groẞen mittelständischen Kunden können ohne Probleme ca. 100 Firewall-Regel aufgebaut sein, je nach Vorgaben.
Ohne SPI wäre die Anzahl Faktor x2, also ca. 200 Firewall-Regel.

** Off Topic OFF**

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Hallo,

um was für eine Firewall handelt es sich? Statefull? Falls ja, dann brauchst du eingehende Regeln nicht zu machen, da die Firewall bestehende Verbindungen automatisch erkennt.
 

vor einer Stunde schrieb MarcusBe:

Richtung Eingehend | Quell-IP: 0.0.0.0 | Quellport: 1024-65535 | Ziel-IP: 192.168.12.18 | Zielport: 80 | 

Nein, das ist falsch. Das wäre nur richtig, wenn auf dem Host mit der IP 192.168.12.18 ein Webserver laufen würde und du diesen von extern erreichbar machen möchtest. Du möchtest aber lediglich, dass der Host externe Webseiten aufrufen kann. Im Falle von Stateless Firewalls würde ich dir an dieser Stelle auch empfehlen den TCP Flag ACK zu setzen, falls dies die Firewall unterstützt.

Grundsätzlich gilt: wenn ein Server einen Dienst bereitstellt, dann benutzt er einen Port aus dem Well Known Bereich z.B. Port 80 für HTTP. Clients nutzen für Requests grundsätzlich nur Ports aus dem dynamischen Portbereich. Das ist notwendig z.B. wenn du mit deinen Browser verschiedene Requests zu unterschiedlichen Webservern gleichzeitig durchführen möchtest.


 

Bearbeitet von Destructor
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
Geschrieben (bearbeitet)
vor 1 Stunde schrieb Destructor:

Falls ja, dann brauchst du eingehende Regeln nicht zu machen, da die Firewall bestehende Verbindungen automatisch erkennt.

 

Ah, okay. Aber ich möchte es trotzdem verstehen: Also wäre es so korrekt?: 

Eingehender Verkehr:

 

Quellport: 1024-65535 

Zielport: 80

Proktoll: TCP

 Ziel-IP: 192.168.12.18

 Quell-IP: 0.0.0.0 

Für ausgehenden Datenverkehr:

Quellport: 80

Zielport: 49152-65535 

Proktoll: TCP

Ziel-IP: 0.0.0.0/0

 Quell-IP: 192.168.12.18 

 

Bearbeitet von MarcusBe
Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Nein. Nun sind sowohl die Regel für den eingehenden als auch für den ausgehenden Verkehr falsch!

Überlege dir erstmals was du überhaupt machen möchtest. Du hast einen Client, der auf einen Webserver zugreifen möchte. Der Webserver bietet seinen Dienst auf Port 80 an, d.h. für den ausgehenden Verkehr brauchst du eine Regel mit Zielport 80. Der Client selbst wählt seinen Port eigenständig aus dem dynamischen Portbereich aus. Nur dadurch ist der Client in der Lage mit mehreren Webservern gleichzeitig zu kommunizieren. Als Quellport muss daher der dynamische Portbereich genannt werden. (49152-65535)

Jetzt kann der Client schon mal eine Verbindung zum Webserver herstellen. Der Webserver möchte nun den Client antworten. Dafür braucht es nun bei einer Stateless Firewall eine eigene eingehende Regel, d.h. der Quellport ist der Port 80 vom Webserver. Der Zielport ist der Port, den der Client für die Verbindung benutzt hat. Da dieser durch den Client selbstständig aus dem dynamischen Portbereich ausgewählt wird, musst du als Quellport den dynamischen Portbereich angeben. Bei der eingehenden Regel wäre noch optional aber sehr sinnvoll die Angabe eines TCP Flags (ACK) notwendig, damit die Firewall wirklich nur bestehende Verbindungen durchlässt.

Ich hoffe diese Erklärung ist nun verständlicher. :)

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Dass der Client mit mehreren Servern gleichzeitig kommunizieren kann, war der der „Aha Moment“. Danke.  Dann müsste es so sein :)?
Ausgehender Verkehr:

 

Quellport: 49152-65535 (dynamisch vom Client zugewiesen)

Zielport: 80 (Webserver)

Protokoll: TCP

Ziel-IP: 0.0.0.

Quell-IP: 192.168.12.18

Für eingehender Datenverkehr 

Quellport: 80 (Webserver)

Zielport: 49152-65535 (dynamisch vom Client zugewiesen)

Protokoll: TCP

Ziel-IP: 192.168.12.18

Quell-IP: 0.0.0.0/0

 

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0
Am 10.5.2024 um 18:57 schrieb MarcusBe:

Nur fürs Interesse. Wenn ich die Regel auf verbieten setzen möchte, kann ich den Quellport bei ausgehend und den Zielport bei eingehend auf beliebig setzen? Oder reichen hier auch nur49152-65535 ?

Was nutzt du für eine Firewall?

Kennt deine Firewall den Status Allow, Deny/Drop oder Reject nicht? Um etwas verbieten, brauchst du nur den Status deiner Regel von Allow zu Deny/Drop ändern.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Also, es geht eigentlich um die Firewall an meinen Router Fritz Box 7590…  es geht auch nicht darum, dass ich das jetzt praktisch umzusetzen. Ich hab jetzt nur gemerkt, dass ich es einfach nicht verstehe. Und das wurmt mich gerade. Teils finde ich dann sogar nur einen Port den man angeben kann…das wird ja bei der Ausgangsregel der Zielport und bei der Eingangsregel der Quellport sein. 
 

Danke für deine Mühen!

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 0

Hier wird bei 2:52 ja dann auch nur ein Port angegeben. Und das muss ja dann der Quellport sein. Sprich, das muss ja dann der Quellport sein, weil es sich ja um eine eingehende Verbindung handelt. Also schließe ich daraus, dass die Angabe von einem Port reicht in diesem Fall?  

Link zu diesem Kommentar
Auf anderen Seiten teilen

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Diese Frage beantworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...