Draytek Vigor 2900 : Diverse Port dauerhaft blocken

Dieses Thema im Forum "Hardware" wurde erstellt von schoenknecht, 12. September 2005.

  1. Hallo @ll,

    versuche mich gerade in der Firma an unserem Draytek Vigor 2900 (deutsche FW 2.55) und an der Aufgabe, diverse Ports für Spielereien, die in der Firma nix zu suchen haben (ICQ, AIM, Teamspeak etc.) dauerhaft zu sperren. Systeme im Netz sind Windows XP Professional SP2, Severbetriebssystem Windows 2003 Server. Sollte aber unwichtig sein, da es ja um die Ports der einzelnen Programme an sich geht!

    Da alle User denselben IP-Kreis haben, sollte das Ganze ja sauber über die Firewallregeln zu steuern sein - leider steige ich da nicht ganz durch. Hat jemand von Euch vielleicht die Ahnung bzw. ein Beispiel einer Filterregel, dies zu bewerkstelligen?

    Danke vorab & Gruß,

    Olli
     
  2. Florian

    Florian New Member

    Ich halte den Ansatz für falsch: Anstatt "einige Ports zu sperren" würde ich _alle_ Ports schließen (besser: in den Stealth-Modus versetzen), außer denen, die Ihr zur Kommunikation unbedingt braucht (z.B. Port 21, wenn Ihr einen FTP-Server betreibt).

    Gruß,
    Florian
     
  3. Hi Florian,

    gut, firewalltechnisch macht das natürlich ein wenig mehr Sinn, da haste schon recht.

    Wie kann ich da vorgehen? Ein FTP-Server wird zwar nicht betrieben, dafür laufen hier aber Mail- und Sybase-Datenbankserver... Zum Beispiel. FTP-seitig gehen wir nur raus, um die Internetpräsenz zu pflegen.

    Die bisherigen Tutorials auf Vigor-Users haben mir logischerweise nicht wirklich weitergeholfen, gibt es da eventuell eine Standardregel, mit der ich generell erst einmal alles dichtmachen kann?

    Danke vorab!
     
  4. Florian

    Florian New Member

    Hi Olli,

    die Funktion einer Firewall ist, nur Datenpakete reinzulassen, die von drinnen angefordert wurden. D.h., ich habe bei unserem Router _alle_ Ports auf "Stealth" geschaltet und empfange trotzdem Mails und surfe munter.
    Nur dann, wenn Du dem Netz etwas zur Verfügung stellst, was ohne Zutun von Dir von außen abgerufen werden soll, mußt Du Ports öffnen.

    Ich hatte noch nie einen Draytek-Router, aber alle Router, die mir bisher untergekommen sind, hatte standardmäßig alle Ports dicht und man mußte manuell Ports öffnen, wenn man das so haben wollte (z.B. für IP-Telefonie).

    Lange Rede, kurzer Sinn: Bringe in Erfahrung, welche Ports reagieren sollen, wenn sie von außen angesprochen werden und öffne die dann via Browser-Interface des Routers.

    Gruß,
    Florian
     
  5. Florian

    Florian New Member

    PS: Nachfolgend ein Link, anhand dessen Du prüfen kannst, wie sich die Ports Eures Routers - von außen gesehen - verhalten:

    http://scan.sygate.com/

    Gruß,
    Florian
     
  6. Hallo Florian,

    reingehende Ports sind nicht das Thema, die sind alle dicht, das ist ja zumindest meine erste Prämisse ;) ! Interessant sind die jeweiligen unerwünschten Ports, die auf Rechnern hier im Netz laufen und die nicht rausgehen sollen... Weiteres gleich zu Deinem anderen Posting - danke!
     

  7. Hi Florian,

    verstehe mich nicht falsch - ich möchte kein NAT machen, sprich keine Ports von außen gezielt durch die Firewall lenken, damit Dienste hier intern auch von außen erreichbar sind. Der Router ist halt nach außen auch im "Stealth-Modus", wie Du ihn nennst.

    Mein Problem ist halt, ausgehende Ports generell gemäß Deiner Idee blocken und einzeln wieder aufzumachen, da hier im Netz keiner ICQ, Teamspeak etc. nutzen soll. Ist zwar gemein, aber gerade Praktikanten versuchen immer wieder, während der Arbeitszeit nett zu chatten - das möchte ich de facto unterbinden!

    Gruß,

    Olli
     
  8. kaffee-micha

    kaffee-micha Kaffeetante © robdus

    :confused: Und warum schmeißt du dann nicht einfach die Programme von den Rechnern?

    micha
     
  9. Florian

    Florian New Member

    Ah, jetzt verstehe ich Dein Problem!

    Das würde bei meinem Router die Konfigurationsmöglichkeiten des Browser-Interfaces übersteigen.

    Stattdessen müßte ich ihn über das Terminal und Telnet ansprechen, wo ich bestimmte Filterregeln festlegen kann (wie Du ja schon in Deinem ersten Posting vermutest).
    Hier könnte ich z.B. festlegen, daß die internen IPs von 192.168.0.12 bis 192.168.0.24 über das UDP-Protokoll auf Port 1 bis 1024 von 18-24 Uhr nicht kommunizieren dürfen.

    Ich kann Dir aber jetzt keinen Befehlscode posten, da die Router unterschiedliche "Betriebssysteme" und damit unterschiedliche Konfigurationsmethoden haben. (Kann der DrayTek Telnet?)

    Dir bleiben zwei Möglichkeiten: Entweder Du vertiefst Dich in das Referenz-Manual Deines Routers, wo das beschrieben ist, oder ein erfahrener DrayTek-User meldet sich hier und postet Dir die nötigen Befehle.

    Gruß,
    Florian
     
  10. Weil ich eben dieser Arbeit überdrüssig bin :sleep: ! Egal, was die Kleinen sich hin und wieder aufspielen, um schlauer zu wirken - ich möchte den Kram direkt im Keim ersticken.

    Unabhängig von dieser Frage geht es um das generelle Schließen von Ports, aus welchen Gründen auch immer :geifer: !
     
  11. kaffee-micha

    kaffee-micha Kaffeetante © robdus

    :confused: Die dürfen Programme installieren? Sag mir, daß das nicht stimmt. :crazy:

    micha
     
  12. Florian

    Florian New Member

    Es gibt noch einen anderen Weg, Ports auf einem bestimmten Rechner generell zu schließen: ein in den Startobjekten abgelegtes Apple-Script.

    Das sähe dann, bezogen auf Port 6789 und UDP, so aus:


    try
    set theConfirmation to (do shell script ¬
    "/sbin/ipfw add 0 deny udp from any to any 6789" password ¬
    "Admin-PW_des_Rechners" with administrator privileges)
    on error
    beep
    end try


    Der Nachteil (wenn es denn ein solcher ist) ist allerdings, daß dadurch die interne Firewall von OS X abgeschaltet wird.

    Gruß,
    Florian
     
  13. kaffee-micha

    kaffee-micha Kaffeetante © robdus

    Aber er kann doch die interne Firewall von Mac OS X auch so einstellen, daß diese Ports geschlossen sind. Danach noch ein Klick auf das Schloss, und schon können die anderen an der Firewall nichts mehr ändern.

    micha
     
  14. Florian

    Florian New Member

    Hi Micha,
    ich glaube, auch Du unterliegst der Verwechslung von Firewall und Filter. Eine Firewall unterbindet Zugriffe von außen, läßt aber alles, was von innen kommt, passieren (und natürlich die Antwort darauf).

    Beispiel: Zwei OS X-Rechner im LAN haben die interne Firewall angeschaltet und keine Ausnahmen zugelassen. Jetzt startet der eine Rechner das Programm Y, das auf dem anderen Rechner bereits läuft, allerdings mit der gleichen Seriennummer.
    Das Programm Y jedoch lauscht auf Port 1234 im LAN, ob bereits eine Kopie mit derselben Lizenz geöffnet ist und unterbindet dann das Starten auf dem zweiten Rechner.

    Das läßt sich mit der Firewall nicht unterbinden, da die Abfrage "von innen" kommt und damit als vertrauenswürdig klassifiziert ist. Hier ist nur eine Filterregel, wie z.B. das oben beschriebene Script oder eben eine Filterregel im Router wirksam.

    Gruß,
    Florian
     
  15. kaffee-micha

    kaffee-micha Kaffeetante © robdus

    Aber warum muss ich dann bei Dienste extra iChat anklicken wenn ich das nutzen will? Daß da nur nach außen abgeschottet wird, ist mir schon klar. Aber wenn doch alle Rechner diese Ports zu haben, dann kann doch eine Chatanfrage gar nicht erst an einem Rechner ankommen. Oder verstehe ich da was falsch?

    micha
     
  16. Florian

    Florian New Member

    Das schon, es nützt aber nichts, wenn der Chat "von innen" gestartet wird. (Wobei ich das iChat-Protokoll nicht kenne, und die Antwort daher spekulativ ist. Bezogen auf die "klassischen" Protokolle UDP, HTTP, FTP etc. stimmt sie aber.)

    Gruß,
    Florian
     
  17. kaffee-micha

    kaffee-micha Kaffeetante © robdus

    Stimmt, ich brauch doch erst noch ‘nen Kaffee. :embar:

    micha
     
  18. Ähem... Duck... Ich habe nicht gesagt, das Mac OS X als OS läuft, dann hätte ich mit Kiddies, die versuchen, Software zu installieren, weniger Probleme.

    Im Firmennetz läuft workstationseitig durchgehend Win XP Pro und serverseitig 2003 Server, daher war die Frage bezüglich der Vigor-Firewall eher allgemein gehalten :xmas: ! Und das Benutzerrechte bei Windows immer so eine Sache sind, braucht ja nicht weiter diskutiert werden, oder :eek:) ?

    Aber in Sachen Kaffee schließe ich mich an. Prost :cool: !
     
  19. Florian

    Florian New Member

    Tja, da hätte ich mir die Hälfte meiner Antworten sparen können.
    Großartig!
     
  20. kaffee-micha

    kaffee-micha Kaffeetante © robdus

    Ja, ich sogar alle. Weil von Win XP hab ich nu überhaupt keine Ahnung. :shake:
    Aber wir haben uns trotzdem ganz nett unterhalten, und was gelernt noch dazu. :nicken: :)

    micha
     

Diese Seite empfehlen