Supportnet / Forum / NW-Sonstiges
Acer WLAN 11b Broadband Router (Firewall--/Security-/Sicherheits-)Einstellungen
Frage
Acer WLAN 11b Broadband Router (Firewall-/Security-/Sicherheits-)Einstellungen
Hallo zusammen :)
Ich hoffe, dass mir hier jemand weiterhelfen kann.
Ich habe mir einen Acer WLAN 11b Broadband Router zugelegt (Firmware Version v1.6.0.10 ).
Ich habe es erfolgreich hinbekommen, mit meinem Notebook über die Wireless-PCMCIA-Karte ins Netz zu kommen. Mit dem Desktop Rechner funktioniert es über den Wireless-USB-Adapter. Nach anfaenglichen Schwierigkeiten und ohne Hilfe des aeusserst knappen Handbuchs funktioniert jetzt auch die WPA-Verschluesselung und die Kommunkikation im LAN.
Nun zum eigentlichen Problem :
Der Router hat eine integrierte Firewall (oder auch NAT ?!), die über ein Webinterface konfiguriert werden kann. Leider sind die beschreibungen der 5 menu-unterpunkte sehr knapp und das Handbuch geht teilweise gar nicht darauf ein. Auch auf der Acer-HP gibt es weder auf dem FTP noch in den FAQs sinnvolle Hilfe. Google hat auch nix hilfreiches ergeben.
folgende menus stehen zur auswahl :
Port Filterung :
Entries in this table are used to restrict certain types of data packets from your local network to Internet through the Gateway. Use of such filters can be helpful in securing or restricting your local network.
- enable port filtering
- port range [von ... bis]
- protocol [tcp/udp/both]
- comment [textfeld]
IP Filtering :
Entries in this table are used to restrict certain types of data packets from your local network to Internet through the Gateway. Use of such filters can be helpful in securing or restricting your local network.
- enable ip filtering
- local IP [textfeld]
- protocol [tcp/udp/both]
- comment [textfeld]
Mac Filtering :
Entries in this table are used to restrict certain types of data packets from your local network to Internet through the Gateway. Use of such filters can be helpful in securing or restricting your local network.
- Enable MAC Filtering
- MAC Address [textfeld]
- Comment [textfeld]
Port Forwording :
Entries in this table allow you to automatically redirect common network services to a specific machine behind the NAT firewall. These settings are only necessary if you wish to host some sort of server like a web server or mail server on the private local network behind your Gateway's NAT firewall.
- Enable Port Forwarding
- IP Address [textfeld]
- Protocol [Both TCP UDP]
- Port Range [von ... bis]
- Comment [textfeld]
DMZ :
A Demilitarized Zone is used to provide Internet services without sacrificing unauthorized access to its local private network. Typically, the DMZ host contains devices accessible to Internet traffic, such as Web (HTTP ) servers, FTP servers, SMTP (e-mail) servers and DNS servers.
- Enable DMZ
- DMZ Host IP Address [textfeld]
Aus lauter verzweiflung hab ich diverse eintstellungen ausprobiert. Dabei bin ich zu einem mir recht unverstaendlichen ergebnis gekommen.
Lasse ich z.B. alle Firewall optionen deaktiviert und anschliessend nen portscan (z.B. Norton Homepage) laufen, so heisst es, dass alle ports geschlossen sind und alles ok sei. Meine Rechner funktionieren auch beide tadellos (soweit ich alle anwendung testen konnte).
surfen, trillian messenger, zwei onlien spiele mit bestimmten ports, eMail, LAN alles funktioniert.
NUR, was soll dann ueberhaupt noch die firewall ???
Mit dieser frage schalte ich also port filtering testweise ein und gebe ne port range von 80 bis 80 ein. [comment is wohl egal war aber ein schimpfwort ^^]
und druecke auf apply changes.
siehe da, kein zugriff mehr auf Webseiten. Etwas verwundert nehme ich die einstellung zurueck und mache gleiches spiel mit einen Online-Game Port 8040 ... siehe da spiel geht net mehr ?!
DEMNACH heisst das doch wohl, dass ich ALLE Ports die ich SPERREN moechte einzeln bzw in bereichen eingeben muss ?????
Das kann doch net sein es is doch sinvoller und logischer, wenn alles dicht is und ich die benoetigten paar ports freischalte. Und was soll dann wenn ich gar keinen port filtere bedeuten, dass die von aussen alle schon "closed" sind ?!
Ich steig da echt net mehr durch !!!
Kann mir jemand verraten, nach welchem prinzip diese einstellungen vorgenommen werden muessen und welche einstellungen sicherheitstechnisch UNBEDINGT ein oder abgeschaltet werden sollten (auch gerne tipps zu anderen Menus) ?
ich denke, dass dieses thema noch mehrere quaehlt zumal das router-paket samt usb und pcmcia (allerdings ohne brauchbares handbuch)
nur 70 - 90 euro kostet
VIELEN dank im vorraus fuer eure hilfe
bis denne, euer verwirrter Tommie
Antwort 1 von TheBlackBird_
Hi,
Zum Einen freut es mich, dass Du Dich mit der angeschafften Hardware befasst, und versuchst, Dich intensiv damit auseinanderzusetzen. Den Meisten reicht die reine Funktion des Netzwerkes/INets aus, und der Rest bzw. der sicherheitsrelevante Teil interessiert nicht mehr.
Zum Anderen scheinst Du aber entweder nicht zu lesen, oder aber des Englischen nicht maechtig zu sein. Evtl. fehlt aber auch nur ein kleiner Anstoss fuer das Verstaendnis im Umgang mit Deinem Router. Also wollen wir mal versuchen etwas Licht in das "Dunkel" zu bringen.
Dein Acer weisst eine NAT-Funktionalitaet auf. (NAT-> Network Address Translation) Allein dadurch sind eingehende Verbindungen nicht moeglich, ohne zuvor aus dem LAN heraus angefordert zu werden. Ich versuche es im folgenden einmal einfach und anschaulich zu erlaeutern:
Du rufst von einem LAN-Rechner aus eine Internetseite auf. Dies ist eine Verbindungsanfrage aus dem LAN ins WAN (also eine ausgehende Verbindung). Der Router nimmt diese Anfrage entgegen, und tauscht in den Paketen die LAN-IP gegen die WAN-IP (meist vom Provider zugewiesen und der WAN-Seite des Routers zugeordnet) aus. Dieser Vorgang wird in der NAT-Tabelle "notiert". Kommt nun von der angeforderten Site ein Antwortpaket (eingehende Verbindung), wird dieses im Router analysiert. Steht in der NAT-Tabelle, dass ein LAN-Rechner von eben dieser Site (bzw. IP) etwas angefordert hat, wird der Vorgang umgekehrt. Die WAN-IP wird durch die LAN-IP des anfordernden Rechners (steht ja in der NAT-Tabelle) ersetzt, und das Paket an den betroffenen Rechner weitergeleitet. Die WebSite wird auf Deinem Rechner aufgebaut.
Steht nun in der NAT-Tabelle keine "Notiz" ueber eine Anfrage, "weiss" der Router nicht, welcher LAN-Rechner das Paket bekommen soll. Er kann es also nicht weiterleiten, und verwirft es somit. Dies erklaert dann auch, dass die Norton-Site alle Ports als Geschlossen bzw. Verborgen kennzeichnet.
Wie Du sicher leicht erkennen kannst, heisst das im Grossen und Ganzen: Von innen nach aussen geht Alles, von aussen nach innen geht Nichts (zumindest nicht ohne Anforderung).
Da dies nun nicht immer gewuenscht ist, werden meist ein paar Filter angeboten, um dieses "Alles" (ausgehend), oder auch das "Nichts" (eingehend) etwas einzugrenzen.
Du schreibst oben:
Sicher, da es sich bei Deinen Tests auschliesslich um Verbindungen handelt, welche von Dir bzw. aus dem LAN heraus aufgebaut/angefordert wurden.
Im Gegensatz dazu versuche einmal mit dieser Konfig ein Spiel ueber das INet zu hosten (Du stellst also den Spiele-Server), bzw. ueber ICQ Dateien zu empfangen. Auch ein FTP-Server wird Dir sicher die Augen oeffnen. Um es vorweg zu nehmen: Niemand wird Deinem Spiel joinen, bzw. auf Deinen FTP-Server gelangen koennen.
Du hast ja nun selbst die Dir bekannten Infos ueber das Port Filtering bei Deinem Acer gepostet:
... restrict... from your local network to Internet...
Heisst soviel, dass Du den Verkehr aus dem LAN in das INet reglementieren kannst (ausgehende Verbindungen). Steht dort also eine Regel, welche verhindern soll, dass ausgehende Verbindungen auf Port80 zustande kommen, dann wird es selbstredend schlecht mit dem Surfen.
Eingehende Verbindungen werden von diesem Filter erst einmal nicht beeinflusst. Heisst also: Es geht nach wie vor Nichts.
Fuer eingehende Verbindungen steht Dir das Portforwarding zur Seite:
Hier kannst Du einstellen, dass eingehende Anfragen auf bestimmten Ports immer auf ein und dieselbe LAN-IP weitergeleitet werden, ohne das zuvor eine Anfrage aus dem LAN heraus erfolgt ist. Um wieder bei dem oben angesprochenen FTP-Server zu bleiben: Dein FTP bietet ja nicht aktiv eine Verbindung an, sondern lauscht auf Port21 auf Anfragen. Somit steht nat. keine "Notiz" in der NAT-Tabelle. Eine Anfrage aus dem INet wuerde also verworfen werden. Durch ein Portforwarding wuerdest Du dem Router nun mitteilen, das unangeforderte Anfragen aus dem INet auf dem Port21 nicht zu verwerfen sind, sondern immer auf die eigetragene LAN-IP weiterzuleiten sind. Diese weitergeleiteten Anfragen kann nun der FTP-Server entgegennehmen, und ist somit aus dem INet heraus unter der WAN-IP erreichbar.
Ich hoffe, dass das bisher "recht unverstaendliche Ergebnis" Deiner Tests etwas klarer erscheint, und dass Du nun die angebotenen Filter einzusetzen und zu nutzen weisst.
Cu TheBlackBird ®
Zum Einen freut es mich, dass Du Dich mit der angeschafften Hardware befasst, und versuchst, Dich intensiv damit auseinanderzusetzen. Den Meisten reicht die reine Funktion des Netzwerkes/INets aus, und der Rest bzw. der sicherheitsrelevante Teil interessiert nicht mehr.
Zum Anderen scheinst Du aber entweder nicht zu lesen, oder aber des Englischen nicht maechtig zu sein. Evtl. fehlt aber auch nur ein kleiner Anstoss fuer das Verstaendnis im Umgang mit Deinem Router. Also wollen wir mal versuchen etwas Licht in das "Dunkel" zu bringen.
Dein Acer weisst eine NAT-Funktionalitaet auf. (NAT-> Network Address Translation) Allein dadurch sind eingehende Verbindungen nicht moeglich, ohne zuvor aus dem LAN heraus angefordert zu werden. Ich versuche es im folgenden einmal einfach und anschaulich zu erlaeutern:
Du rufst von einem LAN-Rechner aus eine Internetseite auf. Dies ist eine Verbindungsanfrage aus dem LAN ins WAN (also eine ausgehende Verbindung). Der Router nimmt diese Anfrage entgegen, und tauscht in den Paketen die LAN-IP gegen die WAN-IP (meist vom Provider zugewiesen und der WAN-Seite des Routers zugeordnet) aus. Dieser Vorgang wird in der NAT-Tabelle "notiert". Kommt nun von der angeforderten Site ein Antwortpaket (eingehende Verbindung), wird dieses im Router analysiert. Steht in der NAT-Tabelle, dass ein LAN-Rechner von eben dieser Site (bzw. IP) etwas angefordert hat, wird der Vorgang umgekehrt. Die WAN-IP wird durch die LAN-IP des anfordernden Rechners (steht ja in der NAT-Tabelle) ersetzt, und das Paket an den betroffenen Rechner weitergeleitet. Die WebSite wird auf Deinem Rechner aufgebaut.
Steht nun in der NAT-Tabelle keine "Notiz" ueber eine Anfrage, "weiss" der Router nicht, welcher LAN-Rechner das Paket bekommen soll. Er kann es also nicht weiterleiten, und verwirft es somit. Dies erklaert dann auch, dass die Norton-Site alle Ports als Geschlossen bzw. Verborgen kennzeichnet.
Wie Du sicher leicht erkennen kannst, heisst das im Grossen und Ganzen: Von innen nach aussen geht Alles, von aussen nach innen geht Nichts (zumindest nicht ohne Anforderung).
Da dies nun nicht immer gewuenscht ist, werden meist ein paar Filter angeboten, um dieses "Alles" (ausgehend), oder auch das "Nichts" (eingehend) etwas einzugrenzen.
Du schreibst oben:
Zitat:
Lasse ich z.B. alle Firewall optionen deaktiviert... Rechner funktionieren auch beide tadellos (soweit ich alle anwendung testen konnte)... trillian messenger, zwei onlien spiele mit bestimmten ports... funktioniert.
Lasse ich z.B. alle Firewall optionen deaktiviert... Rechner funktionieren auch beide tadellos (soweit ich alle anwendung testen konnte)... trillian messenger, zwei onlien spiele mit bestimmten ports... funktioniert.
Sicher, da es sich bei Deinen Tests auschliesslich um Verbindungen handelt, welche von Dir bzw. aus dem LAN heraus aufgebaut/angefordert wurden.
Im Gegensatz dazu versuche einmal mit dieser Konfig ein Spiel ueber das INet zu hosten (Du stellst also den Spiele-Server), bzw. ueber ICQ Dateien zu empfangen. Auch ein FTP-Server wird Dir sicher die Augen oeffnen. Um es vorweg zu nehmen: Niemand wird Deinem Spiel joinen, bzw. auf Deinen FTP-Server gelangen koennen.
Zitat:
... schalte ich also port filtering testweise ein...
... schalte ich also port filtering testweise ein...
Du hast ja nun selbst die Dir bekannten Infos ueber das Port Filtering bei Deinem Acer gepostet:
... restrict... from your local network to Internet...
Heisst soviel, dass Du den Verkehr aus dem LAN in das INet reglementieren kannst (ausgehende Verbindungen). Steht dort also eine Regel, welche verhindern soll, dass ausgehende Verbindungen auf Port80 zustande kommen, dann wird es selbstredend schlecht mit dem Surfen.
Eingehende Verbindungen werden von diesem Filter erst einmal nicht beeinflusst. Heisst also: Es geht nach wie vor Nichts.
Fuer eingehende Verbindungen steht Dir das Portforwarding zur Seite:
Hier kannst Du einstellen, dass eingehende Anfragen auf bestimmten Ports immer auf ein und dieselbe LAN-IP weitergeleitet werden, ohne das zuvor eine Anfrage aus dem LAN heraus erfolgt ist. Um wieder bei dem oben angesprochenen FTP-Server zu bleiben: Dein FTP bietet ja nicht aktiv eine Verbindung an, sondern lauscht auf Port21 auf Anfragen. Somit steht nat. keine "Notiz" in der NAT-Tabelle. Eine Anfrage aus dem INet wuerde also verworfen werden. Durch ein Portforwarding wuerdest Du dem Router nun mitteilen, das unangeforderte Anfragen aus dem INet auf dem Port21 nicht zu verwerfen sind, sondern immer auf die eigetragene LAN-IP weiterzuleiten sind. Diese weitergeleiteten Anfragen kann nun der FTP-Server entgegennehmen, und ist somit aus dem INet heraus unter der WAN-IP erreichbar.
Ich hoffe, dass das bisher "recht unverstaendliche Ergebnis" Deiner Tests etwas klarer erscheint, und dass Du nun die angebotenen Filter einzusetzen und zu nutzen weisst.
Cu TheBlackBird ®