Firewallregln von LAN ins WAN, aber welche?

#1 Hallo Zusammen

Ich beschäftige mich gerade mit der Frage: "Welche Ports soll ich vom LAN ins WAN sperren?"!

Wir haben ein mittelmässig grosses LAN (300 Clients), welche momentan das Internet frei benützen können. Einige Homepage und Stichwörter sind jedoch gesperrt mittels eines Content Filters. Ansonsten ist alles aus dem LAN ins WAN offen. Vom WAN ins LAN ist jedoch alles zu.

Nun möchte ich eine verbesserung der Firewallregeln machen und frage mcih welche Ports vom LAN ins WAN überhaupt nötig sind!

Die Ports 1024-... könnte man ja eigentlich alle sperren.
Man müsste doch nur den DNS Port und den HTTP Port offen haben.
Oder liege ich da falsch?

Hat jemand einen guten Artikel zu diesm Thema, denn wenn ich so eine Verbesserung vornehme, dann muss ich das auch schriftlich beweisen können.

Wäre toll wenn mir jemand weiter helfen könnte!

Greets

#2 Hallo!

Ich würde an Deiner Stelle alle Ports sperren bis auf nr. 80 für das www.

Grundsätzlich würde ich auch den Zugriff auf WAN IP's unterbinden so dass kein Zugriff auf direkte IP's ohne eingetragenen DNS gesperrt sind. Freigeben kann man diese immer noch.

Mfg

#3 Danke für deine Hilfe!

Nun stellt sich aber noch die Frage, wie es aussieht wenn ich den Mailserver ausserhalb habe!
So muss ich den Pop3 und SMTP Port ebenfalls offen lassen.
Unser DNS Server ist intern!Muss also den DNS Port auch offen lassen.

Deine Überlegung war auch meine!
Ich teste es nun mal wie es aussieht wegen diesen vorhin genannten Diensten, die wir noch im LAN haben.

Danke.

greets

#4 Hi!

Einen DNS Port? Gibts sowas überhaupt?
Wie ist der Mailserver angeschlossen oder ist dies nur ein Front-End Server? Falls nicht müssen wie gesagt folgende Ports offen bleiben:

80 - www (tcp/udp)
110 - pop3 (tcp/udp)
25 - smtp (tcp/udp)

Bei dieser Maillösung empfehle ich aber dringend eine SSL-Verbindung od. VPN Verbindung zum Mailserver herzustellen !

Mfg

#5 Der DNS Port ist die 53!

Der Mail Server ist vom Provider!
Geht aber nicht mehr lange bis wir selbst einen haben!

#6 Na dann wie oben geschrieben die drei Ports freigeben und testen

#7 @securewall
wie sieht denn euer netzwerk aus?
selbst bei 300 clients würde ich schon eine firewall lösung anstreben. mein favorit ist checkpoint, aber in deinem fall kommen bestimmt auch billigere möglichkeiten in frage. vielleicht sogar ein ipcop.
jedenfalls brauchst du eine zentrale firewall. Dann richtest du eine DMZ ein, in der du deine externen Dienst wie einen Proxy z.B. einen SQUID und später den E-Mail Server. Dann verbietetst du euren CLients die Verbindung ins Internet. Nur der Proxy darf ins INternet. Und dem Erlaubst nur HTTP, evt. FTP und alle DNS anfragen (TCP u. UDP):

Somit haben deine Clients nichts mehr im INternet verloren. Und mit dem PRoxy kannst du auch alles Unerwünschte sperren.

Gruß SPike
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)

#8 Hallo Spike20

Wir haben schon eine Firewall mit DMZ etc.!
Momentan ist einfach alles offen vom LAN ins WAN und dagegen will ich etwas unternehmen!

Einen Proxy will ich nicht einsetzten.
I möchte einfach nur noch die nötigen Sachen öffnen.

Mir stellt sich dann die Frage, ob es einen Grundsatz gibt mit Erklärungen, was vom LAN ins WAN offen bleiben muss.
Habe auch schon nach Konzepten gesucht weil ich muss mein Handeln mit schriftlichen Arrgumenten festhalten.

Gruss

#9 OK.

Du liegst mit deiner vermutung richtig. Du musst für deine Clients DNS zur Namensauflösung freigeben. Als Zieladresse gibst du deinen eigenen DNS-Server oder den deines ISP. Bei DNS gibt es verschiedene Protokolle, setzten aber alle auf TCP und UDP. Kann dir jetzt nicht genau sagen welche Ports das sind.

Dann noch http, https und/oder ftp. Je nach dem was du möchtest.
__________
Wenn wir bedenken, dass wir alle verrückt sind, ist das Leben erklärt.
(Mark Twain)