Einen PC von 4 im LAN vom Internet isolieren?

#1 Hallo,

vorweg: ich habe den Router von LONGSHINE LCS-883R-DSL-4F

Einer der vier PCs hat keinerlei Firewalls und darf aus besonderen
Gründen auch keine haben. Er muss also von Daten von außen
isoliert werden. (WINDOWS-XP Home)

Ich habe folgendes in der Firewall des Routers eingestellt:

WAN -> LAN
Protocol Any
Port 0 (lässt sich nicht einstellen!)
Source 0.0.0.0-255.255.255.255
Destination 192.168.1.8 (besagter zu schützender PC)
Action Discard
Log Off

Wenn ich aber nun etwa mit Goggle etwas aufrufe -- ich kann mit
dieser Einstellung ja hinaus -- dann bekomme ich ohne Hemmung
jede Antwort zurück, eventuell auch mit Mailware.

Dies ist für mich beängstigend.

Was läuft hier falsch?

Werner.

#2

Zitat

Was läuft hier falsch?

Wenn Du Daten anforderst, bekommst Du auch welche zurück, ist doch klar.
Und selbstredend kontrolliert ein Router nicht den Inhalt der Daten.

Zitat

WAN -> LAN
Protocol Any
Port 0 (lässt sich nicht einstellen!)
Source 0.0.0.0-255.255.255.255
Destination 192.168.1.8 (besagter zu schützender PC)
Action Discard
Log Off

Besagt nur, dass keine aktiven Anfragen von außen auf evtl laufenden Dienste möglich wären; der Router blockt ohnehin jede Anfrage die Du nicht explizit auf eine LAN-IP weiterleitest, von daher macht die Regel wenig Sinn.
Schon bei günstigeren Routern ist es oft möglich LAN-IPs den Kontakt nach außen ebenfalls zu verbieten. Evtl. schaust Du in der Router-Konfig nochmals nach.

Vielleicht kannst etwas klarer ausdrücken was Du unter isolieren verstehst, bzw. was der Rechner denn noch für Netzwerk-Möglichkeiten haben soll.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3

Zitat

joschi postete

Vielleicht kannst etwas klarer ausdrücken, was Du unter isolieren verstehst,
bzw. was der Rechner denn noch für Netzwerk-Möglichkeiten haben soll.

Meine Absicht ist, den einen ungeschützten PC (KEINE Firewalls) vor Eindringen
von jeder Art Malware abzusichern. Offensichtlich muss ich hierfür auch den
Weg nach außen: LAN -> WAN unterbinden, also KEIN Verkehr NACH außen
und dadurch also auch KEIN bedrohlicher Verkehr VON außen. Also KEINERLEI
Netzwerk-Möglichkeiten zwischen der "Welt" und diesem PC, nur Verkehr mit den
drei anderen MEINER PCs im LAN (FTP-Transfer, ...)

Sehe ich das richtig?

Werner.

#4

Zitat

..also KEIN Verkehr NACH außen
und dadurch also auch KEIN bedrohlicher Verkehr VON außen..

Was das den Verkehr mit dem Internet anbelangt- ja.

Bleiben noch zwei Punkte:
- Malware könnte noch durch unbedachte Installationen von verseuchter Software auf einen Rechner gelangen.
- Es gibt Netzwerkwürmer die auch vor LANs nicht halt machen. Ist ein PC im LAN befallen könnte dieser weitere infizieren- setzt voraus, dass alle eine entspr. Sicherheiutslücke aufweisen. Generell ist man hinter einem Router aber gut aufgehoben, was dieses Problem anbelangt und was deine Thematik hier anbelangt ist dies nicht so bedeutend.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 Hallo W_G,

sicher ist dein PC in der Konstellation nur, wenn er nicht am Netz hängt. Wie Joschi schon sagte, kann er durch z.B. Netzwürmer kompromittiert werden.
Wenn du dennoch nicht darauf verzichten möchtest, daß er im LAN hängt, und daß evtl. die anderen Rechner auf ihn zugreifen können würde ich empfehlen, DNS und Gateway in den Netzwerkeigenschaften nicht oder irreführend zu konfigurieren. Falls du auch vom geschützten PC auf die anderen PC´s zugreifen möchtest könntest du das durch Einträge in der LMHOST- Datei bewerkstelligen.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#6

Zitat

HeVTiG postete
... kann er durch z.B. Netzwürmer kompromittiert werden.

Wenn die anderen mit Linux laufen, dürfte er vor einer solchen Kompromittierung
ja sicher sein.

Zitat

Wenn du dennoch nicht darauf verzichten möchtest, daß er im LAN hängt, und daß evtl. die anderen Rechner auf ihn zugreifen können würde ich empfehlen, DNS und Gateway in den Netzwerkeigenschaften nicht oder irreführend zu konfigurieren.

Gute Idee! Habe ich sofort so gemacht: keine DNS, falsches Gateway.

Zitat

Falls du auch vom geschützten PC auf die anderen PC´s zugreifen möchtest könntest du das durch Einträge in der LMHOST- Datei bewerkstelligen.

Wohl nicht nötig. Aber wo steckt das File LMHOST im WINDOWS-XP Home?

Dank für die Hinweise,
Werner.

#7 Unter XP Pro (habe leider kein Home verfügbar, sollte aber gleich sein) findest du die Datei unter:
C:\WINDOWS\system32\drivers\etc
Bin mir im Momenta aber ehrlich gesagt gar nicht sicher, ob es nun die host oder die lmhost Datei ist.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!