Router Firewall richtig konfigurieren:

#1 Hallo,

Ich bin gerade dabei die Firewall meines "Gigaset SE515 dsl" Routers einzurichten.
Bisher habe ich nun folgende Regeln eingerichtet:

-Richtung: ausgehend
-Protokoll: TCP
-Quell-IP-Adresse: ALL
-Ziel-IP-Adresse: ALL
-Portbereich: 80
-Erlauben: ja
____________
-Richtung: ausgehend
-Protokoll: TCP
-Quell-IP-Adresse: ALL
-Ziel-IP-Adresse: 213.165.64.22
-Portbereich: 110
-Erlauben: ja
_______________
-Richtung: ausgehend
-Protokoll: TCP
-Quell-IP-Adresse: ALL
-Ziel-IP-Adresse: 213.165.64.20;213.165.64.21;
-Portbereich: 25
-Erlauben: ja
_______________
-Richtung: ausgehend
-Protokoll: TCP
-Quell-IP-Adresse: ALL
-Ziel-IP-Adresse: ALL
-Portbereich: 443
-Erlauben: ja
______________
-Richtung: ausgehend
-Protokoll: ALL
-Quell-IP-Adresse: ALL
-Ziel-IP-Adresse: ALL
-Portbereich: ALL
-Erlauben: nein

Nun habe ich noch folgende Fragen:

1. Gehe ich richtig in der Annahme, dass ich keine Regeln für eingehenden Datenverkehr erstellen brauch, wegen NAT (Ich hab mal probehalber eine Regel für Eingehend und "Block all" erstellt, das hatte aber keinerlei Auswirkungen)

2. Ist die Einstellung: "Quell-IP-Adresse: ALL" so ok, oder sollten die Quell IP Adressen genauer spezifiziert werden (es sind ca. 4 Rechner im lokalen Netzwerk).

3. der Port 443 ist für Windows Update offen. Weiß jemand ob man das bei "Ziel IP-Adresse" noch was genaueres angeben kann, bzw läuft das Update überhaupt immer über die gleiche IP-Adresse ab oder ändern die das.

4.brauche ich noch Regeln für DNS und ICMP oder kümmert sich da der Router darum. Ich habe hierzu bis jetzt keine Regeln erstellt und konnte noch keinerlei Einschränkungen bemerken.

Danke für Eure Antworten.
Pete

#2

Zitat

pete333 postete

1. Gehe ich richtig in der Annahme, dass ich keine Regeln für eingehenden Datenverkehr erstellen brauch, wegen NAT (Ich hab mal probehalber eine Regel für Eingehend und "Block all" erstellt, das hatte aber keinerlei Auswirkungen)

Korrekt - wenn Du keine Portweiterleitung aktiviert und definiert hast, werden alle Anfragen automatisch vom Router verworfen.

Zitat

2. Ist die Einstellung: "Quell-IP-Adresse: ALL" so ok, oder sollten die Quell IP Adressen genauer spezifiziert werden (es sind ca. 4 Rechner im lokalen Netzwerk).

Wenn du deinen Rechnern im Netzwerk "vertraust", reicht das.

Zitat

3. der Port 443 ist für Windows Update offen. Weiß jemand ob man das bei "Ziel IP-Adresse" noch was genaueres angeben kann, bzw läuft das Update überhaupt immer über die gleiche IP-Adresse ab oder ändern die das.

Sicher das du Port 443 brauchst? TCPView zeigt mir bei Windowsupdate nur http als Verbindung an.

Zitat

4.brauche ich noch Regeln für DNS und ICMP oder kümmert sich da der Router darum. Ich habe hierzu bis jetzt keine Regeln erstellt und konnte noch keinerlei Einschränkungen bemerken.

Sorg dafür das Pings akzeptiert werden, viele Router verwerfen diese Pakete per Default, was nicht RFC konform ist. Ansonsten, ICMP und DNS braucht per Default nicht gefiltert zu werden, das ist nur bei speziellen Konfigurationen bzw. Netzdiensten interessant.
__________
Es ist nicht wenig Zeit, die wir haben, sondern viel Zeit, die wir nicht nutzen...