Sinus 154 DSL SE Portfreigabe am Router?

MisterMini

Aktives Mitglied
Thread Starter
Dabei seit
26.07.2005
Beiträge
1.522
Reaktionspunkte
28
Hallo,

mein Mini hängt an einem sehr guten Router der Telekom, 154 DSL SE. Da aber noch ein Windows PC dran hängt, will ich den Router nicht komplett seiner Schutzfunktionen berauben. Dennoch will ich folgende Ports freigeben:

1214, 1293, 3014, 59049, 3390 (oder zwischen 3312 und 4312)

Kann ich weiterhin ein wenig auf die Sicherheit des Routers vertrauen, den Windows-PC komplett geschützt belassen und dennoch diese Ports freigeben?

Kennt sich da jemand aus?

Danke und Grüße
 
Falls du NAT machst, und die Ports nur an der Firewall des Routers freigibst, passiert erstmal gar nicht. Es sei denn, der Router hat auf den Ports einen Dienst laufen.

Die Sicherheit des Windows-PCs wäre also nicht kompromittiert..es sei denn, eine der Ports wird an ihn weitergeleitet (PAT)
 
Hey, da kennt sich einer aus - viel, viel besser als ich.-) Ich muss das erst mal kapieren, was du da schreibst. Ich kann meinem Rechner per IP eine DMZ (demilitarized zone) zuweisen, dann passiert dem Windows-Rechner erst mal nix, stimmts?

Es gibt aber auch noch die Möglichkeit eigens definierter Regeln für einzelne Rechner. Was muss ich denn in OS X alles ändern, damit Programme auf meinem Mac diese Ports nutzen können? Muss ich die Firewall im System dann auch ausschalten? Oder UDP freigeben, wenn das Programm das braucht? Ich kann die Gefahren (auf Mac) halt schlecht einschätzen...
Und ich will auch kein allzu großes Risiko eingehen.
 
Hallo Ihr,

da fällt mir grade ein, ich wollte schon immer mal die cracks fragen.
Wo kann man als einfacher User diese Dinge kurz und bündig lernen :
ports freigeben, Sinn und Zweck dieser,
Firewall, wie sie funktioniert usw

fragt und dankt
Tomas
 
Nein..wenn der Rechner in der DMZ steht, mußt du ihn separat schützen. Da ist ne Firewall ganz wichtig.

Macht bei Privatanwendern mit einer dynamischen IP aber keinen Sinn. Die DMZ ist dazu gedacht, daß die Rechner, die Verkehr nach außen haben, VOR deiner eigentlichen Firewall stehen, und somit relativ ungehindert nach draußen können, andererseits die Zugriffe ins Intranet (z.B. Datenbankanbindung) nochmals durch eine Firewall abgesichert sind, falls der Rechner gehackt wird.

Zur Änderung: Die Firewall des Macs muß die Ports durchlassen, auf dem Router mußt du Port Adress Translation einrichten, d.h. da muß eine Regel rein, daß bei Paketen mit deiner öffentlichen IP und den von dir genannten Destination Ports die Destination IP Adresse auf die des Zielrechners umgeschrieben wird, und das ganze auf dem Intranet-Interface weitergeschickt wird. Die Rückroute brauchst du nicht explizit anzugeben, da dies über den normalen NAT Prozeß geschieht.

Zur Erklärung:
Ports dienen dazu, klarzumachen, für welche Anwendung das Paket gedacht ist. Kommt z.B. ein Paket mit Destination Port 80 rein, weiß der TCP/IP Stack, daß das z.B. an den Webserver muß. Oder Port 22 geht an den sshd.
Für abgehende Verbindungen werden höhere Ports dynamisch vom OS zugewiesen.
Die Firewall, in der Regel eine Paketfilterfirewall (d.h. jedes Paket wird angeschaut und durchläuft eine Kette von Regeln, am Ende wird es verworfen oder weitergeleitet. Dabei kann es manipuliert werden, z.B. bei NAT), muß die entsprechenden Pakete durchlassen. Hast du z.B. einen Webserver auf Port 80 laufen, so muß die lokale Firewall des Rechners Pakete mit Destination Port 80 akzeptieren, sonst bekommt sie der Webserver nicht.
Falls du NAT machst, und der Webserver von außen erreichbar sein soll, mußt du einen Port auf der öffentlichen IP (das genattete Netz ist ja von außen nicht erreichbar) benutzen, und dafür eine Regel erstellen, daß die betreffenden Pakete mit geänderter Destination IP Adresse an den entsprechenden Rechner weitergeleitet werden. Das geschieht auf dem Router.
 
Ah, danke, du kennst dich wirklich aus. Respekt! Ich habe sowieso eben gerade in den Einstellungen des Routers die fünf oben genannten Ports freigegeben (immer gleich für den Rechner und öffentlich). Ist das richtig so?

Am Mac habe ich File Sharing aktiviert, die meisten anderen Dienste aber noch deaktiviert. Die brauche ich doch auch nicht, oder?

NAT ist prinzipiell noch an auf dem Router. DMZ habe ich mal bleiben lassen.

Hier noch die Einstellungen aus dem Menü, wo ich jetzt Ports eingetragen habe:
Netzwerk / NAT / Spezialanwendung
Spezialanwendung TCP (alle bei TCP angeklickt) UDP
1 Private Client Port / Typ: 1214
Öffentlicher Port / Typ: 1214
Aktivieren: (jeweils natürlich aktiviert)
2 Private Client Port / Typ: 1293
Öffentlicher Port / Typ: 1293
Aktivieren:
3 Private Client Port / Typ: 3014
Öffentlicher Port / Typ: 3014
Aktivieren:
4 Private Client Port / Typ: 59049
Öffentlicher Port / Typ: 59049
Aktivieren:
5 Private Client Port / Typ: 3390
Öffentlicher Port / Typ: 3390
Aktivieren:

Ich hoffe, dass das so passt. Kann ich dir ggf. eine PN schicken?

Danke und Grüße
 
Ich habe den gleichen Router bei uns im Einsatz.

Portfreigaben funktionieren echt reibungslos.
Was der Router immer wieder gerne verliert sind seine DynDNS Einstellungen. Die sind si ca. 1x im Monat weg (meist dann, wenn man gerne mal schnell einen Zugriff braucht)

Jetzt würde ich den USB Port des routers gerne für eine zusätzliche Festplatte nutzen: 500G USB Harddisk von laCie eingebaut und Freigabe durchgeführt.
Die Platte wird sowohl mittels smb und cifs erkannt. Ich kann Ordner erstellen und auch wieder löschen. Allerdings ist es mir nicht möglich Dateien vom Mac auf die Platte zu schreiben. Ich bekomme immer den Fehler -36 (Schreib- / Lesefehler). Wenn ich von einem Windows PC den Zugriff mache, funzt alles Prima. Die angeschlossene Platte habe ich mit FAT32 formatiert.

Hat da vieleicht jemand ne Idee zu?
 
Zurück
Oben Unten