Hallo zusammen,
ich habe den Eindruck, hier herrscht ein kleines bisschen Verwirrung. Ich selbst habe das Zyxel P335 - es scheint ein wenig einfacher in der Bedienung zu sein, hat mich aber dennoch einige Mühe gekostet bei der Konfiguration des NATting und der Firewall (besser Service-Blocker, nichts anderes ist es nämlich).
Wenn in einem Administrationfenster nicht ausdrücklich von "LAN" oder "LAN to LAN" die Rede ist (meistens in PopUps) hat mein Router mit dem LAN nicht wirklich was zu tun. Er überwacht lediglich den Verkehr vom WAN in mein LAN (from WAN inbound). Die sensiblen Einstellungen sind tatsächlich die NATting Tables und die Firewall-Roules.
Ich hab's erst mal so gemacht: zuerst kümmerte ich mich um die NATting-Einstellungen, damit erst einmal der Zugang von meinem LAN ins Internet ermöglicht ist. Beim P335 wird einem der folgende Bildschirm angezeigt:
Für meine Installation waren lediglich die hier sichtbaren Einträge auf der "General" Seite notwendig: ich lasse vom Router sämtliche Packages (FTP, HTTP etc) auf meinen Webserver 192.168.0.5 schicken. Auf dem Webserver jedoch läuft ausschliesslich Apache, also werden Web-Anfragen ausser auf Port 80 sowieso zurückgewiesen. Der Check "Enable NAT" muss aktiviert sein, sonst ist vom LAN aus kein Durchgriff ins WAN möglich.
Auf der zweiten Seite (Applications) kann man die eingehenden Anfragen vom WAN je nach Portnummer auf verschiedene Zielserver (im LAN!) verteilen, die entsprechenden Dienste sollten dann aber auch auf den verschiedenen Maschinen laufen:
Da ich ausser HTTP nichts weiter zu verteilen habe und der HTTP Server auf dem Default-Server (192.168.0.5) läuft, ist in meinem Fall hier nichts eingetragen, aber ich könnte z.B. eingehende FTP Anfragen an die IP Adresse 192.168.0.10 weiterleiten, wenn dort ein FTP-Server läuft.
Der nächste Schritt ist dann die Firewall-Konfig.
Die OS X Server Firewall ist aus.
Gewinnt man an Sicherheit, wenn man die auch noch an schaltet?
Antwort:
Nicht wirklich. Lass sie ruhig erstmal aus bis du eine funktionierende Verbindung hast. Danach kannst du sie immer noch aufdrehen.
An dieser Stelle muss ich widersprechen (aus Security-Sicht): die Firewall auf dem MAC solltest Du schon aktivieren, aber nicht alle Dienste blockieren, sonst laufen Skype und ein paar andere Sachen nicht. Also z.B. so:
Die im MAC OSX eingebaute Firewall regelt ja auch die Zugriffe innerhalb des LANs. Wenn Du also nicht möchtest, dass jemand von einem anderen PC in Deinem LAN auf dein iTunes zugreift, musst du das an der Stelle (Systemverwaltung --> Sicherheit) blockieren.
Danach die Firewall auf dem Router, um eingehende Anfragen an Dienste, die Du nicht haben möchtest zu blocken. Ein Port, über den sich Häcker gerne einschleichen, ist der ICMP:0 (der berühmte Ping). Für Schlauberger ist das immerhin schon ein Hinweis darauf, dass auf Deiner Webadresse ein Listener läuft und gibt ihm Anlass genug, da ein bisschen weiter zu bohren; also zu machen! Im folgenden Bildschirm habe ich noch ein paar weitere Beispiele:
Hoffe, ich konnte ein wenig weiterhelfen, Lèo
Gruss
Gina