Portliste

Hallo,

habe heute 10.1 installiert, da ich ADSL mit einen Router erhalten habe. Ich dachte dann gleich alles neu. Und siehe da alles funktioniert...

Da ich nun permanent am Netz hänge, ist eine Firewall sicher sinnvoll.

Meine Frage zielt auf eine Liste von möglichen Portnummern wo man simpel nachlesen kann für welchen Dienst welchen Port man zu öffnen hat.

Soweit ich informiert bin glit der:

Port 80 für HTTP
Port 20 und 21 für FTP

Was ist mit den Mails , KVIRC, Downloads,...

Gibt es dazu eine "Liste" oder macht sowas keinen Sinn, da es hier Unterschiede in den einzelnen Fällen geben kann?

lg

Rudi

Es gibt auch im Netz PortScanner, die weitere Infos ueber die Ports geben (shieldsup etc).

Hallo,

habe im Netz nun rumgestöbert und mir auch die Dienste von /etc/services angesehen. Um ehrlich zu sein schlauer bin ich nun auch nicht. Ich bin halt kein Netzwerkspezialist

Aber vielleicht kann man mir auch so helfen:

Da ich einen DSL Router habe wo mir eine fixe IP Adresse zugewiesen wird, bin ich gegenüber Attacken von Außen sensibler....so habe ich es zumindest gelesen. Also benötigt man eine Firewall um die nicht notwendigen Dienste abzuschalten.


Laut YAST Netzwerk-Karte habe ich folgende Firewall Konfiguration:
"keine Zone-aller Verkehr gesperrt"

Laut YAST/Firewall habe ich folgende Konfiguration:

Schnittstelle: Netgear Karte......keine Zone zugewiesen
Schnittstelle: any.....externe Zone zugewiesen
Erlaubte Dienste:
Externe Zone:Mailserver und POP3-Server
Interne Zone: DHCP-Client

Ich dachte ich schalte mal alles voreingestellten Dienste aus um zu sehen was passiert (DHCP, HTTP, TFTP alles externe Zone). Aber bis jetzt ist nichts passiert, d.h. der Zugriff zum Internet klappt wie früher und ist auch nicht langsamer.

Ich dachte bis jetzt daß denn alle Dienste abgeschaltet sind dann klapt der Zugang zum Netz nicht mehr! Liege ich da falsch oder ist die Firewall von SUSE unbrauchbar?
Wenn falsch liege, ist meine Einstellung soweit o.k. oder gibt es da noch Verbesserungspotential, bzw wie kann man das denn überprüfen?

Vielen Dank

Rudi

Die SuSE Firewall macht soweit ich weiß kein Outputfiltering, also so lange Du auf deinem PC keinen Mailserver betreibst brauchst Du das in der externen Zone auch nicht. Für einen normalen Desktop PC der direkt am DSL hängt (also eine offizielle IP vom Provider bekommt) brauchst Du eigentlich nur folgende Regel:

Alles was von drinnen (vom PC) raus will (ins Internet) ist erlaubt.
Alles was von draußen rein will ist verboten, es sei denn es ist die
Antwort auf etwas was von drinnen raus gegangen ist.

Da Du aber eine Router hast der ein (höchstwahrscheinlich) Masqueraring macht ist die Firewall auf deinem PC sowieso Humbug. Der Router schützt sich allein durch die Tatsache, dass er eben ein PAT macht. Das einzige worauf Du jetzt noch reinfallen kannst sind Trojaner per E-Mail und Webseiten die dich aufforden als root ein rm -rf / zu machen. Gegen sowas hilft aber keine Firewall und kein Virenscanner, da hilft nur Gehirn einschalten.

Wenn dein Netzwerk also so aussieht:

Telefondose -> Hardwarerouter (Frizbox o.ä.) -> Netzwerkkabel -> PC.

Dann vergiss die Firewall auf deinem Rechner.

Es sollte nur eine FW aktiv sein (Router ODER LinuxRechner). Die Frage welche man nehmen sollte hängt davon ab wie die FW-Ansprüche und die Fähigkeiten des Routers sind (Kenne Fritzbox nicht, habe einen Linuxrouter/Firewall). jedenfalls ist man mit dem LInuxRouter wesentlich flexibler (Oder steckt in der Fritzbox auch ein LInux? )

> (Oder steckt in der Fritzbox auch ein LInux? )
Aber sicher doch

Klar ist ein mit viel Fachwissen selbst konfigurierter Linuxrouter als externes Teil jedem "Baumarktrouter" überlegen. Aber doch wohl hauptsächlich in seiner Flexibilität und seinen vielen möglichen Zusatzfunktionen.
Und dümmer wird man dabei auch nicht. Zumal es auch fertige Entwicklungen wie IP-Cop gibt, welche für lau eine recht hohe Sicherheit und viele sonstige Beigaben bieten. (Anschauen, lohnt sich!)

Aber: ich habe den ersten Satz nicht umsohnst so geschrieben. Man kann nämlich auch einiges falsch machen ... .

Also hier meine Meinung zur gestellten Frage: (@Rudi

1. Die Fritz!Box bringt so viel Sicherheit und auch Komfort mit, dass sie für den Normalnutzer völlig als Firewall ausreicht. Sie ist bereits in der Standardkonfiguration von außen her "dicht" (alle Ports ankommend geschlossen). Mit Hilfe der Weboberfläche können bei Bedarf einzelne Ports geöffnet werden. Das brauchst du aber nur, wenn du selbst Serverdienste anbietest, also keinesfalls zum eigenen Surfen und Mailen.

2. Damit ist diese Box in seiner Funktion mit der aktivierten SUSE-Firewall zu vergleichen. Auch hier ist von außen jeder Port "gleich nach der Aktivierung der FW" schon geschlossen. Und du kannst auch hier bei Bedarf Ports öffnen.

3. Was bei beiden völlig fehlt, ist eine Portfilterung von innen nach außen, so wie das die so genannten "Firewall" auf den WinDOSen machen. Aber dies ist ja in erster Linie als Schutz vor Trojanischen Pferden gedacht. Bei der SUSE-Firewall kannst du (später mal ...) auch Regeln für die abgehenden Ports erstellen.

4. Ich persönlich betrachte ein vorgeschaltetes externes Gerät (wenn es mit Sorgfalt und Fachwissen von einem guten Hersteller kommt bzw. selbst entsprechend konfiguriert wurde und nicht nur eine falsch konfigurierte Bastelkiste ist, sie oben ...) immer als sicherer als die aktivierte Firewall auf der Workstation.

5. Ich sehe auch absolut kein Argument, welches zusätzlich zum Router den Einsatz der SUSE-Fw verbieten sollte. Beide sperren von außen und lassen alles von innen kommende durch. (Alte WinDOSen-Regel: niemals zwei "Firewall" auf einem und demselben Rechner installieren - die können sich echt ins Gehege kommen. Aber das trifft ja hier nicht zu!!!)

MfG /dev/null

Noch ein paar Ergänzungen:
Hier kannst du dein System testen: http://www.heise.de/security/dienste/portscan/

> Also benötigt man eine Firewall um die nicht notwendigen Dienste abzuschalten.
Nicht ganz richtig: Wenn du keine Dienste (Mail- Web- und sonstige Server) zu laufen hast, hast du deren Ports auch nicht offen.

Wobei man dazusagen muss, dass sich die Firewall auf den Fritzboxen (bzw. ähnlichen Geräten) nicht abschalten lässt. Es ist sehr unwahrscheinlich das der Benutzer in seinem internen Netz öffentliche IP Adressen nutzt. Wenn der Benutzer also private IP Adressen nutzt und gleichzeitig im Internet sürfen kann, dann macht der Hardwarerouter _immer_ PAT oder NAT. Würde er das nicht tun könnte der Benutzer nicht im Internet unterwegs sein, da seine Datenpakte private IP Adressen als Quelladressen haben. Diese werden im Internet nicht geroutet und die entsprechenden Pakete also spätestens beim ISP des Benutzers verworfen. Die Firewall ist also quasi immer an (wobei man sich streiten kann ob das jetzt wirklich eine Firewall ist oder "nur" ein Router). Das NAT /PAT lässt auch per Definition keine Verbindung von außen zu - der Router sieht bei einer Anfrage auf Port X seines Outside-Interface nach ob es eine von innen gestartete Verbindung gibt die diesem Port X zugewiesen wurde. Gibt es diese nicht kann der Router nichts anderes tun als das Paket zu verwerfen, denn wohin sollte er das Datenpaket weiterleiten? Er kann nicht entscheiden welchem Host im internen Netz er das schicken soll.

Ergo ist die Firewall auf den Clients in einem solchen Fall _immer_ überflüssig solange man dem eigenen privaten Netz vertraut. Wenn also mein Mitbewohner kein Superhacker ist der mir an die Daten will braucht man auf heimischen PCs keine Firewall.

P.S. Um der Frage vorzubeugen warum man sich dann auf Windows diverse Softwarefirewalls wie Norton Antivirus installieren sollte. Diese Software ist mehr als eine klassische Firewall. Meist ist ein Virenscanner und auch ein Contentfilter eingebaut. Dieser schützt (zumindest laut Herstellerangabe) vor dem herunterladen von Viren und Würmern über präparierte Webseiten. Das kann durchaus sinnvoll sein, hat aber mit der Wirkungsweise einer Firewill im Prinzip nichts zu tun.

Hallo,

o.k. ich dürfte verstanden haben.

Mein Router :
speedTouch 608WL hat folgende Spezifikationen:

• Interfaces
- LAN : 4 ports 10/100Base-T (RJ45) with auto MDI/MDI-X
- WAN : DSL line RJ11 for ADSL/POTS or ADSL/ISDN
• OS independent
• Bridging
• IP Routing: multi-port router (up to 20 PVCs), static routing,
automatic routes (PPP, LAN), source and destination routing
• NAT/PAT
• DHCP: Server and client, spoofing
• BOOTP client
• DNS server and relay
• Embedded firewall with full packet filtering
• WAN protocol model:
- Routed PPPoE/PPPoA
- Relayed PPPoA and DHCP-to-PPP spoofing
- Bridged Ethernet/Routed Ethernet
- Classical IPoA and IPoE
• IP VPN certified by ICSA
- IPSec with Public Key Infrastructure (PKI), online and offline PKI enrollment
- Encryption AES, DES, 3DES, RC5
- Hashing HMAC, MD5, SHA1
- 2 incoming or 1 outgoing IPVPN tunnel


D.h. er hat eine eingebaute Firewall.

Ich kann daher meine Suse deaktivieren, muß aber nicht. Ich habe mein System getestet wie im Link beschrieben und alles ist o.k.

Vielen Dank

Rudi