Firewall am Router

[MarcusBe]

Hey,

ich komme einfach nicht weiter oder ich habe einen Denkfehler? Ich habe meine Firewall im Router und soll für den Rechner mit 192.168.12.18 den eingehenden und ausgehenden Datenverkehr für den Port 80 bzw. für HTTP erlauben erlauben. Also, dass dieser Webseiten aufrufen kann. Ich habe folgende Regeln:

Richtung Eingehend | Quell-IP: 0.0.0.0 | Quellport: 1024-65535 | Ziel-IP: 192.168.12.18 | Zielport: 80 | 

Richtung Ausgehend| Quell-IP: 192.168.12.18 | Quellport: 1024-65535 | Ziel-IP: 0.0.0.0/0 | Zielport: 80 | 

Habe ich die Quellports und die Zielports vertauscht? Wenn ja, wieso? Das Ziel ist doch immer der Port 80. Mir geht nur darum, das Prinzip zu verstehen.

 

Danke im voraus!

[ErB777]

Am 17.5.2024 um 17:37 schrieb MarcusBe:

Also, es geht eigentlich um die Firewall an meinen Router Fritz Box 7590…  es geht auch nicht darum, dass ich das jetzt praktisch umzusetzen. Ich hab jetzt nur gemerkt, dass ich es einfach nicht verstehe. Und das wurmt mich gerade. Teils finde ich dann sogar nur einen Port den man angeben kann…das wird ja bei der Ausgangsregel der Zielport und bei der Eingangsregel der Quellport sein. 
 

Danke für deine Mühen!

 

Eine Fritzbox als Beispiel für das Verständnis von Firewalls zu erlernen, ist nicht gerade die beste Gerät. Nutze da lieber zum testen  als virtuelle  Maschinen pfsense oder jegliche *sense Ableger. Oder von Enterprise-Ablegern kann man auch SophosHome nutzen - probiere es aus.

In deinem Video liest du die Tabelle falsch. Der angegebene Port 80 bei 2:52 ist ein Ziel-Port, kein Quellport.
Der Quellport wird irgendein nicht-Standart Port sein, bspw. 50789.

Ich übersetze dir mal die erste Zeile im Video.

Zustand: Erlauben
Quell-IP: 162.213.214.140
Quell-Port: any ( 49152–65535 )
Protokoll: TCP
Ziel-IP: any (jegliche IP-Adresse ist damit gemeint)
ZIel-Port: 80

(Firewall-Regel für den Rückweg ist hier nicht zu bauen, wenn SPI zum Einsatz kommt)

 

**Off Topic ON **

Quellports im Arbeitsleben sind mit Firewalls eher uninteressant, da die meisten Firewalls das Prinzip 'Stateful Packet Inspection' (SPI) verwenden. Firewalls ohne SPI sind in der Handhabung dann wirklich so, dass du Firewallregeln in BEIDE Richtungen erstellen musst.

Bei einem groẞen mittelständischen Kunden können ohne Probleme ca. 100 Firewall-Regel aufgebaut sein, je nach Vorgaben.
Ohne SPI wäre die Anzahl Faktor x2, also ca. 200 Firewall-Regel.

** Off Topic OFF**

[Destructor]

Hallo,

um was für eine Firewall handelt es sich? Statefull? Falls ja, dann brauchst du eingehende Regeln nicht zu machen, da die Firewall bestehende Verbindungen automatisch erkennt.
 

vor einer Stunde schrieb MarcusBe:

Richtung Eingehend | Quell-IP: 0.0.0.0 | Quellport: 1024-65535 | Ziel-IP: 192.168.12.18 | Zielport: 80 | 

Nein, das ist falsch. Das wäre nur richtig, wenn auf dem Host mit der IP 192.168.12.18 ein Webserver laufen würde und du diesen von extern erreichbar machen möchtest. Du möchtest aber lediglich, dass der Host externe Webseiten aufrufen kann. Im Falle von Stateless Firewalls würde ich dir an dieser Stelle auch empfehlen den TCP Flag ACK zu setzen, falls dies die Firewall unterstützt.

Grundsätzlich gilt: wenn ein Server einen Dienst bereitstellt, dann benutzt er einen Port aus dem Well Known Bereich z.B. Port 80 für HTTP. Clients nutzen für Requests grundsätzlich nur Ports aus dem dynamischen Portbereich. Das ist notwendig z.B. wenn du mit deinen Browser verschiedene Requests zu unterschiedlichen Webservern gleichzeitig durchführen möchtest.


 

Bearbeitet 9. Mai von Destructor

[MarcusBe]

vor 1 Stunde schrieb Destructor:

Falls ja, dann brauchst du eingehende Regeln nicht zu machen, da die Firewall bestehende Verbindungen automatisch erkennt.

 

Ah, okay. Aber ich möchte es trotzdem verstehen: Also wäre es so korrekt?: 

Eingehender Verkehr:

 

Quellport: 1024-65535 

Zielport: 80

Proktoll: TCP

 Ziel-IP: 192.168.12.18

 Quell-IP: 0.0.0.0 

Für ausgehenden Datenverkehr:

Quellport: 80

Zielport: 49152-65535 

Proktoll: TCP

Ziel-IP: 0.0.0.0/0

 Quell-IP: 192.168.12.18 

 

Bearbeitet 9. Mai von MarcusBe

[Destructor]

Nein. Nun sind sowohl die Regel für den eingehenden als auch für den ausgehenden Verkehr falsch!

Überlege dir erstmals was du überhaupt machen möchtest. Du hast einen Client, der auf einen Webserver zugreifen möchte. Der Webserver bietet seinen Dienst auf Port 80 an, d.h. für den ausgehenden Verkehr brauchst du eine Regel mit Zielport 80. Der Client selbst wählt seinen Port eigenständig aus dem dynamischen Portbereich aus. Nur dadurch ist der Client in der Lage mit mehreren Webservern gleichzeitig zu kommunizieren. Als Quellport muss daher der dynamische Portbereich genannt werden. (49152-65535)

Jetzt kann der Client schon mal eine Verbindung zum Webserver herstellen. Der Webserver möchte nun den Client antworten. Dafür braucht es nun bei einer Stateless Firewall eine eigene eingehende Regel, d.h. der Quellport ist der Port 80 vom Webserver. Der Zielport ist der Port, den der Client für die Verbindung benutzt hat. Da dieser durch den Client selbstständig aus dem dynamischen Portbereich ausgewählt wird, musst du als Quellport den dynamischen Portbereich angeben. Bei der eingehenden Regel wäre noch optional aber sehr sinnvoll die Angabe eines TCP Flags (ACK) notwendig, damit die Firewall wirklich nur bestehende Verbindungen durchlässt.

Ich hoffe diese Erklärung ist nun verständlicher.

[MarcusBe]

Dass der Client mit mehreren Servern gleichzeitig kommunizieren kann, war der der „Aha Moment“. Danke.  Dann müsste es so sein :)?
Ausgehender Verkehr:

 

Quellport: 49152-65535 (dynamisch vom Client zugewiesen)

Zielport: 80 (Webserver)

Protokoll: TCP

Ziel-IP: 0.0.0.

Quell-IP: 192.168.12.18

Für eingehender Datenverkehr 

Quellport: 80 (Webserver)

Zielport: 49152-65535 (dynamisch vom Client zugewiesen)

Protokoll: TCP

Ziel-IP: 192.168.12.18

Quell-IP: 0.0.0.0/0

 

[Destructor]

Ja. Nun sieht das gut aus.

[MarcusBe]

Super. Deine letzte Erklärung war Mega gut. Danke

[MarcusBe]

Nur fürs Interesse. Wenn ich die Regel auf verbieten setzen möchte, kann ich den Quellport bei ausgehend und den Zielport bei eingehend auf beliebig setzen? Oder reichen hier auch nur49152-65535 ?

[ErB777]

Am 10.5.2024 um 18:57 schrieb MarcusBe:

Nur fürs Interesse. Wenn ich die Regel auf verbieten setzen möchte, kann ich den Quellport bei ausgehend und den Zielport bei eingehend auf beliebig setzen? Oder reichen hier auch nur49152-65535 ?

Was nutzt du für eine Firewall?

Kennt deine Firewall den Status Allow, Deny/Drop oder Reject nicht? Um etwas verbieten, brauchst du nur den Status deiner Regel von Allow zu Deny/Drop ändern.

[MarcusBe]

Also, es geht eigentlich um die Firewall an meinen Router Fritz Box 7590…  es geht auch nicht darum, dass ich das jetzt praktisch umzusetzen. Ich hab jetzt nur gemerkt, dass ich es einfach nicht verstehe. Und das wurmt mich gerade. Teils finde ich dann sogar nur einen Port den man angeben kann…das wird ja bei der Ausgangsregel der Zielport und bei der Eingangsregel der Quellport sein. 
 

Danke für deine Mühen!

[MarcusBe]

Hier wird bei 2:52 ja dann auch nur ein Port angegeben. Und das muss ja dann der Quellport sein. Sprich, das muss ja dann der Quellport sein, weil es sich ja um eine eingehende Verbindung handelt. Also schließe ich daraus, dass die Angabe von einem Port reicht in diesem Fall?  

[MarcusBe]

Lieben Dank für deine Erklärungen. Das hilft mir weiter…