NAS als FTP per Regel freigeben

[Hobbyfahrer]

Hallo,

habe mir ein kleines Anfänger NAS System von Raidsonic gekauft. Dieses möchte ich nun für FTP dem Internet zur Verfügung stellen.

Da ich bisher mit den Regeln im LC keine Erfahrungen habe bitte ich um Unterstützung.

Ich lege eine Regel an.

Name wähle ich und lasse die Einstellungen so wie vorgegeben in diesem Reiter.

Aktionen lasse ich auch so oder muss ich den Eintrag -Zurückweisen, SNMP- löschen?

QoS stelle ich nichts ein

Stationen? Was stelle ich bei Quelle und Ziel ein? Beide Reiter sehen für mich gleich aus. Irgendwo muss ich doch sagen das FTP Anfrage auf meine IP des NAS Systems gehen sollen.

Bei Diensten klicke ich nur FTP an.


Thorsten

[filou]

Hallo,

>> Ich lege eine Regel an.
Name wähle ich und lasse die Einstellungen so wie vorgegeben in diesem Reiter.

Nenne sie z.B. FTP_NAS_IN

>> Aktionen lasse ich auch so oder muss ich den Eintrag -Zurückweisen, SNMP- löschen?

Bearbeiten und auf "Weiterleiten" umstellen
SNMP, wenn du einen Eintrag bei jedem Zugriff im LanMon finden möchtest.

>> QoS stelle ich nichts ein

Lasse es erstmal so.

>> Stationen? Was stelle ich bei Quelle und Ziel ein? Beide Reiter sehen für mich gleich aus. Irgendwo muss ich doch sagen das FTP Anfrage auf meine IP des NAS Systems gehen sollen.

Quelle: Alle Stationen
Ziel: die Intranet-IP deines NAS

>> Bei Diensten klicke ich nur FTP an.

Ja, sollte ausreichen.

Mache noch eine Portweiterleitung...
Anfangs/Endport: 21
Ziel: Intranet-IP deines NAS
Map-Port: 0 (oder lassen)

[Hobbyfahrer]

Eine Frage noch zur Quelle:

Warum steht da -Alle Stationen im lokalen Netz-? Das will ich doch garnicht alle im Netz?


Warum würde die Portweiterleitung nicht ausreichen?


Thorsten

[filou]

>> Warum steht da -Alle Stationen im lokalen Netz-? Das will ich doch garnicht alle im Netz?

Nicht alle lokalen Stationen, sondern "Alle Stationen" (du wolltest doch das ganze Internet freigeben, oder?)


>> Warum würde die Portweiterleitung nicht ausreichen?

Wenn du keine Deny-All-Regel (bzw. bisher überhaupt keine Regel) hast, dann reicht auch eine einfache Portweiterleitung.

[Hobbyfahrer]

Hallo Jens,

sorry wegen der Fragen.

Ok verstanden das ist das Feld über den Auswahlmöglichkeiten.


Deny-All-Regel bedeutet, dass grundsätzlich alles gesperrt ist und alles von Hand dann per Regel freigegeben werden muss?

Ist das der übliche Weg und wie würde die Regel aussehen? Derzeit habe ich nur das was der Lancom ab Werk eingestellt hat.

Thorsten

[filou]

>> sorry wegen der Fragen.

Kein Problem!

Deny-All-Regel bedeutet, dass grundsätzlich alles gesperrt ist und alles von Hand dann per Regel freigegeben werden muss?

>> Korrekt, eine Deny(Verbiete)-All(Alles)-Regel, gefolgt von Regeln, die spezifische und nur die wirklich benötigten freigeben

>> Ist das der übliche Weg

Je nachdem... Die einen geben sich mit NAT http://de.wikipedia.org/wiki/Network_Ad ... ranslation zufrieden, die anderen, wie z.B. ich, möchten eine richtige Firewall, die auch Zugriffe von intern reguliert. Nur so kann man zusätzlich zu Virenscanner und anderen Maßnahmen, bösartige und ungewollte Verbindungen feststellen und verhindern.

>> und wie würde die Regel aussehen?

*** http://www2.lancom.de/kb.nsf/fe78f8220e ... enDocument

>> Derzeit habe ich nur das was der Lancom ab Werk eingestellt hat.

Die WINS-Regel?
Wenn du eine Deny-ALL-Strategie fährst (*** siehe oben), dann kann diese Regel entfernt werden.

[Hobbyfahrer]

Danke Jens

habe nun meine FW auch mit DENY-ALL eingerichtet.

Ich habe noch ein grundsätzliches Verständigungsproblem.

Was ist bei der Verbindungsquelle und Ziel der Unterschied zwischen allen Stationen und allen Stationen im lokalen Netz?

Leider melden sich meine Dus.Net VoIP Accounts nicht mehr an. Muss ich da auch etwas einrichten und was?


Thorsten



P.S. Muss ich NTP auch extra freischalten?

[backslash]

Hi filou

Die WINS-Regel?
Wenn du eine Deny-ALL-Strategie fährst (*** siehe oben), dann kann diese Regel entfernt werden.

nicht ganz, denn diese Regel ist primär nicht dazu da NetBIOS-Verbindungen zu verhindern, sondern sie unterbindet den Versuch von Windows NetBIOS-Namen über DNS aufzulösen.

Selbst wenn du eine Deny-All Regel hast, mußt du DNS freischalten um überhaupt ins Internet zu kommen - und damit schaltest du auch die völlig unsinnige DNS-Auflösung für NetBIOS-Namen frei...

Also: Die WINS-Regel auch bei einer Deny-All Regel beibehalten!

Gruß
Backslash

[filou]

@Thorsten

>> Was ist bei der Verbindungsquelle und Ziel der Unterschied zwischen allen Stationen und allen Stationen im lokalen Netz?

Alle Stationen = Alle ...also Intranet und Internet
Alle lokalen Stationen = Intranet


>> Leider melden sich meine Dus.Net VoIP Accounts nicht mehr an. Muss ich da auch etwas einrichten und was?

Lass als Aktion an der Deny-ALL SNMP zu, dann siehst du im Lanmonitor, was diese Regel blockt und du kannst diese Ports/Protokolle gezielt freischalten.


>> Muss ich NTP auch extra freischalten?

Hatten wir das nicht erst, oder war das jemand anderes?
Ich habe das nicht mehr, musste das damals aber auch für den LC freischalten, dass es funktionierte (Port 123/TCP).
Andere Meinungen sagen aber, für den LC selbst brauchst du es nicht, nur wenn eine Intranet-Station die Zeit selbst vom Internet holen will.


@backslash
Das verwirrt mich aber.
Sollte die Deny-All-Regel nicht auch die Ports 137-139/TCP/UDP mit einschließen?

[backslash]

Hi filou

Sollte die Deny-All-Regel nicht auch die Ports 137-139/TCP/UDP mit einschließen?

das schon, aber in dem Moment, in dem du sagst, daß DNS erlaubt ist, gehen auch DNS-Anfragen, die als QUELL-Port 137 haben durch - und das sind genau die Versuche von Windows NetBIOS-Namen über DNS aufzulösen... Schau dir die WINS-Regel mal genau an...

Gruß
Backslash

[filou]

Hallo backslash,

Schau dir die WINS-Regel mal genau an...

Hmmm? Da steht genau, wie an der Deny-ALL-Regel... sofort zurückweisen, hält Verbindungszustände nach, von allen, an alle Stationen, Port-Quelle 137-139...

Genau das habe ich doch an der DA-Regel auch, nur das diese alle Ports und Protokolle einschließt ...Quell- und Zielports gemeinsam, oder ist das nicht der Fall?

[backslash]

Hi filou,

das Problem ist, daß du in dem Moment, in dem du eine Regel erstellst, die DNS zuläßt (was du ja machen mußt, wenn du ins Internet willst), also

Quelle: lokales Netz, Ziel: alle Stationen, Dienste: Quellport beliebig, Zielport 53, Aktion: übertragen

auch genau die Anfragen von Windows durchläßt! Die haben nämlich als Quellport 137 und als Zielport 53... Und genau diese Pakete werden mit der WINS-Regel (QUELL-Port 137!) doch noch gefangen...

Alles andere, bei dem Windows als Zielport 137-139 verwendet, fängst du mit der Deny-All Regel. Da Windows aber zudem noch so "lieb" ist, auch bei normalem NetBIOS-Traffic immer die QUELL-Ports 137-139 zu benutzen, blockt die WINS-Regel auch ohne weitere Deny-All Regel das ganze NetBIOS-Geraffel auf der Defaultroute ab.

Gruß
Backslash

[filou]

Moin backslash,

eine Regel .... die DNS zuläßt .... die Anfragen von Windows durchläßt! Die haben nämlich als Quellport 137 und als Zielport 53... .

Schwere Geburt, aber nun... Klar!

Manchmal sieht man den Wald vor lauter....

[Hobbyfahrer]

Sorry aber ich habe ein Brett vor meinem Kopf.

Ich kann nicht verstehen was genau mit Verbindungs-Quelle und Verbindungsziel gemeint ist. Aus welcher Sicht sieht man das denn?


Ich möchte z.B. meinen Anschluss über das Internet für FTP freigeben.

Dann bedeutet Verbindungsquelle (weil dort die Anfrage herkommt also Quelle?) da ich das Internet meine und Ziel ist das lokale Netzwerk mit einer bestimmten IP für den FTP Server?

Ich möchte für einen lokalen Rechner das NTP freigeben.

Also ist die Quelle das lokale Netzwerk und das Ziel das Internet also dann alle Stationen?

Ist das so richtig?


Thorsten

[filou]

Hallo Thorsten,

Genau so hast du es richtig verstanden.

Wenn Anfragen aus dem Internet kommen, dann sind alle Teilnehmer im WAN die Quelle und das Ziel ist das LAN.

Sollen Anfragen ins WAN gehen, dann ist das Intranet die Quelle.

So kannst du in beide Richtungen regeln.

D.h. wenn du etwas in deinem Intranet für alle Internetnutzer freigeben willst, dann musst du das Internet (Alle Stationen) als Quelle behandeln und die Intranet-IP ist das Ziel.

Du baruchst aber z.B. eine DNS-Anfrage (Port 53) an den DNS-Server deines ISP schickst, musst nicht extra dafür eine Antwortport vom WAN zurück in LAN freigeben, denn die Verbindungszustände werden nachgehalten und die Antwort bekommt auch der Client, der die Anfrage veranlasst hat.