Ports und Programme freischalten bei 821

[Fischgebruell]

Hallo.

Ich bekomme es einfach nicht hin, bestimmte Ports für einen Rechner in meinem Netzwer freizuschalten.
Auch konnte ich in dem Router keine Einstellung finden, bei dem ich einen Rechner im Netzwerk als DMZ einrichten kann.

Also, wie kann ich einen Rechner im Netzwerk bestimmte Ports freischalten und einen Rechner als DMZ schalten?
Wäre sehr dankbar, wenn mir jemnd helfen kann.



(Ich hatte vorher einen Draytek Vigor Router, bei dem war es super einfach alle Einstellungen vorzunehmen, aber der Lancom ist total kompliziert. Rechner als DMZ einstellen und Ports öffnen gibg ohne Probleme.)

[filou]

Hallo,

Also, wie kann ich einen Rechner im Netzwerk bestimmte Ports freischalten

Hast du diesen thread schon durchgelesen ...steht doch alles da!

einen Rechner als DMZ schalten?

Lanconfig:
TCP/IP > DMZ-IP u. Netzmaske eintragen!

[Fischgebruell]

Ja, natürlich habe ich alles durcuhgelesen und alles so eingestellt wie beschrieben (eben nur mit den Ports, die ich haben will).

Wenn ich bei "TCP/IP > DMZ-IP u. Netzmaske eintragen!" die IP von meinem Rechner, der als DMZ geschaltet werden soll, eintrage, erscheint bei dem Rechner ein Fenster mit der Fehlermeldung, daß ein IP Konflikt eingetreten ist und der Rechner möglicherweise nicht mehr richtig funktionieren kann. Wenn ich dies dann mit "ok" bestätige, funktioniert der Rechner als DMZ aber immernoch nicht! Also DMZ geht irgendwie nicht.
Was mache ich, wenn ich zwei Rechner als DMZ in dem Router einrichten will?

Frage zu den Ports freischalten:
Konfigurationsmenü -> Firewall/QoS -> Regeln -> Regel auswählen -> ....
Was mus ich da bei "Aktionen" und "QoS" eintragen oder soll ich alles daraus löschen und freilassen?

[filou]

Fehlermeldung, daß ein IP Konflikt eingetreten ist und der Rechner möglicherweise nicht mehr richtig funktionieren kann.

Versuchst du vielleicht, eine IP aus dem Intranet zubenutzen?
Wenn Intranet z.B. 192.168.1.0 ist, dann nimm z.B. 192.168.2.0, wenn NM 255.255.255.0 ist!

Was mache ich, wenn ich zwei Rechner als DMZ in dem Router einrichten will?

z.B. 192.168.2.253 u. 192.168.2.254 dann Netzmaske 255.255.255.252 eintragen.
Für ganzen Bereich Netzmaske 255.255.255.0 (254 Hosts!)
Siehe auch (for learning): http://www.msisafaq.de/Anleitungen/Vers ... ubnetz.htm

Konfigurationsmenü -> Firewall/QoS -> Regeln -> Regel auswählen -> ....
Was mus ich da bei "Aktionen" und "QoS" eintragen oder soll ich alles daraus löschen und freilassen?

Nochmals genauer bitte ...Was willst du machen?
(Eventuell neuen thread öffnen!)

[Fischgebruell]

Fehlermeldung, daß ein IP Konflikt eingetreten ist und der Rechner möglicherweise nicht mehr richtig funktionieren kann.

Versuchst du vielleicht, eine IP aus dem Intranet zubenutzen?
Wenn Intranet z.B. 192.168.1.0 ist, dann nimm z.B. 192.168.2.0, wenn NM 255.255.255.0 ist!

Was mache ich, wenn ich zwei Rechner als DMZ in dem Router einrichten will?

z.B. 192.168.2.253 u. 192.168.2.254 dann Netzmaske 255.255.255.252 eintragen.
Für ganzen Bereich Netzmaske 255.255.255.0 (254 Hosts!)
Siehe auch (for learning): http://www.msisafaq.de/Anleitungen/Vers ... ubnetz.htm

Konfigurationsmenü -> Firewall/QoS -> Regeln -> Regel auswählen -> ....
Was mus ich da bei "Aktionen" und "QoS" eintragen oder soll ich alles daraus löschen und freilassen?

Nochmals genauer bitte ...Was willst du machen?
(Eventuell neuen thread öffnen!)

Ja, ich gebe bei DMZ die Intranet-Adresse dessen PC an, der als DMZ laufen soll. Ist das nicht richtig?

Im Anhang habe ich ein Paar Bilder angefügt, bei dem du die Fenster sieht, die ich meine.
Frage dazu: Muss ich da was einstellen/konfigurieren? Wenn ja was und warum? Danke

[filou]

Ja, wie geschrieben, die DMZ ist deshalb eine DMZ, weil sie vom Intranet getrennt ist und deshalb einen anderen IP-Breich benutzt.
Zwischen DMZ und Intranet steht noch die Firewall und der Zugriff zwischen beiden muss mit Firewallregeln geregelt werden.

Wenn die Screenshots zu einer Regel gehören, die etwas freigeben sollen, dann muss zu die auf sofort "weiterleiten" umstellen. QoS ist eine andere Geschichte und du brauchst dort vorerst keine Einträge!

SNMP(Lanmonitor) benötigst du auch nur, wenn du am Lanmonitor beobachten willst, was durch diese Regel geht und wenn du erlaubst, dann ist das normalerweise überflüssig. ....Nützlich bei speziellen Deny-Regeln!

[Fischgebruell]

Ja, wie geschrieben, die DMZ ist deshalb eine DMZ, weil sie vom Intranet getrennt ist und deshalb einen anderen IP-Breich benutzt.
Zwischen DMZ und Intranet steht noch die Firewall und der Zugriff zwischen beiden muss mit Firewallregeln geregelt werden.

Wenn die Screenshots zu einer Regel gehören, die etwas freigeben sollen, dann muss zu die auf sofort "weiterleiten" umstellen. QoS ist eine andere Geschichte und du brauchst dort vorerst keine Einträge!

SNMP(Lanmonitor) benötigst du auch nur, wenn du am Lanmonitor beobachten willst, was durch diese Regel geht und wenn du erlaubst, dann ist das normalerweise überflüssig. ....Nützlich bei speziellen Deny-Regeln!

Ahhh, so läuft das mit der DMZ. Danke. Somit muss ich dies so z.B. konfigurieren:
Eigene Rechner im Netz IP z.B. 192.168.1.x (x= 1-254) / Maske 255.255.255.0
DMZ Rechner im Netz 192.168.3.x (x= 1-254) Maske 255.255.255.0 .
Die normalen Rechner (z.B. 192.168.1.1) können aber noch weiter per Intranet mit dem DMZ Rechner (z.B. 192.168.3.1) noch kommunizieren?

ZumPort freigeben im Anhang noch ein Bild im Anhang:
Also muss beim Trigger (linkes Fenster) "sofort" stehen?
Was muss ich bei dem rechetn Fenster bei "Bedienung", "Trigger","Paket-Aktion" und "sonstige Maßnahmen" eintragen/einstellen?

[filou]

Intranet mit dem DMZ Rechner (z.B. 192.168.3.1) noch kommunizieren?

Dafür brauchst du noch eine Regel in der Firewall* Allow_Intranet_DMZ(schrieb ich ja schon!):
(*Das ist ja Sinn und Zweck der DMZ, dass Intranet und DMZ getrennt sind durch die Firewall)
-Sofort Übertragen
-Quelle 192.168.1.0 für Range oder 192.168.1.1 für diese einzelne Station
-Ziel 192.168.3.1
-Protokolle alle
-Dienste alle

,oder mehrere Regeln, wenn du nur bestimmte Dienste freigeben willst.
Je nachdem, was du auf dem DMZ-Rechner machen willst, auch noch Regeln mit Quelle 192.168.3.1 nach Ziel Intranet-Rechner (Freigaben o.s.w.)

Also muss beim Trigger (linkes Fenster) "sofort" stehen?

Ja

Was muss ich bei dem rechetn Fenster bei "Bedienung", "Trigger","Paket-Aktion" und "sonstige Maßnahmen" eintragen/einstellen?

Erstmal nix!

Wenn das dann alles funktioniert, schalte noch den "Private Mode" ein, wenn beide, DMZ und Intranet, am Router-Switch(verschiedene ETH-Ports) hängen. So hast du "damit" höchstmögliche Sicherheit!

[crissiloop]

Habe jetzt Filous Konfiguration für Emule gefunden und wollte fragen, ob ich diese dann für das Programm PCAnywhere übertragen kann natürlich mit den entsprechenden Ports TCP 5631 und UDP 5632?

Ich habe es wie folgt probiert und es klappt natürlich nicht:

ALLOW_PCANYWHERE_OUT_1
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - UDP benutzerdefiniert: Quellports: 5632

ALLOW_PCANYWHERE_IN_1
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen Stationen
Ziel - Verbindungen an folgenden Stationen: Intranet-IP
Dienste - UDP benutzerdefiniert: Zielports: 5632

Und dasselbe nochmal für 5631 TCP

Muss ich jetzt sowohl bei den ausgehenden als auch bei den eingehenden Regeln die Zielports angeben, wie bei Filou? Ich dachte bei ausgehenden regeln den Quellport und bei eingehenden den Zielport, weil die so aktivierte werden, wenn man die Stationen angibt. Oder in Quell und Zielport dasselbe?

Die Einträge in der Servicetabelle für die Weiterleitung der Ports auf die interen IP habe ich natürlich schon gemacht.

Moin,

http://64.236.34.97:80/stream/1074

Hier ist der Port 80 ...direkt hinter der IP(:).



ALLOW_EMULE_OUT/UDP
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - UDP benutzerdefiniert: Zielports 4665,4672

ALLOW_EMULE_IN/UDP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen Stationen
Ziel - Verbindungen an folgenden Stationen: Intranet-IP
Dienste - UDP benutzerdefiniert: Zielports 4672

ALLOW_EMULE_IN/TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von allen Stationen
Ziel - Verbindungen an folgenden Stationen: Intranet-IP
Dienste - TCP benutzerdefiniert: Zielports 4662

ALLOW_EMULE_OUT/TCP
Aktionen: Sofort übertragen
Quelle - Verbindungen von folgenden Stationen: Intranet-IP
Ziel - Verbindungen an alle Stationen
Dienste - TCP benutzerdefiniert: Zielports 4661-4662

Eine fünfte Regel wird benötigt, wenn der emule-Webserver aktiv sein soll, aber darauf verzichte ich

Alle Regeln und Portforwarding werden erst bei Bedarf via TFTP aktiviert bzw. danach deaktiviert und sind so nicht ständig aktiv!

P.S. Alles ohne Gewähr!