Portscan von innen nach aussen erlauben

gm · Beitrag von gm » 18 Jun 2007, 23:33

Hallo,

gibt's eine Möglichkeit Portscans von innen nach aussen zu erlauben? Habe derzeit das Problem, dass eine bestimmte IP über tage hinweg probiert bei mir in das VPN reinzukommen. Würde gern mal mit nmap checken was das ist, blos leider erkennt der LANCOM meinen Scan und blockiert ihn...

Viele Grüße
Gerhard

filou · Beitrag von **filou** » 19 Jun 2007, 06:08

Moin!

Da mach doch einfach die Zielports (Portrange), die du scannen willst auf.
Als Quelle die Station die scannt, mit dem Ziel "alle Stationen".

Beitrag von **LoUiS** » 19 Jun 2007, 08:45

Hi,

schalte in der Firewall in den Tabs "DoS" und "IDS" die Paketaktion auf "Uebertragen", dann sollte das funktionieren.

Ciao
LoUiS

filou · Beitrag von **filou** » 19 Jun 2007, 09:52

@LoUiS

Wenn er von einem Intranetrechner eine ext. IP scannt schlägt das IDS des Lancom an?

Dann habe ich die Frage wohl falsch verstanden...

backslash · Beitrag von **backslash** » 19 Jun 2007, 12:35

Hi filou

Wenn er von einem Intranetrechner eine ext. IP scannt schlägt das IDS des Lancom an?

ja, denn du willst auch unterbinden, daß die eine Virenschleuder in deinem Netz sitzt und munter Verbindungen öffnet um sich zu verteilen...

Gruß
Backslash

filou · Beitrag von **filou** » 19 Jun 2007, 12:43

Ja, aber er(gm) will doch einen Portscan zu einer ihm bekannten IP durchführen. Wenn die Zielports dorthin frei sind... warum sollte das nicht reichen? Er will doch kein DoS starten...
Der Portscan richtet sich doch nicht an das(sein eigenes) Gateway(Lancom).
Warum sollte dabei die DoS-Erkennung und IDS des Lancoms Alarm schlage, wenn die Zielports geöffnet sind

Beitrag von **LoUiS** » 19 Jun 2007, 13:09

Warum sollte dabei die DoS-Erkennung und IDS des Lancoms Alarm schlage, wenn die Zielports geöffnet sind Confused

Weil nicht nur er das kann, sondern jeder Virus/Trojaner etc. auch.
Darum wird es grundsaetzlich vom LAN abgehend ins WAN verboten, auch ohne eine Deny-All Regel. Willmann es zulassen muss man halt auf uebertragen konfigurieren, damit IDS und/oder DoS nicht zuschlagen.

Ciao
LoUiS

filou · Beitrag von **filou** » 19 Jun 2007, 16:30

Da stand ich wohl auf´m Schlauch

Hab´s aber mal gecheckt... Ihr habt recht!

gm · Beitrag von gm » 19 Jun 2007, 19:51

Hallo,

funktioniert perfekt. Nur noch eine kleine Frage: Wieso kommt beim Traceroute (vom Privatnetz ins Internet) ein Timeout bei der eigenen öffentlichen IP am Router?

Gruß
gm

Jirka · Beitrag von **Jirka** » 19 Jun 2007, 20:29

Hallo gm,

vielleicht hast Du in der Firewall Ping blockieren eingestellt.
(LANconfig -> Firewall/QoS -> Allgemein -> Ping blockieren)

Viele Grüße,
Jirka

gm · Beitrag von gm » 19 Jun 2007, 20:40

Hi Jirka,

was müsste ich einstellen wenn der Ping von extern blockiert werden soll, aber nicht von intern?

Gruß
gm

Beitrag von **LoUiS** » 19 Jun 2007, 20:50

was müsste ich einstellen wenn der Ping von extern blockiert werden soll, aber nicht von intern?

Wenn Du auf Deine externe IP pingen willst, so kannst Du das allgemein verbieten, oder eben erlauben. Da wird nicht unterschieden, ob der Ping aus dem LAN raus aufs WAN geht oder direkt aus dem WAN kommt.

Ciao
LoUiS