|
Weil in den Foren immer wieder darum gebeten wird, doch einmal eine ,einfache' Anleitung für das Firewall-Setup zu schreiben, habe ich mich in dieser Auflage der
Anleitung dazu entschlossen, ein Quickstart-Regelwerk aufzunehmen (und wenn es nur dem Zweck dient zu belegen, dass es nicht geht).
Einstellung im General-Setup: Call-Filter Enable Start Filter Set Set#1
Data-Filter Enable Start Filter Set Set#1
Log Flag None
MAC Address for Logged
Packets Duplication 0x000000000000
� Accept Incoming Fragmented UDP Packets ( for some games, ex. CS )
Filter Set 1 Comments Quickstart Next Filter Set None
Source Destination
Rule
Comments
Check to enable
Pass or Block
Branch to other
Filter Set
Duplicate to LAN
Log
Direction
Protocol
IP-Adresse
Subnet Mask
Operator
Start Port
End Port
IP-Adresse
Subnet Mask
Operator
Start Port
End Port
Keep State
Fragments
1 DNS X PI None
out UDP any 255.255.255.255/32 = any 255.255.255.255/32 = 53 Don't Care
2 http (80) X PI None
out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 80 Don't Care
3 https(443) X PI None
out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 443 Don't Care
4 POP3(110) X PI None
out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 110 Don't Care
5 SMTP(25) X PI None
out TCP any 255.255.255.255/32 = any 255.255.255.255/32 = 25 Don't Care
6 Block out X BI None
out any any 255.255.255.255/32 = any 255.255.255.255/32 = Don't Care
7 Block in X BI None
in any any 255.255.255.255/32 = any 255.255.255.255/32 = Don't Care
Anmerkung: Mit diesem Filter-Set müssten die meisten Anwender mit einer Firmware ab 2.1a im Internet surfen und eMails verschicken und abholen können
(Wenn das nicht klappt, bleibt nichts anderes übrig, als den Rest der Anleitung durchzulesen). Vieles (Newsgroups, ftp, Mediastreaming usw.) funktioniert natürlich
nicht. In den übrigen Teilen der Anleitung finden Sie aber ausreichend Hilfe, um das Set Stück für Stück auszubauen, um alle Möglichkeiten des Internets trotz
Firewall nutzen zu können (Die Anleitung ist übrigens weniger wegen der Vigor-Firewall so ,dick', sondern weil sie sich mit einer Reihe von Sicherheitslücken
befasst, die nur in sehr bescheidenem Umfang von der Firewall geschlossen werden können). Das Regelwerk ist auch nicht besonders sicher, aber selbstverständlich
viel besser, als die Firewall abzuschalten. Als nächste Sicherheitsmaßnahme würde ich mir zu den Regeln 1, 4 und 5 vom Provider die Adressen der DNS- und
Mail-Server besorgen und in das Regel-Set unter Destination-IP-Adresse eintragen. Danach würde ich mich entsprechend meiner ganz persönlichen ,Hitliste' der
wichtigsten Sicherheitsmaßnahmen in der folgenden Reihenfolge um die weitere Absicherung kümmern: 1. Virenscanner mit aktuellen (!) Virensignaturen - 2. Keine
Administrator-Rechte beim Surfen (s. Hinweise) - 3. ActiveX abstellen, zumindest einschränken (s. Begriffserläuterungen) - 4. Desktop-Firewall installieren.
|
