elmeg T484 Bedienungsanleitung Seite 28

Firewall-Filter konfigurieren
Interface
Connection
Quelladressdefinition
Zieladressdefinition
Warnhinweis für Port-
Protokollzugehörigkeit
Beispiel zur Konfiguration eines Filters für die Freigabe der Firewall für das Web-Browsen
Zuerst wird das Verhalten nach letzter Filterregel auf »Verwerfen« eingestellt.
Um Seiten des World Wide Web darstellen zu können, müssen die IP-Pakete zweier Dienste durch die Firewall gelei-
tet werden: DNS zur Namensauflösung und der »html-Datenstrom«. Wird eine URL in den Web-Browser eingege-
ben, so löst der Browser per DNS-Abfrage den Klarnamen (z. B. www.Telekom.de) in eine IP-Adresse auf (in diesem
Beispiel 217.160.73.88) auf. Danach stellt der Browser zu dieser IP-Adresse per TCP/IP mindestens eine Verbindung
her. Daraus leitet sich folgende Filterkonfiguration ab:
Für DNS (Protokollname: domain) ist das UDP- und das TCP-Protokoll auf den Ziel-Port 53 eines beliebigen
DNS-Servers von jedem unprivilegierten Port freizugeben, entsprechendes gilt für den Rückweg.
Für http-Requests ist für das TCP-Protokoll über das WAN-Interface von unprivilegierten Ports der Zugriff auf be-
liebige Zieladressen für den Port 80 zu ermöglichen. Der Rückweg für Antwortpakte muss entsprechend freigegeben
werden: Von beliebigen IP-Adressen aus dem Internet (0.0.0.0 / 0) von Port 80 auf unprivilegierte Ports der
WAN-Adresse der TK-Anlage.
Beispiel zur Konfiguration eines Portmapping – Eintrages für die Firewall für das ssh – Protokoll
Das ssh Protokoll (secure shell) wird u. a. verwendet, um Webserver zu administrieren oder um VPN – Tunnel zu
realiseren. Per ssh – Protokoll werden die Daten verschlüsselt übertragen (das ist für die Konfiguration der Firewall
allerdings ohne Belang). Üblicherweise wird der Port 22 des Protokolls TCP verwendet. Im Beispiel hat der Webser-
ver in Ihrem LAN die IP-Adresse 192.168.1.42 fest zugeordnet. Für diesen Webserver in Ihrem LAN soll der Admi-
nistrations-Zugriff per ssh aus dem Internet ermöglicht werden. Beachten Sie bitte, dass Sie äquivalente Filter für
den Port 80 benötigen, wenn die Inhalte des Webservers aus dem Internet zugänglich sein sollen
Basierend auf diesen Informationen müssen bei einem voreingestellten »Verhalten nach letzter Filterregel à Dis-
card« drei Regeln für die Firewall erstellt werden:
ssh_MAP:
ssh_WAN_in:
ssh_WAN_out:
24
Hier definieren Sie die Schnittstelle, für den entsprechenden Filter. Gegenwärtig wird
in den meisten Fällen die Einstellung »WAN« sinnvoll sein, da auf den internen
Schnittstellen alle Pakete zulässig sind.
In diesem Feld wird die Richtung der IP-Pakete festgelegt, für die der konfigurierte Fil-
ter gültig ist. Mögliche Parameter: in, out und in/out (bidirektional).
In diesem Feld legen Sie die Ursprungsadresse der IP-Pakete fest, für die dieser Filter
gültig ist. Bitte beachten Sie die durch Platzhalter möglichen Abstraktionen.
In diesem Feld legen Sie die Zieladresse der IP-Pakete fest, für die dieser Filter gültig
ist. Bitte beachten Sie die durch Platzhalter möglichen Abstraktionen.
Wird versucht, in das Feld für den TCP-Port einen unbekannten Namen einzutragen,
so erscheint eine Warnmeldung. Sollte diese als störend empfunden werden, so kann
die Meldung durch Entfernen des entsprechenden Häkchens unterdrückt werden.
Dieser Filter leitet eintreffende Pakete von beliebigen IP-Adressen und unprivilegier-
ten Ports auf die internetseitige IP-Adresse des Routerteils der TK-Anlage weiter an
den Rechner mit der IP-Adresse 192.168.1.42, der Port 22 wird beibehalten.
Dieser Filter erlaubt eintreffenden Pakten von beliebigen IP-Adressen und unprivile-
gierten Ports auf die internetseitige IP-Adresse des Routerteils der TK-Anlage.
Dieser Filter erlaubt ausgehenden Paketen von Port 22 das Passieren des WAN-Inter-
faces (das ist der Anschluss des DSL-Modems oder die ISDN-Wählverbindung in das
Internet) zu beliebigen IP-Adressen und unprivilegierten Ports.