Firewall Regel Logik

[greeno]

hi zusammen,

ich habe noch eine Frage zu den Firewall Regeln...

die werden von oben nach unten abgearbeitet und beim ersten Treffer wird das Paket "ausgeführt"

bei Firewall > LAN
ist ja von LAN zu xxx

ich habe hier nach der Lockout Rule folgende Regel erstellt:
IPv4 TCP/UDP    LAN net    *    *    _Surfen_www   (53, 80, 443)   *

somit wird vom LAN _Surfen_www   (53, 80, 443)   to any erlaubt...
korrekt?

danach habe ich noch die Default Rules, diese lösen doch jetzt sowieso alles aus, oder?

IPv4 *    LAN net    *    *    *    *
IPv6 *    LAN net    *    *    *    *
 
sind die drinn damit von LAN mal grundsätzlich alles raus geht und löscht man die ?

danke

greenO

[JeGr]

Hi!

> die werden von oben nach unten abgearbeitet und beim ersten Treffer wird das Paket "ausgeführt"

Ja

> IPv4 TCP/UDP    LAN net    *    *    _Surfen_www   (53, 80, 443)   *

Prinzipiell nett, allerdings könnte man das ggf. in TCP und UDP sinnvoll trennen. 80/443 udp gibts keinen Grund für und tcp/53 sprechen nur Server.

> danach habe ich noch die Default Rules, diese lösen doch jetzt sowieso alles aus, oder?

Natürlich, steht ja auch in der Description

> sind die drinn damit von LAN mal grundsätzlich alles raus geht

Eben dies.

>  löscht man die ?

Das liegt ganz an dir!

Gruß

[greeno]

>> IPv4 TCP/UDP    LAN net    *    *    _Surfen_www   (53, 80, 443)   *

>Prinzipiell nett, allerdings könnte man das ggf. in TCP und UDP sinnvoll trennen. 80/443 udp gibts keinen Grund für und tcp/53 sprechen nur Server.

also besser wäre demnach:
tcp 80/443
udp 53



>> danach habe ich noch die Default Rules, diese lösen doch jetzt sowieso alles aus, oder?

>Natürlich, steht ja auch in der Description

>> sind die drinn damit von LAN mal grundsätzlich alles raus geht

>Eben dies.

>>  löscht man die ?

>Das liegt ganz an dir!


ich habe die nun deaktiviert. Somit gehen nur Ports 80/443/53 von meinem LAN raus...
nur damit ich das wirklich korrekt verstehe...

danke.

[fabian]

udp+tcp: 53, 443 (DNS (1), HTTPS via QUIC über UDP (2), sonst TCP)
tcp 80

Ist in deiner konfiguration vermutlich vernünftiger so.

(1) Üblicherweise UDP, wenn es nicht klappt (Verbindungsproblem, Datenmenge zu groß), wird automatisch auf TCP gewechselt - in den meisten Fällen reicht UDP. DNS musst du aber nicht global erlauben - hier reicht zur Firewall selbst.
(2) solltest du "in freier Wildbahn" noch nicht so häufig antreffen, außer du nutzt Google Services mit Chrome.

[greeno]

oh, ich glaube das ich hier sowieso Fehler mache...
123, 993 etc. müsste doch auch offen sein... sonst kann ich nicht einmal eine Mail verschicken oder?

gibts eine Liste welche Ports UDP und welche TCP man für normal öffnen muss von LAN zu WAN
für Web, eMail und NTP ... brauchts noch mehr?

oder lässt ihr die Standardregeln ausgehend?

danke.

[fabian]

SSH würde ich auch aufmachen (für GitHub, VPS etc.), ICMP echo request fürs debuggen, die ganzen HTTP(S)-Alternativen (3000, 8000, 8080, 8443, 9000) kommen auch noch oft genug vor (musst du für dich testen). Ggf. bekommst du es irgendwann mit FTP zu tun -> dafür brauchst du dann einen Proxy.

Und dann gibt's natürlich noch die ganzen Spezialports für irgendwelche Spiele…

[greeno]

hi, ich komme nochmals deswegen... ich versuche verzweifelt ein "Standard" Rule Set zu finden das mir helfen würde, welche Ports man öffnen sollte damit die Basics wie DNS, surfen, EMail, Zeit  etc. gehen...

gibts das echt nicht?
vielen Dank für eure hiilfe

[JeGr]

Nein, weil es keinen Standard gibt. Man kann auch schlecht einen definieren. Welcher soll das sein?

Standard-Internet-User: Darf... ja was? Nur Web? DNS? Mail? Muss Mail überhaupt? Vielleicht geht Mail über Webinterface, also doch nur HTTP/HTTPS, oder vielleicht gar nur HTTPS?

Der Einzige der weiß, was er machen will, sitzt vor dem Bildschirm und liest das gerade. Und der muss sich Gedanken darüber machen, was er will. Will er vom LAN ins Internet alles blockieren und nur das aufmachen, was unbedingt nötig ist? Die Policy findet man tatsächlich eher in Firmen. Privat hast du oftmals so eine Unmenge an Krempel der "einfach funktionieren soll", dass es kein einfaches "Template" gibt um alles abzudecken. Dann kommen Programme dazu, die ihre eigenen Ports mitbringen, Spiele, die ggf. noch eingehenden Traffic erlaubt haben wollen, etc. etc. - es bleibt also nichts anderes übrig als sich hinzusetzen und gezielt zu schauen, was man freigeben oder blocken möchte. Dann einen Plan zu machen und den dann umzusetzen

Grüße

[greeno]

hi, danke das versteh ich ja grundsätzlich schon...

ich dachte eher an so nen Formeintrag oder Seite die vielleicht eine gute Liste hat wo man sieht welche Ports und Protokolle z.b. wirklich zusammen gehören und evtl. auch welche Dienste das sind...

ciao

[JeGr]

Wenn sie sauber angemeldet sind, in der offiziellen IANA List der Ports:

https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers

Wenn nicht bleibt dir nur die Applikation zu suchen ob und welche Ports diese zur Funktion benötigt.