| Home | Firewall Ruleset | Security Stuff | Links | Forum ! |
|
|
| ACHTUNG: Wichtig um die Funktionsweise einer Firewall zu verstehen: Eine Regel ergibt sich aus folgenden Komponenten: 1.) Einer Richtung (=Direction), von wo aus eine Verbindung "aufgebaut" werden darf also von "drinnen" oder "draußen". 2.) Einem Protokoll: Das Internet basiert auf verschiedenen Protokollen, die für die Übertragung den Datenpäckchen zuständig sind. 3.) Einer Quelle: Also woher eine Anfrage stammt: 4.) Einem Ziel (wohin das Packet soll): 5.) Einer Erlaubnis Blockieren (Block / Deny) oder Erlauben (Permit) 6.) Als letztes haben die meisten Firewalls noch eine Option, eine Log-Datei zu führen. |
| No | Type | Rule Description | Direction | Protocol | Local Port | Application | Remote Host | Remote Port | Erklärung der Regeln |
| 1 | Permit | ICMP | Outgoing | ICMP + Echo Request | Any | Any | Any | Any | ICMP ist in mehrere Unterbereiche aufgeteilt, weswegen ich diesem Thema eine Extraseite [-> hier] widme. Erlaubt ist hier der Echo Request, womit ihr andere Leute anpingen könnt! |
| 2 | Permit | ICMP | Incoming | ICMP + Echo Reply + Destination Unreachable + Time Exeeded | Any | Any | Any | Any | ICMP ist in mehrere Unterbereiche aufgeteilt, weswegen ich diesem Thema eine eigene Page [-> hier] widme. Erlaubt ist hier Echo (die Anwort auf euren Ping) sowie Ziel nicht erreichbar und Zeit abgelaufen! Der Rest wird unten in der letzten Regel geblockt! |
| 3 | Permit | Corporate DNS | Both | UDP | Any | Any | Corporate Name Servers IP's (DNS) | 53 | Diese Regel erlaubt deinem Computer sich mit dem Name-Server (die eine IP in einen Hostnamen auflösen und umgekehrt ) deines Providers zu verbinden. Die IP's der Name Server findest du meist unter den Zugangsdaten für MacOs bei deinem Provider auf der Homepage. Trage diese unter Trustfull Addresses ein. Die Adressen kannst du auch sammeln, indem du dich von deinem aktiviertem Ruleassistenten anfangs immer Fragen läßt. Eine Liste, wo ihr die IP's für das DNS für bekannte Provider wie T-online befinden findet ihr -> hier! |
| 4 | Permit | Loopback | Both | UDP/TCP | Any | möglichst explizit deine Internetprogs | 127.0.0.1 | Any | Da diese Loopback Regel eine sehr wichtige ist, gibt es mehr Informationen auf einer Extraseite [ -> hier!] |
| 5 | Permit | NetBT Datagram | Both | UDP | 137, 138 | Any | Trustful addresses | Any | Diese Regel erlaubt NetBios (Windows Neighborhood protocol) datagrams (UDP) die bei jedem Computer im lokalen Netzwerk gesendet werden um sich zu identifizieren. (Diese Regel kannst du löschen, falls du kein Netzwerk hast.) Als vertrauenswürige Remote/Locale-Adresse unbedingt die IP und Subnetzmaske der Rechner im Netwerk angeben; z.B. : Lokales Netz = Trustful addresses z.B. 172.23.0.0 / 255.255.0.0 Übrigens bei der Kerio Personal Firewall (Tiny Personal Firewall) kann man das Netzwerk auch einfacherer unter dem Register "Microsoft Networking" einrichten! Wie du Netbios maximal sicher einrichtest findest du in einer Anleitung [-> hier] |
| 6 | Permit | NetBT Session | Outgoing | TCP | Any | Any | Trustful Addresses | 139 | Diese Regel erlaubt , das Windows Ressourcen im lokalen Netzwerk nur mit den "Custom Address Group", also vertrauenswürdigen IP's teilt, die du in deiner Firewall eintragen kannst. (Diese Regel kannst du löschen, wenn du kein Netzwerk hast.) Als vertrauenswürige Remote/Locale-Adresse unbedingt die IP und Subnetzmaske der Rechner im Netwerk angeben; z.B. : Lokales Netz = Trustful addresses z.B. 172.23.0.0 / 255.255.0.0 Übrigens bei der Kerio Personal Firewall (Tiny Personal Firewall) kann man das Netzwerk auch einfacherer unter dem Register "Microsoft Networking" einrichten! Wie du Netbios maximal sicher einrichtest findest du in einer Anleitung [-> hier] |
| 7 | Permit | NetBT Session | Incoming | TCP | 139 | Any | Trustful Addresses | Any | Diese Regel erlaubt "vertrauenswürdigen Computern" im Netzwerk auf deine Windows Ressourcen zuzugreifen. Dieses kannst du blocken, wenn du kein NetBios Zugriff haben willst (und genauso löschen, wenn du kein Netzwerk hast.) Als vertrauenswürige Remote/Locale-Adresse unbedingt die IP und Subnetzmaske der Rechner im Netwerk angeben; z.B. : Lokales Netz = Trustful addresses z.B. 172.23.0.0 / 255.255.0.0 Übrigens bei der Kerio Personal Firewall (Tiny Personal Firewall) kann man das Netzwerk auch einfacherer unter dem Register "Microsoft Networking" einrichten! Wie du Netbios maximal sicher einrichtest findest du in einer Anleitung [-> hier] |
| 8 | Permit | Internet Browser | Outgoing | TCP | Any | Dein Browser | Any oder IP's deines Proxys | 80, 443 | Diese Regel erlaubt deinem Browser Zugang zum Internet (HTTP=Port80, HTTPS=Port443) |
| 9 | Permit | Mail/ Program | Outgoing | TCP | Any | Dein Mail Client | IP's deines Mailservers z.B. pop.gmx.net & mail.gmx.net | 110, 995, 25, 143, 119 | Diese Regel erlaubt deinem Mailclient Zugang zu deiner Mailbox Port 110 = POP3-Protokoll oder Port 995 = SPOP3-Protokoll (<-falls du deine Mails über eine sichere Verbindung prüftst) sowie Port 143 = IMAP falls du deine Emails über das IMAP Protikoll abholst. Port 25 ist für SMTP also das versenden von Mails zuständig. Falls du völlig sicher sein willst, das nicht ohne Nachfrage (z.B. von Mail- Viren) Mails verschickt werden kannst du bei dieser Regel Port 25 entfernen und bekommst damit jedesmal von deiner Firewall eine Extra Abfrage, ob ein Mail versendet werden darf (natürlich nur, wenn der Regelassistent eingeschaltet ist). IP's feststellen Es ist möglich, dass deine Firewall Domainnamen wie pop.gmx.net nicht automatisch in eine IP auflöst (wie bei der Kerio Personal Firewall (Tiny Personal Firewall)); dann must du die Domainnamen selbst in eine IP auflösen! Die IP's irgendeiner Adresse kannst du [ -> hier] unter NS Lookup feststellen! Einfach zum Beispiel pop.gmx.net eingeben und die Resultate in deine Custom Address Group eingeben! Port 119 = NNTP wird für Newsübertragung verwendet und somit nur benötigt, falls du Newsdienste abonnomiert hast. |
| 10 | Permit | Newsclient | Outgoing | TCP | Any | Dein Newsprog | IP's deines News- servers | 119 | Diese Rule ist nur nötig, falls du mit einem Newsprogramm oder deinem Emailprogramm in Newsgroups liest! Port 119 steht für NNTP IP's feststellen siehe Regel 9 |
| 11 | Permit | Download Butler | Outgoing | TCP | Any | Dein Filefetcher | Any | 80, 21 | Diese Regel erlaubt deinem Download Butler (z.B. Getright) Zugang zum downloaden, über den HTTP-Port und dem FTP-Port. ACHTUNG! Getright würde ich am Anfang mit logen, und bestimmte Verbindungen zum Beispiel zum Homeserver (dort wo er die Werbung lädt) blocken! |
| 12 | Permit | Download Butler | Incoming | TCP | Any | Dein Filefetcher | Any | 20 | Diese zweite Verbindung (Datenverbindung) ist für "FTP-Data" bzw. für die Übertragung der Daten zuständig. Ftp-Data=Port 20 IP's feststellen siehe Regel 9 |
| 13 | Permit | Instant Messenger | Outgoing | TCP | Any | Dein Instant Messenger | Any oder IP's zum Terminal | 5190 | Diese Regel erlaubt deinem Instant Messenger z.B. AIM Zugang zum Internet; über den AOL-Port=5190 |
| 14 | Permit | Telnet Client | Outgoing | TCP | Any | Dein Telnet Progi | Any | 23 | Diese Regel erlaubt deinem Telnet Programm kompletten Zugriff auf andere Server im Internet. Ebenfalls löschen, falls du Telnet nicht benutzt. |
| 15 | Permit | FTP Client | Outgoing | TCP | Any | Dein FTP Progi | IP's von deinem FTP Server / Website | 21 | Diese Regel erlaubt deinem FTP Uploader Zugriff auf zum Beispiel deine Website, wo du was uploaden möchtest. Über Port 21 wird die Steuerverbindung augebaut, auf der FTP-Befehle und Parameter zwischen Client und Server ausgetauscht werden! FTP=Port 21 weitere Infos, sowie den Unterschied zwischen aktiven und passiven FTP findest du hier erklärt IP's feststellen siehe Regel 9 |
| 16 | Permit | FTP Client | Incoming | TCP | Any | Dein FTP Progi | IP's von deinem FTP Server / Website | 20 | Diese zweiteVerbindung (Datenverbindung) ist für "FTP-Data" bzw. für die Übertragung der Daten zuständig. Ftp-Data=Port 20 IP's feststellen siehe Regel 9 weitere Infos, sowie den Unterschied zwischen aktiven und passiven FTP findest du hier erklärt |
| 17 | Permit | (...) <- Hier kannst du individuelle Regeln für hier nicht angeführte Programme z.B. nach der Anleitung unten einbauen. -> (...) Übrigens hier vorgeschlagende Regeln für Programme die du nicht benutzt, brauchst du natürlich nicht in deiner Firewall... | |||||||
| 18 | Block | Block | Incoming | Any ( UDP/TCP & ICMP ) | Any | Any | Any | Any | Diese Regel blockiert und registriert es, wenn sich ein Computer mit deinem Verbinden will. Es empfielt sich hier die Log bzw. Protokoll Funktion zu aktvieren. Diese Regel gehört als letztes abgearbeitet, da sie alle Incoming Verbindungen die nicht zuvor erlaubt worden sind blockiert! Für den Rest Outbound ist immer noch der Learning Assistent zuständig, der sich meldet, falls ein Programm Zugang zum Internet möchte. Bei der Kerio Personal Firewall (Tiny Personal Firewall) kann man auch statt dieser Rule unter miscellaneous -> "log packets to unopened ports" anklicken und auf diese Regel im Ruleset verzichten! |
| © 2001 Lukas - keine unerlaubte Vervielfältigung, auch nicht auszugsweise! - Alle Rechte vorbehalten. |