NAT und Firewall

[DanielV 10]

Guten Tag,

beschäftige mich gerade mit der Konfiguration der Firewall bei einem Bintec Router.

Der Router ist per DSL angeschlossen.

Habe NAT aktiviert und einige Port Weiterleitungen für SNMP, ICMP usw. am Router eingerichtet.

Somit wäre ja eigentlich der Datenverkehr zwischen EXTERN nach Router/LAN "geschützt"

 

Nun frage ich mich, sollte ich für diese Verbindungen zusätzlich auch noch eine Firewall Regel aktivieren (z.B Extern nach Router, Port 161) oder wäre es ausreichend wenn ich die Regel EXTERN nach Router, any) aktiviere.

 

Würde gerne Eure Meinung dazu hören

 

Vielen Dank

 

Schöne Grüße

Daniel

[Holger02 10]

Hallo Daniel,

 

hast du die NAT denn so programmiert, dass der Zugriff von Extern any erfolgen darf? Dann wäre nämlich eine grundsätzliche Überlegung Richtung IPSec einen Gedanken wert, aber das ist ein anderes Thema.

 

Nun frage ich mich, sollte ich für diese Verbindungen zusätzlich auch noch eine Firewall Regel aktivieren (z.B Extern nach Router, Port 161) oder wäre es ausreichend wenn ich die Regel EXTERN nach Router, any) aktiviere.

Wenn ich dich richtig verstanden habe, hast du den Port schon in der NAT programmiert, demnach würde die Firewall-Regel keinen wirklichen zusätzlichen Schutz bieten. Falls du die Firewall aktiviert hast, würde ich den Eintrag Extern nach Router Port xyz programmieren.

 

Gruß Holger

[DanielV 10]

Hallo Holger,

vielen Dank für die schnelle Rückmeldung.

ich habe per Nat z.b SNMP wie folgt freigeschaltet

Externer Port 161 nach 127.0.0.1 Interner Port 161

 

Wenn ich die Firewall aktiviere müsste ich ja den selben Eintrag noch einem erstellen:

von Extern port 161 nach 127.0.0.1 port 161

 

Somit müsste ich für jede Port Weiterleitung gleichzeitig auch eine Firewall Regel definieren.

Wenn ich aber auf der Firewall sage: von Extern any Port nach 127.0.0.1 any Port, wäre es ausreichen nur den Port per NAT freizuschalten.

 

Dürfte eigenlich kein Sicherheitsrisiko sein, oder?

 

Grüße

Daniel