Netzwerk: welche Geräte verwenden?

Master Luke

Master Luke

Teil der Gemeinde
Registriert
14. Sep. 2003
Beiträge
1.565
Real Name
Steffen
moin Zusammen,

hab ein kleines Problemchen:

ich bin vor einer Weile umgezogen und hatte jahrelang folg. Konfiguration am laufen:

Kabel-Deutschland-Modem -> Router D-Link DIR-100 (4x100MBit) -> Switch (8x1GBit) -> WLAN-AP

alle Ports vom Router und vom Switch waren belegt, Laptops hingen am WLAN; das Kabelmodem lief immer (Telefon), der Rest wurde bei Benutzung zugeschaltet. Den Router brauchte ich, weil er DHCP übernahm. Das Modem konnte effektiv nur eine interne IP verdauen. Zudem hatte ich im Router sämtliche "Schutzmechanismen", Forwarding usw. aktiviert.

_________________

theoretisch nun in der neuen Wohnung:
Kabel-Deutschland-Modem (CBN 6640E) (4x1GBit) http://www.cbncare.com/products_CH6640E/ -> Router D-Link DIR-100 (4x100MBit) -> Switch (8x1GBit) -> WLAN-AP

Das neue Kabelmodem hat 4 GBit-Ports. Leider kann man darin keine Firewalls o.ä. einschalten -soll aber integriert sein?!. Das Kabelmodem ist sehr schnell und braucht auch nur 3-4W. Es verträgt mehrere Geräte dahinter, hat DHCP.


jetzt die Frage:
ich fühle mich hinter einer Hardware-Firewall einfach wohler. Vom Verdrahtungsaufwand und Stromverbrauch, müsste ich den alten Router weg lassen und kann meine Geräte durchgängig an 1GBit hängen. Subjektiv hätte ich gerne noch einen "Schutz" direkt nach der Antennendose.

Was machen?


Besten Dank!
lg,
steffen
 
Zuletzt bearbeitet:
Moin,
also so auf den ersten Blick nach überfliegen der Anleitung hat das Modem denke ich alles, was man braucht. Stinknormale einfache Firewall, wo man einzelne Ports bei Bedarf forwarden kann. Sehe da jetzt spontan nichts, was n x-beliebiger anderer Router besser könnte. Sieht nur komplizierter aus, als bei anderen Routern.

Wegen dem 1gbit würde ich mir keinen Stress machen. Die Geräte die Du am DLink hattest, sind untereinander natürlich nur per 100Mbit verbunden. Alles was übers Internet raus soll, ist auch nur über 100Mbit, aber das ist völlig ausreichend. Die Geräte am Switch können untereinander ja trotzdem alle mit 1Gbit/s. Also so lange Du an den DLink nicht irgendwas wichtiges hängst, ala Server, auf den alle zugreifen, ist das egal.
 
danke für deine rückinfo.

dein letzter absatz spiegelt meine meinung und miene bislnage config wieder. am 8port-switch mit 1GBit hängen die PCs, beide NAS und noch der TV (DLNA). an den 100MBit des separaten Routers hatte ich AVR, BluRay-Player usw.


zum ersten absatz:
ich kann ports weiterleiten, Macs filtern usw., aber WO kann ich bspw. die firewall aktivieren bzw. einstellen? da gibts nämlich keinen knopf. oder ist diese rudimentäre FW einfach integriert - bum ende aus?
 
Vorsicht etwas Halbwissen, bzw. bin eben kein Systemadmin oder sowas...:

Szenario 1:
Dein PC hängt über ein (reines) Modem direkt im Internet. Du gibst Deine Dateien frei. Die Windows Dateifreigabe ist über den Port xy erreichbar. Die ganze Welt kann Deine Dateien anschauen, wenn sie Deine IP+entsprechenden Port aufrufen.

Szenario 2:
Dein PC hängt über einen Router (mit Modem) im Internet. Du gibst Deine Dateien frei. Die Windows Dateifreigabe ist über den Port xy erreichbar. Ist aber egal, denn die ganze Welt sieht nur Deinen Router. Und der Router selbst hat alle (die meisten) Ports zu. Einerseits rudimentäre Firewall (reiner Paketfilter), andererseits weils eben ein Router ist und es durch das NAT oder auch Routing eigentlich auch gar nicht anders geht.


Dein Router ist wie ein Haus mit 1000den Türen (Ports) die zum Internet gehen und grundsätzlich sind alle zu. Dann kommt PC1 und sagt er möchte auf Google. Das Haus macht die Türe 10246 auf und lässt die Anfrage zu Google. PC2 kommt und möchte zu GMX. Das Haus macht die Türe 10842 auf und lässt die Anfrage zu GMX. Alles was das Haus gemacht hat, wird notiert. Nun kommt Google's Antwort zur Türe 10246 zurück. Das Haus sagt: AHA, Türe 10246, ich schau mal in meine Tabelle (NAT-Table), aja das war ja von PC1. Es schließt die Türe wieder und schickt die zurückgekommene Antwort an PC1. Genauso weiß das Haus, dass die Antwort an Türe 10842 von GMX kommt und zu PC2 soll. War die Antwort mit einem Virus verseucht, Pech gehabt, das Haus bemerkt es nicht und stellt die Antwort trotzdem zu. Na hoffentlich ist der PC gut geschützt mit neusten Updates und aktuellen Antivirus.

Grundsätzlich darf also ALLES raus und nichts rein, außer Rückantworten. Hast Du einen Trojaner und der nistet sich ein und wartet bis sich sein bößes Herrchen mit ihm Verbindet, kann er lange warten, denn alle Türen sind zu. Verbindet sich der Trojaner selbst zu seinem Schöpfer, darf er das tun...die "Firewall" lässt ihn..


Möchtest Du nun beispielsweise an PC3 einen eigenen Web-Server betreiben. D.h. er nimmt Anfragen entgegen auf Port/Türe 80 (Standard). Und er steht nun hinter dieser Firewall, dann wird er niemals eine Anfrage bekommen, weil die Firewall Port 80 zumacht. Es kommt ja schließlich keine Anfrage von Innen.. Du musst diesen Port nun forwarden. D.h. Du sagst deinem Haus: Liebes Haus, alle Anfragen die an Port 80 zu Dir kommen, richtest Du einfach an PC3. Die Firewall öffnet Port 80 und leitet alles was da ankommt an PC3 weiter.



Wie Du siehst, ist das absolut einfachster Schutz und der ist eigentlich schon durch das Routing bedingt, also kann man ihn auch nicht abschalten. Ich wüsste auch nicht, dass man beispielsweise die Firewall von einer Fritzbox abschalten könnte.
Dann gibt's halt noch dieses IDS/IPS. Da wird versucht ein Angriffsmuster zu erkennen und zu blockieren..naja halt noch bisl mehr Schutz..bei Deinem neuen Modem stand da glaub ich was davon..

Interessanter wird's, wenn man noch einen Proxy hat. Da werden dann alle Pakete die rausgehen und ankommen zerlegt und analysiert. Die können dann auch nach Viren gescannt werden oder nach Content gefiltert werden (zB kein Pr0n oder Facebook erlaubt). Aber sowas bietet leider kein handelsüblicher Router für privaten gebrauch. Wenn man das möchte, kann man sich einen extra PC als Firewall hinstellen und im privaten Umfeld die Astaro Firewall kostenlos installieren. Aber es bedarf doch einiges an Fachwissen dafür...



Fazit: Ich denke nicht, dass Du mit Deinem neuen Modem großartig weniger Schutz bekommst.
 
danke für deine lange bildliche zusammenfassung. :)
war mir klar, wie ne FW funktioniert. :D ich wollte nur wissen, ob da so nen teil automatisch integriert ist - weil SEHEN tut man da nichts.
denn wie gesagt: ich konnte beim DIR-100 bspw. nicht nur die FW manuell aktivieren, sondern noch div. zusatzfeatures einstellen wie DOS-Attacken usw. (war da ewig nicht im gerät.. und das ding steht im verpackt keller)

jut jut,
dann bau ich die chose mal auf.

danke dir! :)
 
kannst dir auch selbst eine bauen. Alten Minipc nehmen 400mhz reichen da fürn Haushalt locker. SD Karte rein und da dann eine der großen freien Firewalls installieren.
IPCop, Moonwall, IpFire usw.
Taugen imho vernünftig konfiguriert alle was und stecken jeden Heimrouter in die Tasche. Gibt auch Router die von vornherein vernünftig laufen, das ist aber eher die Seltenheit.
Entweder eigene Firmware wie OpenWRT oder DD WRT, oder eben vernünftigen Router.
Meine Fritzbox hier werde ich z.b. wieder abgeben und mir nen Draytek holen.
Imho für den etwas abspruchsvolleren Hausgebrauch mit die besten Geräte.
Modems die eingebaut sind sind super, gibt aber auch Modelle komplett ohne Modem.
Hab damals meinen normalen ADSL Router ziemlich günstig bei ebay weggegeben. die laufen da relativ unbekannt auch ziemlich günstig weg.
Jede Fritzbox kostet mehr und kann weniger ;-)

Ultimo für Privat ist dann so ne Hardwarefirewall in Form IpCop und Co
Die Dinger kann man mit Addons dermaßen aufbohren. Wobei hier auch wieder der Sinn teilweise verloren geht. viele Bauer dieser Firewalls verfechten die Meinung umso weniger, umso besser. Keinen überflüssigen Schnick Schnack.
In Sachen Filteranpassung und Co kann da so ziemlich jede im Router integrierte Firewall einpacken.
 
Selber bauen mit einem alten Mini-PC ist mal so was von überholt ;)
Das Teil verbraucht mehr Energie als nötig.
MikroTik oder Ubiquiti haben da zum Beispiel sehr flexible Geräte.
Muss man sich aber mit der Materie beschäftigen.

Das CBN Modem habe ich auch. Ich verwende es im Bridged-Mode, aber die integrierten Features sind durchaus ausreichend um das Teil als Router zu nutzen. Standard NAT halt.
Hast du IPv6?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten