Firewall im 1&1 Menü

Rund um die Sicherheit des Systems und die Applikationen
r00ty
Posts: 747
Joined: 2003-03-17 15:32

Firewall im 1&1 Menü

Post by r00ty » 2005-03-17 07:24

Hi Leute !
Seit kurzen gibt es ja die Möglichkeit im 1und1 Menü ne Firewallregeln einzustellen.
Soweit so gut. Leider kenne ich mich nicht wirklich gut aus, was das Thema bisher angeht, wenn z.b. jemand ne FTP Verbindung aufmacht über welche Ports der Rückkanal läuft und so. Somit weiss ich nicht wirklich welche Ports man sperren kann und welche nicht.
Mir wäre hier schon viel geholfen wenn der ein oder andere einfach seine (möglichst restriktiven) Firewallregeln mal posten könnte...

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Firewall im 1&1 Menü

Post by nyxus » 2005-03-17 10:13

r00ty wrote:wenn z.b. jemand ne FTP Verbindung aufmacht über welche Ports der Rückkanal läuft und so.
Ich weiss jetzt nicht welche Firewall 1+1 benutzt, aber ich gehe schon davon aus, dass Du gerade bei FTP nur die Control-Session (TCP/21) erlauben musst und die Data-Session von der Firewall selbst erlaubt wird. Sonst haette man das echt nicht Firewall nennen duerfen ... :wink:

creek
Posts: 76
Joined: 2003-07-29 08:52
Location: Stuttgart

Re: Firewall im 1&1 Menü

Post by creek » 2005-03-18 08:49

guck dir doch einfach die von 1und1 schon bereitstehenden regeln an da steht ja alles drin ;)

yt
Posts: 103
Joined: 2003-10-13 23:04
Location: Duisburg

Re: Firewall im 1&1 Menü

Post by yt » 2005-03-18 10:22

Bei den 1&1-Regeln wird FTP nicht freigegeben. Ich habe einfach einen bestehenden Regelsatz um eine FTP-Regel erweitert, dann noch neuen Namen vergeben und fertig.

streicher
Posts: 17
Joined: 2003-06-02 18:39

Re: Firewall im 1&1 Menü

Post by streicher » 2005-03-22 14:11

Nyxus wrote: Ich weiss jetzt nicht welche Firewall 1+1 benutzt, aber ich gehe schon davon aus, dass Du gerade bei FTP nur die Control-Session (TCP/21) erlauben musst und die Data-Session von der Firewall selbst erlaubt wird.
Ich habe die bestehende Regel einfach um TCP/21 erweitert. Nun kann ich zwar per FTP zugreifen, aber nur, wenn ich den Passive Modus in meinem FTP-Programm abschalte.
Das ließe sich noch verschmerzen, aber das einfach Backup-Skript von 1&1 für den Backup-Space kann nun nicht mehr auf den Backup-Server zugreifen., da kein Login mehr möglich ist. Weiß hier jemand Abhilfe?

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Firewall im 1&1 Menü

Post by nyxus » 2005-03-22 15:55

Streicher wrote:Ich habe die bestehende Regel einfach um TCP/21 erweitert. Nun kann ich zwar per FTP zugreifen, aber nur, wenn ich den Passive Modus in meinem FTP-Programm abschalte.
Das klingt dann natuerlich mehr nach einfachem Paketfilter als nach Firewall was 2oder3 da gemacht hat.

buddaaa
Posts: 163
Joined: 2004-11-08 09:59

Re: Firewall im 1&1 Menü

Post by buddaaa » 2005-03-22 23:35

Ich habe die bestehende Regel einfach um TCP/21 erweitert. Nun kann ich zwar per FTP zugreifen, aber nur, wenn ich den Passive Modus in meinem FTP-Programm abschalte.
Das ließe sich noch verschmerzen, aber das einfach Backup-Skript von 1&1 für den Backup-Space kann nun nicht mehr auf den Backup-Server zugreifen., da kein Login mehr möglich ist. Weiß hier jemand Abhilfe?
erlaub doch einfach der IP des backup-servers alle ports (oder nur 20,21 und > 1024 aber da man auf 20 regeln beschraenkt ist ... )

schwieriger ist es schon eingehend FTP zu erlauben, da taugt anscheinend nur die regel:
quellports >1024
zielports > 1024
allow

damit ist natuerlich halb polen offen ;)

scheinen wirklich nur ACLs auf einem router zu sein und keine schisco firewall, selbst die mistdinger koennen mit FTP umgehen.

alexander newald
Posts: 1117
Joined: 2002-09-27 00:54
Location: Hannover

Re: Firewall im 1&1 Menü

Post by alexander newald » 2005-03-23 04:18

Was aber wirklich gut ist, dass Traffic, der geblockt wird, nicht gezählt wird.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Firewall im 1&1 Menü

Post by r00ty » 2005-03-23 08:41

buddaaa wrote: schwieriger ist es schon eingehend FTP zu erlauben, da taugt anscheinend nur die regel:
quellports >1024
zielports > 1024
allow
hmm genau, ^^^^ sowas hatte ich in Erinnerung - und das ist nämlich ziemlich albern.
Denn ich brauche FTP und dann muss ich alle oberen Ports aufmachen - was ich ja eigentlich nicht will...

streicher
Posts: 17
Joined: 2003-06-02 18:39

Re: Firewall im 1&1 Menü

Post by streicher » 2005-03-23 10:40

buddaaa wrote:
erlaub doch einfach der IP des backup-servers alle ports (oder nur 20,21 und > 1024 aber da man auf 20 regeln beschraenkt ist ... )
Danke, ich wrde es mal probieren. Ist aber schon komisch, daß 1&1 Firewalls und vordefinierte Regeln anbietet und dadurch den Backupserver aussperrt. Das ist ein wenig kurzsichtig.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Firewall im 1&1 Menü

Post by Joe User » 2005-03-23 11:31

Warum konfiguriert Ihr Euren FTPd nicht vernünftig, indem Ihr die Portrange für passive Verbindungen beschränkt?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Firewall im 1&1 Menü

Post by r00ty » 2005-03-23 13:26

danke für den Hinweis
für vsftp:

Code: Select all

#pasv_max_port â?? Specifies the highest possible port sent to the FTP clients for passive mode connections. This setting is used to limit the port range so that firewall rules are easier to create.
The default value is 0, which does not limit the highest passive port range. The value must not exceed 65535.


#pasv_min_port â?? Specifies the lowest possible port sent to the FTP clients for passive mode connections. This setting is used to limit the port range so that firewall rules are easier to create.
The default value is 0, which does not limit the lowest passive port range. The value must not be lower 1024. 
pasv_min_port=27600
pasv_max_port=27699

^^^ das sind dann die outgoing ports, oder ?

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Firewall im 1&1 Menü

Post by Joe User » 2005-03-23 13:39

Ja.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
nyxus
Posts: 626
Joined: 2002-09-13 08:41
Location: Lübeck

Re: Firewall im 1&1 Menü

Post by nyxus » 2005-03-23 16:04

r00ty wrote:pasv_min_port=27600
pasv_max_port=27699
In der FW-Config waeren das allerdings immer noch 100 offene Ports zuviel!
Aber naja, geschenkter Gaul und so ...

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Firewall im 1&1 Menü

Post by Joe User » 2005-03-23 16:12

Nun, wenn man passives FTP will, bleibt einem eben keine andere Wahl...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

giffi
Posts: 140
Joined: 2003-05-17 14:52

Re: Firewall im 1&1 Menü

Post by giffi » 2005-03-23 18:57

Wie viele Ports sollte man denn mindestens freigeben?
Sehe ich das richtig, daß pro Connection/User 1 Port benötigt wird?

Giffi

Edith sagt mir gerade, daß man bei 2+3 sowieso nur einzelne Ports angeben
kann, was ziemlicher Schwachsinn ist.

r00ty
Posts: 747
Joined: 2003-03-17 15:32

Re: Firewall im 1&1 Menü

Post by r00ty » 2005-03-24 07:55

das ist ein Scherz, dass man keine Portranges angeben kann im 1und1 Menü, oder ?

mc5000
Posts: 308
Joined: 2004-06-17 11:56
Location: Köln

leider doch!

Post by mc5000 » 2005-03-24 09:17

no! its not a joke its a feature! :wink:

Du sagt alle Ports, oder Ein Port, oder Alle Ports >= 1024 - oder du sagst gar nix mehr 8O

Anonymous

Re: Firewall im 1&1 Menü

Post by Anonymous » 2005-03-25 20:59

schon ne idee? =)

wäre auch mal interessant zu wissen was 1und1 zu der sache sagt, weil nutzbar is das feature nicht wirklich.

texmecx
Posts: 18
Joined: 2003-11-23 00:03

Re: Firewall im 1&1 Menü

Post by texmecx » 2005-03-26 00:32

r00ty wrote:das ist ein Scherz, dass man keine Portranges angeben kann im 1und1 Menü, oder ?
...naja, wenn man die Richtung angeben könnte, dann könnte man auf die Portrange auch verzichten.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11139
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Firewall im 1&1 Menü

Post by Joe User » 2005-03-26 10:48

texmecx wrote:wenn man die Richtung angeben könnte
Man kann...
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

texmecx
Posts: 18
Joined: 2003-11-23 00:03

Re: Firewall im 1&1 Menü

Post by texmecx » 2005-03-29 23:30

Joe User wrote:
texmecx wrote:wenn man die Richtung angeben könnte
Man kann...
..kann man nicht. Alle Regeln sind immer bidirectional.

Ist wahrscheinlich absichtlich so gemacht worden damit der Support weniger zu tun hat und es weniger ACL's auf dem Router gibt, denn es reduziert die möglichen Fehler.

Andernfalls müsste man übrigens pro Protokoll für jede Richtung eine Filterregel setzen.