Die WinTipps 2001 - Das deutsche Windows-Portal
Das deutsche Windows-Portal
Artikel 31: Konfiguration von Eingabefiltern für Dienste, die hinter der Netzwerk-Adress-Translation (NAT) laufen
<font size="2">So richten Sie Filter ein, die dazu verwendet werden können, auf einem Computer mit Windows 2000 oder Windows XP für eine Netzwerkkarte mit Internetverbindung unerwünschten Verkehr zu unterbinden.<br><br>
Windows enthält eine <b>Netzwerkaddressübersetzung</b> (<i>NAT = Network Address Translation</i>), die es Einzelpersonen und Firmen ermöglicht, ihr <b>LAN</b> (<i>Local Area Network</i>) über eine einzige Internetverbindung und IP-Adresse mit dem Internet zu verbinden.<br>
Mit <b>NAT</b> können Sie nicht registrierte IP-Adressen für das <b>interne LAN</b> verwenden. Wenn Sie jedoch nur <b>NAT</b> einsetzen, so verhindert dies nicht, dass ein entschlossener Hacker den Fluss des Datenverkehrs vom Windows-basierten Computer stört.<br><br>
Der <b>Routing- und RAS-Dienst</b> (<i>RRAS</i>) bietet Filter, die dazu verwendet werden können, einen Server für die Kontrolle der empfangenen und gesendeten Daten zu konfigurieren.<br>
Diese Filter sind jedoch nicht als echter Firewall anzusehen. Microsoft übernimmt keinerlei Gewähr dafür, dass die alleinige Verwendung dieses Produkts verhindern kann, dass Einzelpersonen sich Zugang zu einem Netzwerk verschaffen und es missbräuchlich nutzen.<br><br>
<em>Wichtig: Für Sites, die eine hohe Sicherheitsstufe benötigen, sollte ein echtes Firewall-Produkt erworben und zum Schutz des Netzwerks eingerichtet werden.</em><br><br>
<b>Die Eingabefilter werden über die RRAS-Konsole eingerichtet.</b><br>
<ol>
<li>Klicken Sie in der RRAS-Console unter IP-Routing auf Allgemein.</li>
<li>Doppelklicken Sie im rechten Fenster auf die externe Karte und klicken Sie dann auf Eingabefilter.</li>
<li>Im Filterfenster werden zwei Optionen angeboten, von denen Sie eine auswählen sollten:</li>
<ul>
<li>Alle Pakete empfangen außer den Paketen, die die unten aufgeführten Kriterien erfüllen</li>
<li>Alle Pakete verwerfen außer den Paketen, die die unten aufgeführten Kriterien erfüllen</li>
</ul>
</ol>
<em>Hinweis: Die Subnetzmaske für all diese Filter wird auf 0.0.0.0 gesetzt.</em><br><br>
<b>Anschlusskonfigurationen für Eingabefilter</b>
<ol>
<li>PPTP-Einstellungen (PPTP = Point-to-Point Tunneling Protocol)</li>
<ul>
<li>Verwenden Sie folgende Konfiguration, wenn Sie Clients im internen LAN haben, die eine Verbindung zu einem PPTP-Server im Internet herstellen möchten:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 zu Protokoll TCP Quellport 1723</li>
<li>Quelle 0.0.0.0 zu anderem Protokoll Nummer 47</li>
</ul></font>
<em>Achtung: Richten Sie niemals eine PPTP-Verbindung zu einem Firmennetzwerk von einem Router aus ein, auf dem NAT läuft. Dadurch könnten mögliche Sicherheitslücken im Netzwerk entstehen.</em><br><br>
</ul>
<li>DNS-Einstellungen (DNS = Domain Name System)</li>
<ul>
<li>Verwenden Sie folgende Konfiguration, wenn Server und interne Clients die DNS-Auflösung auf einen externen DNS-Server im Internet benötigen:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 zu Protokoll TCP Quellport 53</li>
<li>Quelle 0.0.0.0 zu Protokoll UDP Quellport 53</li>
</ul></font>
<li>Verwenden Sie folgende Konfiguration, wenn Sie einen eigenen Internet-DNS-Server betreiben:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 zu Protokoll TCP Zielport 53</li>
<li>Quelle 0.0.0.0 zu Protokoll UDP Zielport 53</li>
</ul></font>
</ul>
<li>Externer Webzugriff für Clients</li>
<ul>
<li>Verwenden Sie folgende Konfiguration, wenn Sie internen Clients ermöglichen wollen, eine Verbindung zu Websites im Internet herzustellen:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 zu Protokoll TCP Quellport 80</li>
</ul></font>
</ul>
<li>Zugriff auf WWW-Server</li>
<ul>
<li>Verwenden Sie folgende Konfiguration, wenn Sie auf dem NAT-Computer einen Webserver betreiben und ihn für Internetbenutzer zugänglich machen wollen:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 zu Protokoll TCP Zielport 80</li>
</ul></font>
</ul>
<li>FTP-Zugang für Clients (FTP = File Transfer Protocol)</li>
<ul>
<li>Verwenden Sie folgende Konfiguration, wenn Sie internen Clients ermöglichen wollen, eine Verbindung zu FTP-Servern im Internet herzustellen:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 Protokoll TCP Quellport 21</li>
<li>Quelle 0.0.0.0 Protokoll TCP Quellport 20</li>
</ul></font>
</ul>
<li>Zugriff auf FTP-Server</li>
<ul>
<li>Verwenden Sie folgende Konfiguration, wenn Sie auf dem NAT-Computer einen FTP-Server betreiben und ihn für Internetbenutzer zugänglich machen wollen:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 Protokoll TCP Zielport 21</li>
<li>Quelle 0.0.0.0 Protokoll TCP Zielport 20</li>
</ul></font>
</ul>
<li>POP 3</li>
<ul>
<li>Öffnen Sie folgenden Anschluss, wenn Sie einen Internetmailserver betreiben und den Mail-Clients POP 3-Zugang gewähren möchten:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 Protokoll TCP Zielport 110</li>
</ul></font>
</ul>
<li>Simple Mail Transfer Protocol (SMTP)</li>
<ul>
<li>Öffnen Sie folgenden Anschluss, wenn Sie einen Internetmailserver auf dem NAT-Computer betreiben, der SMTP-Mail verteilt:</li>
<font color="#ff0000"><ul>
<li>Quelle 0.0.0.0 Protokoll TCP Zielport 25</li>
<li>Quelle 0.0.0.0 Protokoll TCP Quellport 25</li>
</ul></font>
</ul>
</ol>
<em>Wichtig: Die Informationen in diesem Artikel sind nicht als Standard zu betrachten, der in allen Fällen eingehalten werden sollte. Es handelt sich lediglich um eine Anleitung, die die Anschlüsse und Konfigurationen einiger häufig verwendeter Programme auflistet.</em>

Die WinTipps 2001  -  Ein Service von   TL Networks