www.pimps.de
Router Konfiguration für Netmeeting, Internetgames und Voice over IP am
Beispiel des SMC7004BR Routers.
Viele Anwendungen vertragen sich nicht mit der NAT-Firewall in einem Router,
weil nicht alle Informationen bezüglich der verwendeten TCP/IP-Ports und
IP-Adressinformationen in den Datenpaketen beim Übersetzen der Netzwerkadresse
korrekt abgebildet werden. Weiterhin können die von Außen hereinkommenden Daten
den Zielrechner im Lokalen Netzwerk (LAN) zum Teil nicht erreichen, da sie in
der NAT-Firewall "abgeblockt" werden.
Möchte man z.B. Netmeeting nutzen oder ein Spiel über das Internet zusammen
mit anderen Spielern spannender gestallten muss man die "Sicherheitshose
herunterlassen".
Um eine uneingeschränkte Kommunikation mit dem Internet zu ermöglichen richtet
man eine sogenannte DMZ ( Entmilitarisierte Zone), einen ungeschützten Bereich,
in Form eins Rechners ein.
Der DMZ wird eine IP-Adresse im Lokalen Netzwerk (LAN) zugewiesen, wodurch auf
einem entsprechend konfigurierten Rechner freie Fahrt für alle ein- und
abgehenden Datenpakete ermöglicht wird.
Im folgenden Bild ( Primary Setup ) sind die Grundeinstellungen dargestellt, die
für den Zugang zum Internet erforderlich sind.
Hier müssen entsprechend die eigenen Zugangsdaten / Zugangsart
eingetragen und die Optionen passend zum vorhandenen Tarif bzw. Abrechnungsmodus
eingestellt werden. Genaue Beschreibungen finden sich im Internet und der
Bedienungsanleitung des Routers.
Die IP-Adresse des "DMZ-Rechners" kann unter Misc Items eingetragen
werden. ( Hier z.B. Endnummer .200 Enable Häkchen nicht vergessen.)
Entsprechend zu dieser Einstellung muss der DMZ-Rechner mit der IP-Adresse
192.168.123.200 konfiguriert werden. Es gibt zwei Möglichkeiten dies zu
realisieren.
Entwerder konfiguriert man das TCP/IP-Protokoll der Netzwerkkarte
"von Hand" mit den entsprechenden Parametern ( siehe auch
Bedienungsanleitung ) diese sind z.B. bei T-Online:
IP-Adresse: 192.168.123.200
Subnet.Mask: 255.255.255.0
DNS: 212.185.249.116 & 194.25.2.129 (oder wenn
unbekannt die Adresse des Routers.)
Gateway: 192.168.123.254
Oder man verwendet den DHCP Server des Routers und weist dem
DMZ-Rechner immer fest ( fixed ) die IP 192.168.123.200 zu. Hierzu können
Einstellungen im Punkt "DHCP Server" -> "Fixed Mapping"
vorgenommen werden, so dass einer bestimmten MAC-Adresse ( eindeutige Nummer
einer Netzwerkkarte / eines bestimmten Rechners ) immer die gleiche ( fixed )
IP-Adresse zugewiesen wird.
Schutz des DMZ-Rechners
Im Lokalen Netzwerk werden fast immer die Microsoft Netzwerkdienste genutzt um
Daten zwischen den einzelnen Rechnern auszutauschen. Um die DMZ-Host die
eigentlich ungesichert bleibt, gegenüber dem Internet zu schützen muss im
Punkt "Spezial AP" eine Regel eingetragen werden.
Durch die im nächsten Bild dargestellte Regel wird verhindert, dass aus dem
Internet die Netzwerkdienste angesprochen werden können. Das eintragen einer
Regel ohne Trigger Port bewirkt eine Sperrung der in "Incoming Ports"
eingetragenen Portnummern auch für den als DMZ eingetragenen Rechner. Durch das
Sperren der Ports 1-1024 wird verhindert, dass eine "Bösewicht" von
Außen ungeschützte Datei- und Druckerfreigaben missbraucht um sich
"umfassend zu informieren". :-)
Wird man durch Werbe POPUP Nachrichten belästig, hilft ebenfalls das Sperren
der Ports 1-1024. Ggf. kann man die Sperre durch weitere Einträge um die Ports
1025 und 1029 erweitern. So wird verhindert, das die UDP Pakete der Spammer zu
den Anwendungen SVCHOST bzw. SYSTEM des DMZ Rechners im lokalen Netzwerk geleitet werden.
Verbreitung von Würmern und Vieren erschweren
Um die Verbreitung von Würmern, welche sich durch eigene Emailroutinen
verbreiten, zu erschweren, kann man für bestimmt Adressen im internen Netzwerk
die Ports 25 und 110 für SMTP bzw. POP3 blockieren. Dieses Blocken ist
besonders beim Zugang über T-Online geeignet um zu verhindern, dass nicht
"befugte" Rechner Emails über das durch die Einwahl freigegebene
T-Online Emailkonto abrufen und versenden können. Unter ID1 steht, im Feld
Source IP z.B. 192.168.123.100-192.168.123.199 im Feld Destination Port 25, der
SMTP Block für die internen IPs mit den Endnummern 100 bis 199. Analog hierzu
steht unter ID2 steht der POP3 Block.
Alle gezeigten Einstellungen sind Beispiele für den SMC Barricade Broadband
Router ( Firmware R1.95n ), die den eigenen "Gegebenheiten" wie dem
Internetprovider, der Zugangsart, dem Tarif und der Lokalen Netzwerkstruktur
angepasst werden müssen. Die gezeigten Einstellungen "sollen" ab
Firmware Version R1.92e funktionieren, getestet wurde mit R1.95c, R1.95n, R1.95u und
R1.96h2. In der Version R1.95u funktioniert das DynDNS update nicht zuverlässig, wer
eine DynDNS aktualisieren will, kann R1.95n oder R1.96h2 verwenden.
Alle Angaben sind ohne Gewähr. Wer genaueres über
Routereinstellungen wissen möchte, findet Informationen in der
Bedienungsanleitung, bei SMC und
auf zahlreichen Seiten im Internet. Durch das Eintragen "zu vieler"
Special AP's und Virtuellen Servern wird der Router mit zusätzlicher
"Arbeit" belastet. Durch Verwendung der DMZ spart man Regelwerk und
erreicht die " 1:1 " Portübersetzung für den stabilen Betrieb von
Netmeeting und anderen NAT unfreundlichen Programmen. Einen kleine Hänger muss
man im FTP Betrieb hinnehmen. Einige Server versuchen den Client über Port 113
anzusprechen. Durch das Blockieren der Ports 1-1024 wird auch Port 113
"unsichtbar" (Unrecognized access from x.x.x.x:x to TCP port 113), der
FTP-Server wartet dann den eingestellte Timeout-Wert ab, wodurch es nach dem
Anklicken eines FTP-Downloadlinks zu einer kurzen Verzögerung in Form einer
Denkpause kommen kann. Wer diesen Effekt als störend empfindet kann Port 113
ausklammern bzw. "abbilden".
UPnP-Erkennung