www.pimps.de

Router Konfiguration für Netmeeting, Internetgames und Voice over IP am Beispiel des SMC7004BR Routers.



Viele Anwendungen vertragen sich nicht mit der NAT-Firewall in einem Router, weil nicht alle Informationen bezüglich der verwendeten TCP/IP-Ports und IP-Adressinformationen in den Datenpaketen beim Übersetzen der Netzwerkadresse korrekt abgebildet werden. Weiterhin können die von Außen hereinkommenden Daten den Zielrechner im Lokalen Netzwerk (LAN) zum Teil nicht erreichen, da sie in der NAT-Firewall "abgeblockt" werden.

Möchte man z.B. Netmeeting nutzen oder ein Spiel über das Internet zusammen mit anderen Spielern spannender gestallten muss man die "Sicherheitshose herunterlassen". Um eine uneingeschränkte Kommunikation mit dem Internet zu ermöglichen richtet man eine sogenannte DMZ ( Entmilitarisierte Zone), einen ungeschützten Bereich, in Form eins Rechners ein. Der DMZ wird eine IP-Adresse im Lokalen Netzwerk (LAN) zugewiesen, wodurch auf einem entsprechend konfigurierten Rechner freie Fahrt für alle ein- und abgehenden Datenpakete ermöglicht wird.

Im folgenden Bild ( Primary Setup ) sind die Grundeinstellungen dargestellt, die für den Zugang zum Internet erforderlich sind.
Hier müssen entsprechend die eigenen Zugangsdaten / Zugangsart eingetragen und die Optionen passend zum vorhandenen Tarif bzw. Abrechnungsmodus eingestellt werden. Genaue Beschreibungen finden sich im Internet und der Bedienungsanleitung des Routers.

Pimary Setup Special AP Packet Filter Misc Items


Die IP-Adresse des "DMZ-Rechners" kann unter Misc Items eingetragen werden. ( Hier z.B. Endnummer .200 Enable Häkchen nicht vergessen.)

Pimary Setup Special AP Packet Filter Misc Items

Entsprechend zu dieser Einstellung muss der DMZ-Rechner mit der IP-Adresse 192.168.123.200 konfiguriert werden. Es gibt zwei Möglichkeiten dies zu realisieren.

Entwerder konfiguriert man das TCP/IP-Protokoll der Netzwerkkarte "von Hand" mit den  entsprechenden Parametern ( siehe auch Bedienungsanleitung ) diese sind z.B. bei T-Online:
    IP-Adresse: 192.168.123.200
    Subnet.Mask: 255.255.255.0
    DNS: 212.185.249.116 & 194.25.2.129 (oder wenn unbekannt die Adresse des Routers.)
    Gateway: 192.168.123.254

Oder man verwendet den DHCP Server des Routers und weist dem DMZ-Rechner immer fest ( fixed ) die IP 192.168.123.200 zu. Hierzu können Einstellungen im Punkt "DHCP Server" -> "Fixed Mapping" vorgenommen werden, so dass einer bestimmten MAC-Adresse ( eindeutige Nummer einer Netzwerkkarte / eines bestimmten Rechners ) immer die gleiche ( fixed ) IP-Adresse zugewiesen wird.

Schutz des DMZ-Rechners

Im Lokalen Netzwerk werden fast immer die Microsoft Netzwerkdienste genutzt um Daten zwischen den einzelnen Rechnern auszutauschen. Um die DMZ-Host die eigentlich ungesichert bleibt, gegenüber dem Internet zu schützen muss im Punkt "Spezial AP" eine Regel eingetragen werden.
Durch die im nächsten Bild dargestellte Regel wird verhindert, dass aus dem Internet die Netzwerkdienste angesprochen werden können. Das eintragen einer Regel ohne Trigger Port bewirkt eine Sperrung der in "Incoming Ports" eingetragenen Portnummern auch für den als DMZ eingetragenen Rechner. Durch das Sperren der Ports 1-1024 wird verhindert, dass eine "Bösewicht" von Außen ungeschützte Datei- und Druckerfreigaben missbraucht um sich "umfassend zu informieren". :-)

Pimary Setup Special AP Packet Filter Misc Items

Wird man durch Werbe POPUP Nachrichten belästig, hilft ebenfalls das Sperren der Ports 1-1024. Ggf. kann man die Sperre durch weitere Einträge um die Ports 1025 und 1029 erweitern. So wird verhindert, das die UDP Pakete der Spammer zu den Anwendungen SVCHOST bzw. SYSTEM des DMZ Rechners im lokalen Netzwerk geleitet werden.

Verbreitung von Würmern und Vieren erschweren

Um die Verbreitung von Würmern, welche sich durch eigene Emailroutinen verbreiten, zu erschweren, kann man für bestimmt Adressen im internen Netzwerk die Ports 25 und 110 für SMTP bzw. POP3 blockieren. Dieses Blocken ist besonders beim Zugang über T-Online geeignet um zu verhindern, dass nicht "befugte" Rechner Emails über das durch die Einwahl freigegebene T-Online Emailkonto abrufen und versenden können. Unter ID1 steht, im Feld Source IP z.B. 192.168.123.100-192.168.123.199 im Feld Destination Port 25, der SMTP Block für die internen IPs mit den Endnummern 100 bis 199. Analog hierzu steht unter ID2 steht der POP3 Block.

Pimary Setup Special AP Packet Filter Misc Items

Alle gezeigten Einstellungen sind Beispiele für den SMC Barricade Broadband Router ( Firmware R1.95n ), die den eigenen "Gegebenheiten" wie dem Internetprovider, der Zugangsart, dem Tarif und der Lokalen Netzwerkstruktur angepasst werden müssen. Die gezeigten Einstellungen "sollen" ab Firmware Version R1.92e funktionieren, getestet wurde mit R1.95c, R1.95n, R1.95u und R1.96h2. In der Version R1.95u funktioniert das DynDNS update nicht zuverlässig, wer eine DynDNS aktualisieren will, kann R1.95n oder R1.96h2 verwenden. Alle Angaben sind ohne Gewähr. Wer genaueres über Routereinstellungen wissen möchte, findet Informationen in der Bedienungsanleitung, bei SMC und auf zahlreichen Seiten im Internet. Durch das Eintragen "zu vieler" Special AP's und Virtuellen Servern wird der Router mit zusätzlicher "Arbeit" belastet. Durch Verwendung der DMZ spart man Regelwerk und erreicht die " 1:1 " Portübersetzung für den stabilen Betrieb von Netmeeting und anderen NAT unfreundlichen Programmen. Einen kleine Hänger muss man im FTP Betrieb hinnehmen. Einige Server versuchen den Client über Port 113 anzusprechen. Durch das Blockieren der Ports 1-1024 wird auch Port 113 "unsichtbar" (Unrecognized access from x.x.x.x:x to TCP port 113), der FTP-Server wartet dann den eingestellte Timeout-Wert ab, wodurch es nach dem Anklicken eines FTP-Downloadlinks zu einer kurzen Verzögerung in Form einer Denkpause kommen kann. Wer diesen Effekt als störend empfindet kann Port 113 ausklammern bzw. "abbilden".

UPnP-Erkennung