hvilke porte skal være åbne i firewall

sålænge det er computerne på lan siden der initierer trafikken, så er der ingen porte der skal være åbne i indgående retning.

Hmmm, jeg kan give dig nogle af dem, men ikke alle

Internet: 53 (dns), 80(http), 443 (https)
mail: 25 (smtp), 110 (pop3)
terminalserver: 3389 normalt, men kan ændres
web mail: 80 eller 443
VPN: 500 (IPSec), 1723 (pptp)

Se her
http://www.vpntools.com/vpntools_articles/network-ports.htm

Svaret fra screem-brille er etter all sansynlighet rett.

De aller fleste firewalls av denne typen leveres med en default konfigurering slik at de er helt åpne i trafikkretning ut for alle porter og også helt åpne for returtrafikken til den trafikk som initieres innefra.

Det skal altså normalt sett ikke være nødvendig å åpne en eneste port.

En annen sak er det hvis det dreier seg om en firewall for bruk på en skole, bibeliotek, en bedrift med høye krav til sikkerhet osv. Da kan det være at hardware firewall fitrerer i trafikkretning ut, og da vil det være nødvendig å åpne port 80, port 443, port 25, port 110, osv. Det er ganske uvanlig å filtrere på denne måten hvis det dreier seg om et hjemme pc anlegg.

De fleste rimelige hardware firewalls kan ikke settes opp til å filtrere på denne måten i det hele tatt.

og et svar herfra nu jeg er bakket op i det jeg skrev ;)

Jeg har sett litt i UserGuiden til Zywall2. Den er forholdsvis omfattende hele 614 sider. Den går forholdsvis dypt i stoffet med hensyn til å forklare virkemåten.

ftp://ftp.zyxel.com/ZyWALL_2/user_guide/ZyWALL%202_3.62.pdf

Slik som antatt over leveres Zywall2, slik som det framgår av guidens kapittel 11 med full åpning i trafikkretning ut. Slik som antatt over så forholder det seg også at Zywall 2 arbeider ut i fra et statefull inspection prinsipp slik at den automatisk åpner for all nødvendig returtrafikk.

Videre så finnes det en klar advarsel som sier at man ikke må gå i gang med å åpne porter, med mindre man kjører servere, fordi dette kan medføre en sikkerhetsmessig rissiko. (Side 11-2 i guiden.) Hvis man kun skal kjøre klienter så bør firewall beholde sitt default oppsett uten endring.

Det finnes en del konfigureringseksempler i guiden. Samtlige av disse ser ut til å basere seg på prinsippet om full åpning i trafikkretning ut og åpning inn dersom man kjører serverfunksjoner. (Det står riktig nok også noe om lan to lan filtrering ..)

På den annen side så framgår det så vidt jeg kan se, faktisk av guiden at det er teknisk mulig å sette opp fitreringrules i trafikkretning ut, men det ser ikke ut til å finnes noen beskrivelse av hvordan dette gjøres eller noen konfigureringseksempler.

Zywall 2 ser ut til å kunne fitrere på denne måten, men det finnes ikke noen abefaling i guiden om å gjøre dette.

"De fleste rimelige hardware firewalls kan ikke settes opp til å filtrere på denne måten i det hele tatt." - Dette gjelder altså ikke for Zywall 2, den kan det hvis man ønsker det og har spesielle behov.

Konklusjon: Det første svaret til scream-brille er rett. Dersom det dreier seg om en Zywall 2 med default konfigurering, for eksempel etter reset, så skal det ikke og det bør ikke åpnes en eneste port for å få de aktuelle klientfunksjonene til å fungere.

Ellers så ser Zywall 2 ut til å være en ganske glimrende firewall hvis man ønsker å finne ut en hel del om firewalls, fordi den inneholder konfigureringsmuligheter likt med firewalls i en mer avansert klasse.

Screem_brille var ellers først ute med det helt riktige svar.

Start å les i Guiden fra "Part 5 - Firewall and content filters." Kapittel 10 er vel mer en genrerell forklaring, mens kapittel 11 går mer praktisk inn på konfigureringen.