Zyxel 2602HW NAT en firewall problemen

Kipcorn schreef op zaterdag 08 juli 2006 @ 05:45:

Verder gebruik ik FileZilla Server, al is dat niet van belang aangezien er toch niets door de firewall heen komt.
Iemand enig idee?

Ik ben helemaal niet thuis op dit gebied maar kun je dan niet gewoon de firewall uitschakelen? of die FileZilla toestaan in je firewall?

Heb je in de configuratie van FileZilla Server ook je externe IP ingevuld onder "Passive Mode Settings"?
Vul bij "Use the following IP" je externe IP adres in. Ook bij "use custom port range" moet je de PASV poorten instellen die je in je router open gezet hebt.

Je FW van je ZyXEL al eventjes uitgezet om te testen of het dan wel werkt? Ik zou het eerst aan de gang krijgen met alleen de forwards in je ZyXEL en daarna aan de FW rules beginnen/testen.

Ik heb ook zo'n ding (2602HW-61) en eigenlijk (op dat gebied) geen problemen.

De tip van bjck is een goede om mee te beginnen, daarmee sluit je uit dat het aan andere apparatuur ligt en weet je zeker dat de firewall van de 2602HW de schuldige is.

Wat je screenshots betreft: dat is eigenlijk precies zoals ik het ook ingesteld heb, daar ligt het volgens mij niet aan.

Wat ik mij wel afvroeg: hoe heb je precies getest? Vanaf een machine van buiten je netwerk naar binnen toe, of heb je getest vanaf de ene PC op je LAN naar de server op je LAN? In het eerste geval weet ik het verder ook niet, in het tweede geval denk ik dat je NAT Loopback aan moet zetten.

Kipcorn schreef op zaterdag 08 juli 2006 @ 18:44:
Het eerste wat ik ga kopen van mijn aankomende salaris is een fatsoendelijk modem. Die Zyxel bende komt er hier niet meer in.

je bent werkelijk gek. die modems zijn stukken beter dan wat je op de markt meer tegenkomt.
Wel is het handig als je de laatste firmware er in flitst.

je probleem is trouwens eenvoudig. ook port 20 moet je in de NAT table open hebben staan.

als je voet bij stuk houdt dan wil ik 'm wel hebben, die 2602HW, maakt niet uit of het annex a of b is.

't is niet persoonlijk bedoeld maar ik denk dat je het idee achter de router/firewall nog een beetje mist.

als je de NAT table alleen vult met de firewall off (die inderdaad alle connecties verbreekt als je 'm uit zet, klopt helemaal, staat in de documentatie) en dat werkend maakt, dan kun je daarna de firewall rules er in gaan zetten.

je weet ook vast wel dat je firewall gemiddeld genomen niet luistert als je portscans, shields up, grc flauwekul loslaat ? die dingen zetten je IP address even in een strafbankje zodat de outcome van zo'n test niet echt deugt.

[ Voor 34% gewijzigd door Verwijderd op 09-07-2006 16:19 ]

Kipcorn schreef op maandag 10 juli 2006 @ 05:47:
Als jij het zegt... Dit is echter het tweede Zyxel apparaat waar ik problemen mee heb.
Overigens heb ik geen nieuwere firmware gevonden op de site van Demon. Als ik die van Zyxel zelf er in hang moet ik vast weer allerlei settings aanpassen?

Ik weet niet welke ADSL aanbieder je precies hebt. In jouw geval is het voorlopig dan het beste dat je 't zo laat for the time being.

voor het open zetten van de ports: (active) FTP gebruikt port 21 en 20. ALs je port 20 niet open hebt staan,d an heb je geen data connection (21 is de control/command connection) en dan zal FTP niet werken. Het lijkt mij geen goed idee als een router denkt 'port 21 is open dus doen we 20 ook maar'.

Met het maken van de rules bedoel ik dit:

je zet je firewall af, je SUA/NAT setup is leeg. Dan open je alle ports die nodig zijn voor jouw situatie en verwijst die naar de juiste internal host.

Hierdoor kan iedereen dan die ports gebruiken. Dit kun j edan testen en als alle ports open zijn die je nodig hebt, dan gaan we naar deel 2 en dat is de firewall zelf optuigen.

Wat je hiermee doet is een stateful inspection component toevoegen, je zorgt er tevens voor dat niet iedereen er meer bij kan omdat je op IP address kunt limiteren wie wel en niet bij jouw serverports kan en mag komen.

De firewall kan ook in de pakketjes naar de commands kijken en flikkert de verbinding opzij als er een fout command tussen zit, om te voorkomen dat iemand probeert binnen te komen bij jou.

Zoals het NAT gebeuren. Bij mijn oude router (vigor 2200E) was het genoeg om een NAT regel te maken. Firewall werd vanzelf aangepast.

De firewall in een NAT router is niks anders dan dat: een NAT router; een stateful inspection firewall doet veel meer en is een extra layer. Als je gewoon alleen bepaalde ports open wilt hebben staan, zonder extra's, limits op IP adressen enzovoort, dan is SUA/NAT voldoende en kan je firewall dus uit blijven. Je bent dan net zo veilig als elke andere NAT router.

Ik hoefde altijd maar één poort open te zetten voor m'n ftp server (buiten wat passive poorten).

support het ding geen active FTP, dan is dat begrijpelijk.

Het niet kunnen forwarden naar andere ports op je locale net kan een omissie zijn maar in een normale SOHO situatie is dat eigenlijk vrijwel nooit van belang.


Ik zou het stukje over de firewall maar eens goed lezen en wat in ieder geval aan te raden is: doe het stapje voor stapje.

Dus eerst NAT table, zonder firewall. Als de NAT table leeg is, dan komt zowiezo niemand binnen ook al staat je firewall AF. Dat is iets wat je goed moet realisereren.

NAT only is ook een defense.

Kipcorn schreef op maandag 10 juli 2006 @ 22:49:
Thanks!
Hier ga ik later even naar kijken.
E.e.a. wordt nu wel duidelijk.

als je een vraag hebt, stel 'm gerust...