Speedtouch 510 firewall - Netwerken

zondag 5 november 2006 18:07

Acties:

Topicstarter

Weet iemand hoe ik in de firewall van de Speedtouch 510 een firewall regel kan opnemen dat, wanneer een computer komende van ip-adres x.x.x.x een connectie probeert te maken met poort 143 (IMAP), deze toegang krijgt, maar iedere andere computer voor een dichte deur komt te staan?

Via de webinterface (firmware versie 4.3.2.6.0) kan ik wel een applicatie definieren op poort 143, maar geen ip-adres opgeven van de bron-machine.

Als het kan, gaat het dus via de CLI, maar uit de omschrijving van het commando 'firewall rule add' kan ik niet echt wijs (link).

O'Toole's Commentary on Murphy's Law: Murphy was an optimist.

zondag 5 november 2006 18:09

Acties:

HyperioN

Het Grote Poortmappingsverhaal

Bij NAT, en dan een Outside adress meegeven.

zondag 5 november 2006 18:10

Acties:

Tukk

De α-man met het ẞ-brein

Wat je zoekt is geen firewall, maar heet NAT, oftewel poortmappen.

Je kan als ip-adres van de source 0.0.0.0 opgeven, dat is iedereen. Maar als je daar als IP
een vast ip-adres ingeeft kan toch alleen die pc connecteren?

edit:
Zie hierboven,
* Tukk is spuit elf.

[ Voor 8% gewijzigd door Tukk op 05-11-2006 18:11 ]

Q: How many geeks does it take to ruin a joke? A: You mean nerd, not geek. And not joke, but riddle. Proceed.

zondag 5 november 2006 19:37

Acties:

Pieter.txt

Topicstarter

Firewall of NAT, in de meeste routers is dat hetzelfde verhaal ookal is het natuurlijk iets anders (zal wel iets met marketing te maken hebben).
Ik weet wel wat er moet gebeuren. Mijn vraag is hoe?

O'Toole's Commentary on Murphy's Law: Murphy was an optimist.

zondag 5 november 2006 19:41

Acties:

HyperioN

Pieter.txt schreef op zondag 05 november 2006 @ 19:37:
Firewall of NAT, in de meeste routers is dat hetzelfde verhaal ookal is het natuurlijk iets anders (zal wel iets met marketing te maken hebben).
Ik weet wel wat er moet gebeuren. Mijn vraag is hoe?

Ja zoals ik al zei:
je gaat naar het NAT scherm:
Afbeeldingslocatie: http://bulfire.free.fr/510V4_Screenshot/Config%20NAT.PNG

Maakt een nieuwe entry. Inside address is het adres van je pc/server binnen je netwerk, poort is 143 in dit geval, outside address is het adres van buiten wat je toe wilt laten (x.x.x.x)..

maandag 6 november 2006 07:56

Acties:

Equator

Crew Council

#whisky #barista

Pieter.txt schreef op zondag 05 november 2006 @ 19:37:
Firewall of NAT, in de meeste routers is dat hetzelfde verhaal ookal is het natuurlijk iets anders (zal wel iets met marketing te maken hebben).

Een NAT ding is een firewall, maar een firewall hoeft niet persee te NAT'ten.

Ik weet wel wat er moet gebeuren. Mijn vraag is hoe?

Nou gewoon zoals al aagegeven..
Kom op, een beetje eigen inzet tonen mag wel.

maandag 6 november 2006 08:11

Acties:

Verwijderd

naar mijn weten gewoon je poort forwarden zoals gewoonlijk
daarna in je mail server vervolgens die regel zetten van wie er wel bij mag en wie niet
zo heb ik dat gedaan.

maandag 6 november 2006 08:17

Acties:

lier

MikroTik nerd

Twee smaken dus...:

Bij NAT, en dan een Outside adress meegeven.

naar mijn weten gewoon je poort forwarden zoals gewoonlijk
daarna in je mail server vervolgens die regel zetten van wie er wel bij mag en wie niet
zo heb ik dat gedaan.

De eerste doet de filtering in je modem, de tweede op je server.

[ Voor 11% gewijzigd door lier op 06-11-2006 08:18 ]

Eerst het probleem, dan de oplossing

maandag 6 november 2006 08:22

Acties:

Verwijderd

nee wat hij precies wil is dat hij kan aangeven wie er bij die poort mag dus bijv. alleen 123.123.123.123 en de rest dus niet.

en naar mijn weten doe je dit in je mailserver software en niet in een simpel routertje.

maandag 6 november 2006 08:25

Acties:

lier

MikroTik nerd

Verwijderd schreef op maandag 06 november 2006 @ 08:22:
nee wat hij precies wil is dat hij kan aangeven wie er bij die poort mag dus bijv. alleen 123.123.123.123 en de rest dus niet.

en naar mijn weten doe je dit in je mailserver software en niet in een simpel routertje.

Gelukkig dat drie andere mensen expliciet (en één impliciet) aangeven dat het wel op de "simpele" router ook kan...

Eerst het probleem, dan de oplossing

maandag 6 november 2006 19:37

Acties:

Pieter.txt

Topicstarter

Even speciaal voor Hyperion. Zo ziet mijn interface eruit:

Afbeeldingslocatie: http://img187.imageshack.us/img187/4346/scherm1is9.th.jpg

Dat is dus net iets anders dan bij jou. Dit is de interface die hoort bij firmware 4.3.x. Jij gebruikt zo te zien nog 4.2 of 4.0. Daar werkt dit soort zaken net iets anders. (Inderdaad een nieuwe firmware heeft niet alleen maar voordelen.)

Dus waar kan ik daar de NAT instellingen vinden in deze versie van de firmware?
Vandaar mijn vraag hoe ik dit mbv deze interface voor elkaar kan krijgen! Ik weet heus wel wat ik wil alleen niet hoe dat moet in deze interface.

Met deze interface lukt het me wel een poort voor iedereen open/dicht te zetten. Waar het me om gaat is om dit dus wat selectiever te doen (dwz voor een specifiek ip-adres een specifieke poort open zetten).

O'Toole's Commentary on Murphy's Law: Murphy was an optimist.

woensdag 8 november 2006 07:49

Acties:

lier

MikroTik nerd

Als je een nieuwe application definieert, kan je ook aangeven van welk aders deze afkomstig mag zijn. In deze definitie staat het protocol, port(range) binnenkomend, port(range) forward en IP adres waarvandaan afkomstig.

Weet je zeker dat je een 510 hebt ? Ik dacht namelijk dat deze interface pas van de nieuwere modellen beschikbaar is...?

edit:
Zie nu pas dat het hier (in tegenstellig tot de oude oplossing van de 510) niet (meer ?) kan. Heb je al eens gekeken naar de CLI ?

[ Voor 17% gewijzigd door lier op 08-11-2006 08:21 ]

Eerst het probleem, dan de oplossing

woensdag 8 november 2006 09:35

Acties:

FlipFluitketel

Frontpage Admin

Kijk eens op www.portforward.com en zoek daar dan de Speedtouch 716 op (dat modem heeft hetzelfde configuratiescherm als dat wat jij hebt).
Je moet sowieso niet in het scherm van Firewall zitten maar bij "Game & Application Sharing".

[edit]
Directe link naar de ST716 op die site met de uitleg.

Een ST510 heeft standaard idd niet die interface, het kan wel zijn dat je een firmwareupdate hebt gedaan die niet 100% bedoelt is voor de 510 (iig niet de versie wat hier in NL te koop was (heb ik zelf eens geprobeerd bij mijn oude ST510, het werkte wel, maar enorm traag)).

[ Voor 54% gewijzigd door FlipFluitketel op 08-11-2006 09:38 ]

There are only 10 types of people in the world...those who understand binary and those who don't.
Jeremy Clarkson: It’s, um, a mobile phone holder, or as Richard Hammond calls it, a seat!

zaterdag 11 november 2006 13:02

Acties:

Pieter.txt

Topicstarter

Ik heb inmiddels firmware versie 4.2.7 (laatste versie op KPN website) teruggezet.
Helaas blijkt het scherm NAPT niet te voldoen. "Outside address" blijkt niet te duiden op het ip-adres van het systeem dat een connectie probeert te maken, maar op de addressen die zijn geconfigureerd zijn op de ST510. Je kunt dus 0.0.0.0 of je (vaste) ip-adres of het interne adres (10.0.0.138) opgeven. Iets anders werkt niet.
Het lijkt er dus op dat wat ik wil gewoon niet kan met de ST510. Is wel jammer. Hiervoor gebruikte ik een Draytek Vigor 2200 (met de ST510 alleen als modem ervoor). Daar kon dit wel op geconfigureerd worden, maar helaas heeft die onlangs de geest gegeven. De ST510 kan dit verlies dus helaas slechts gedeeltelijk ondervangen

.

O'Toole's Commentary on Murphy's Law: Murphy was an optimist.