Firewall IPv4
Firewall IPv4 Setup In deze handleiding kunt u informatie vinden over alle mogelijke Firewall instellingen van de DrayTek Vigor 2130 en 2750. Hierin zullen wij alle algemene instellingen bespreken die van toepassing zijn indien u de Firewall wilt gaan gebruiken. Door naar het standaard IP-adres te gaan (192.168.1.1) krijgt u het inlogscherm van de router te zien. Standaard gebruikt de DrayTek admin als username en wachtwoord. U gaat vervolgens naar Firewall >> Traffic Control. 2
Firewall Traffic Control De DrayTek Vigor 2130 en 2750 hebben twee verschillende mogelijkheden om de Firewall in te richten. U kunt kiezen voor Access Control List en Traffic Control, voor het inrichten van een firewall kunt u volgens ons het beste kiezen voor de Traffic Control. Hier kunt u namelijk ook gebruik maken van een Time Object, tevens kunt u op MAC adres basis filteren. Ook is het configureren van de Traffic Control eenvoudiger dan Access Control List. In deze handleiding leggen wij aan de hand van een aantal voorbeelden uit hoe u de Firewall in kunt richten naar uw eigen wens. Voorbeeld 1: HTTP & DNS Gebruikers mogen alleen middels HTTP en DNS naar buiten communiceren, alle overige poorten worden geblokkeerd. Dit betreft een LAN -> WAN Firewall regel welke in 3 verschillende Firewall regels is opgebouwd. Voorbeeld 2: SMTP Alleen de E-mail server mag naar buiten communiceren via poort 25, alle andere werkstations kunnen niet naar buiten communiceren middels poort 25. Zodoende kunt u voorkomen dat er spam verstuurd wordt vanaf bepaalde werkstations, wat uiteindelijk kan leiden tot een poort 25 blokkade van de ISP. Dit betreft een LAN -> WAN firewall regel. Voorbeeld 3: FTP U maakt gebruik van een interne FTP server welke u toegankelijk wilt maken voor bepaalde externe IP-adressen. In eerste instantie dient u een Port Forwarding/Open Port regel aan te maken welke ervoor zorgt dat poort 21 wordt doorgestuurd naar de FTP server. Op dit moment is poort 21 voor iedereen te benaderen, hiervoor dient u nog enkele firewall regels aan te maken. Deze firewall regels zijn van toepassing op verkeer van WAN -> LAN. 3
Voorbeeld 1: Gebruikers mogen alleen middels HTTP en DNS naar buiten communiceren, alle overige poorten worden geblokkeerd. Dit betreft een LAN -> WAN Firewall regel welke in 3 verschillende Firewall regels is opgebouwd. Regel 1: Allow HTTP verkeer Source: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Source is dus LAN. Destination: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Destination is dus WAN. Destination Port: We willen poort 80 toestaan, dus geven we deze op bij Destination port. Source Address: Voor wie is de Firewall regel actief, in dit geval is het voor het gehele netwerk. We kiezen dus voor 192.168.1.0/24. (/24 : 255.255.255.0) Destination Address: In dit geval gaat het om het gehele internet, dus laten we dit gedeelte leeg. Het kan ook zijn dat u verkeer naar een bepaald publiek IP-adres wilt filteren. Dan dient u hier het publieke IP-adres op te geven. (bijvoorbeeld 80.81.82.83/32) Action: Accept, Drop of Reject. In dit geval kiezen we voor ACCEPT. 4
Regel 2: Allow DNS verkeer Source: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Source is dus LAN. Destination: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Destination is dus WAN. Destination Port: We willen poort 53 toestaan, dus geven we deze op bij Destination port. Source Address: Voor wie is de Firewall regel actief, in dit geval is het voor het gehele netwerk. We kiezen dus voor 192.168.1.0/24. (/24 : 255.255.255.0) Destination Address: In dit geval gaat het om het gehele internet, dus laten we dit gedeelte leeg. Het kan ook zijn dat u verkeer naar een bepaald publiek IP-adres wilt filteren. Dan dient u hier het publieke IP-adres op te geven. (bijvoorbeeld 80.81.82.83/32) Action: Accept, Drop of Reject. In dit geval kiezen we voor ACCEPT. 5
Regel 3: Block ALL Source: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Source is dus LAN. Destination: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Destination is dus WAN. Destination Port: We willen alles blokkeren, dus geven we de gehele reeks op. (1 t/m 65535) Source Address: Voor wie is de Firewall regel actief, in dit geval is het voor het gehele netwerk. We kiezen dus voor 192.168.1.0/24. (/24 : 255.255.255.0) Destination Address: In dit geval gaat het om het gehele internet, dus laten we dit gedeelte leeg. Het kan ook zijn dat u verkeer naar een bepaald publiek IP-adres wilt filteren. Dan dient u hier het publieke IP-adres op te geven. (bijvoorbeeld 80.81.82.83/32) Action : Accept, Drop of Reject. In dit geval kiezen we voor DROP. 6
Voorbeeld 2 : Alleen de E-mail server mag naar buiten communiceren via poort 25, alle andere werkstations kunnen niet naar buiten communiceren middels poort 25. Zodoende kunt u voorkomen dat er spam verstuurd wordt vanaf bepaalde werkstations, wat uiteindelijk kan leiden tot een poort 25 blokkade van de ISP. Regel 1: Allow SMTP verkeer van e-mail server Source: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Source is dus LAN. Destination: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Destination is dus WAN. Destination Port: We willen poort 25 toestaan voor de e-mail server, dus geven we deze op bij Destination port. Source Address: Voor wie is de Firewall regel actief, in dit geval alleen voor de e-mail server welke bij ons een IP-adres 192.168.1.2 heeft. We kiezen dus voor 192.168.1.2/32. (/32 : 255.255.255.255) Destination Address: In dit geval gaat het om het gehele internet, dus laten we dit gedeelte leeg. Het kan ook zijn dat u verkeer naar een bepaald publiek IP-adres wilt filteren. Dan dient u hier het publieke IP-adres op te geven. (bijvoorbeeld 80.81.82.83/32) Action: Accept, Drop of Reject. In dit geval kiezen we voor ACCEPT. 7
Regel 2: Blokkeer SMTP verkeer voor het gehele netwerk Source: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Source is dus LAN. Destination: Het gaat om een firewall regel van binnen naar buiten, dus LAN -> WAN. De Destination is dus WAN. Destination Port: We willen poort 25 blokkeren, dus geven we deze op bij Destination port. Source Address: Voor wie is de Firewall regel actief, in dit geval is het voor het gehele netwerk. We kiezen dus voor 192.168.1.0/24. (/24 : 255.255.255.0) Destination Address: In dit geval gaat het om het gehele internet, dus laten we dit gedeelte leeg. Het kan ook zijn dat u verkeer naar een bepaald publiek IP-adres wilt filteren. Dan dient u hier het publieke IP-adres op te geven. (bijvoorbeeld 80.81.82.83/32) Action: Accept, Drop of Reject. In dit geval kiezen we voor DROP. 8
Voorbeeld 3: U maakt gebruik van een interne FTP server welke u toegankelijk wilt maken voor bepaalde externe IP-adressen. In eerste instantie dient u een Port Forwarding/Open Port regel aan te maken welke ervoor zorgt dat poort 21 wordt doorgestuurd naar de FTP server. Op dit moment is poort 21 voor iedereen te benaderen, hiervoor dient u nog enkele firewall regels aan te maken. Deze firewall regels zijn van toepassing op verkeer van WAN -> LAN. Regel 1: Toestaan publiek IP-adres naar interne FTP server op poort 21. Source: Het gaat om een firewall regel van binnen naar buiten, dus WAN -> LAN. De Source is dus WAN. Destination: Het gaat om een firewall regel van binnen naar buiten, dus WAN -> LAN. De Destination is dus LAN. Destination Port: We willen poort 21 toestaan voor de FTP server, dus geven we deze op bij Destination port. Source Address: Voor wie is de Firewall regel actief, in dit geval alleen voor het publieke IP-adres 80.81.82.83/32. (/32 : 255.255.255.255) Destination Address: Hier geven we het IP-adres op van de FTP server, in dit geval 192.168.1.3/32. (/32 : 255.255.255.255) Action: Accept, Drop of Reject. In dit geval kiezen we voor ACCEPT. Time Profile : Eventueel kunt u een tijd profiel aan de firewall regel koppelen. 9
Regel 2: Blokkeer alles naar poort 21. Source: Het gaat om een firewall regel van binnen naar buiten, dus WAN -> LAN. De Source is dus WAN. Destination: Het gaat om een firewall regel van binnen naar buiten, dus WAN -> LAN. De Destination is dus LAN. Destination Port: We willen poort 21 blokkeren voor de FTP server, dus geven we deze op bij Destination port. Source Address: Hier vullen we niets in aangezien we alles willen blokkeren naar poort 21. Destination Address: Hier geven we het IP-adres op van de FTP server, in dit geval 192.168.1.3/32. (/32 : 255.255.255.255) Action: Accept, Drop of Reject. In dit geval kiezen we voor DROP. 10
Voorbehoud We behouden ons het recht voor om deze en andere documentatie te wijzigen zonder de verplichting gebruikers hiervan op de hoogte te stellen. Afbeeldingen en screenshots kunnen afwijken. Copyright verklaring 2011 DrayTek. Alle rechten voorbehouden. Niets uit deze uitgave mag worden vermenigvuldigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of enige andere manier, zonder voorafgaande toestemming van de uitgever. Voor zover het maken van kopieën uit deze uitgave is toegestaan op grond van artikel 16B Auteurswet 1912 j het Besluit van 20 juni 1974, St.b. 351, zoals gewijzigd bij Besluit van 23 augustus 1985, St.b. 471 en artikel 17 Auteurswet 1912, dient men de daarvoor wettelijk verschuldigde vergoedingen te voldoen aan de Stichting Reprorecht. Voor het opnemen van gedeelte(n) uit deze uitgave in bloemlezingen, readers of andere compilatie- of andere werken (artikel 16 Auteurswet 1912), in welke vorm dan ook, dient men zich tot de uitgever te wenden. Ondanks alle aan de samenstelling van deze handleiding bestede zorg kan noch de fabrikant, noch de auteur, noch de distributeur aansprakelijkheid aanvaarden voor schade die het gevolg is van enige fout uit deze uitgave. Registreren U kunt via www.draytek.nl/registratie uw product registreren. Geregistreerde gebruikers worden per e-mail op de hoogte gehouden van nieuwe firmware versies en ontwikkelingen. Trademarks Alle merken en geregistreerde merken zijn eigendom van hun respectievelijke eigenaren. 11