also ich hab mal geguckt, ich hab WLan-Box ohne internen S0-Bus, fuer welches es bei AOL schon eine neue Firmware *73 gibt und welche Portranges in der NAT-Konfig zulaesst. Selbstverstaendlich kann ich keine doppelten Eintraege anlegen, also NATmaessig bereits vergeben Ports kann ich nicht nochmal wohin weiterleiten, aber ich kann zB. Port 27500 (ab da habe ich selber keine mehr konfiguriert) bis Port 65535 (hoechst moeglicher Port der konfiguriert werden kann) einrichten, daher denke ich mal ohne andere Portfreigaben koennte ich auch 1-65535 angeben, notfalls halt in 2 Regeln. Richtig DMZ ist das ja auch nicht, sondern eine Weiterleitung auf eben eine spezielle IP, sprich es ist nicht moeglich 2 oder mehrere lokale IPs/Computer in dieses Pseudo-DMZ zu setzen, sondern nur eine.
Wenn du auch eine "alte" WLan-Box haben solltest, kann ich dir die 73er Firmware zukommen lassen, ansonsten heissts halt warten, also ich habe keinen Zweifel daran, das die naechsten Firmware-Releases von AVM Portranges bei allen Routermodellen beinhaltet, bis auf "kleine" Aenderungen in Bezug auf die Hardware ist die Software der unterschiedlichen Boxen ja identisch.
Alternative 2: du stellts unter den Internetoptionen ein, dass die Fritzbox auch als Modem genutzt werden kann und baust vom PC her eine PPPoE-Verbindung auf. Dann gilt Firewall-maessig nur was du unter Windows konfiguriert hast, so du eine Software-Firewall installert hast. Koennte aber, wenn die Fritzbox fuer VoIP (und andere PCs im Netztwerk) weiterhin als Router parallel genutzt wird, Probleme geben, wenn du die gleichen Zugangsdaten verwendest, haengt vom Provider ab. Nachteil auf jedenfall: fuer die direkte PPPoE-Einwahlverbindung ueber das reine Fritzbox-Modem greift Traffic-Shapening nicht, sollte also vom PC her ein schneller Up/Download erfolgen, wird das die VoIP-Verbindung stoeren.
Softwarefirewalls sind halt Programme die unter Windows, Linux, MacOS, oder was auch immer laufen, in der Regel lassen sich die aushebeln mit den richtigen Befehlen, insbesondere bei der windowseigenen Firewall kein Problem, zumindest nicht, wenn du mit einem Admin-Account arbeitest. Grosser Vorteil: man kann zumindest optional den Internetzugriff fuer einzelne Programme regeln, selbst wenn der selbe Port genutzt wird, erkennt eine Softwarefirewall in der Regel, welche Applikation dahinter steht und laesst eine Applikationsmaessige Konfiguration zu.
Eine Hardarefirewall macht z.B. bei Trojanern keine Probleme, da in diesem Fall zuerst eine Verbindung vom lokalen PC nach draussen aufgebaut wird und wie bei allen anderen Internet-Anwendungen auch, werden Antworten auf eine Anfrage einfach weitergeleitetan den PC, von dem diese Anfrage kam. Man kann sicherheitshalber aber "gefaehrliche" Ports, z.B. 130-140 und noch einige andere, muesste ich erst gucken, ueber die Nat-Konfig einer IP-Adresse zuweisen, welche kein PC im lokalen Netzwerk nutzt. Dann spielt es auch keine Rolle von welchem PC der Trojaner die Daten ins Internet schickt, zumindest Antworten auf entsprechenden Ports gehen fest vorkonfiguriert auf die nicht vorhandene IP im lokalen Netz, sind also wirkungslos.
Hardwarefirewalls sind eigentlich nix anderes wie Softwarefirewalls, besonderes bei modernen Routern haben sie auch keine wirklichen Vorteile und lassen sich mit den gleichen Tricks aushebeln. In der Regel laeuft auf Routern ja Linux, dementsprechend ist die Firewall genauso sicher/unsicher wie "die gleiche Firewall" auf einem Linux-PC installiert - eigentlich auch logisch denke ich, aber von daher wohl zumindest etwas sicherer als Windows-Firewalls, aber das auchLinux nicht unfehlbar ist, ist mittlerweile ja auch bekannt.
Wenn man von sicheren Hardwarefirewalls spricht, dann ist das z.B. die Firewall meines alten Zyxel-Prestige-310 Routers: das Teil konnte nicht viel, aber und das ist der entscheidende Unterschied, dort laeuft kein Linux (daher rannte der Router auch 2-3 Jahre am Stueck und setzte nur bei Strom- oder DSL-Ausfall aus) und es ist meist nicht so toll zu konfigurieren (ging halt nur ueber Telnet, kein Webinterface), aber das ganze lief unter ZynOS, einem Betriebssystem fuer Router von Zyxel. Das mag sicherlich auch Schwachstellen haben und sich aushebeln lassen, keine Frage, aber da es ja nur von wenigen Benutzern genutzt wurde, muss halt ein Zyxel-Router sein, gibt es wenn ueberhaupt, nicht viele bekannte Moeglichkeiten den Router zu hacken. Und die meisten Hacker "entwickeln" auch nur fuer den "Massenmarkt", fuer Windows halt, oder zumindest nur sehr selten fuer spezielle Betriebssysteme von Routern, wo der "Hack" dann auch nur auf diesem Routermodell, oder hoechstens noch auf Routern dieses Herstellers mit dem selben OS genutzt werden kann, daher ist es zumindest viel sicherer - bei alten Routern. Bei den neuen Linux-Dingern, die viel koennen und quasi unabhaengig vom Hersteller das Betriebssystem/die Firewall gleich sind, ist es natuerlich viel effektiver einen Hack zu basteln, wenn ich damit z.B. wenigstens 50% aller neuen Router "erreiche". Linux und Windows ist ja auch nix besonderes und geheimnissvolles, an den Sourcecode von z.B. Zyxels ZynOS kommt man zumindest nur wesentlich schwerer dran.
Nebenbei, der einzige Grund bei mir nachzugucken: die Antworten hier sind ja der Hammer
ein Hinweis auf die Gefahren von DMZ ist sicherlich gut, sinnvoll und immer ein angebrachter Tip, aber davon abgesehen war die Frage doch klar formuliert ?! also die Antworten sind ja noch uncooler wie die von AVM, die eben auch meinen mir nicht alle technisch problemlos machbaren Einstellmoeglichkeiten auf meinem Router zu lassen, was ich auch sehr traurig finde.
