wiki:ZyfwUsgConfig

Konfiguration der zyfw-usg.p21.net

  1. Wesentliche Einstellungen
  2. Konfiguration absichern gegen Zugriffe von außen

Wesentliche Einstellungen

DNS

es können leider nur 8 DNS-Resolver zum forwarding eingetragen werden (die ZyWall 2plus kann immerhin 14)

Session Control
Zugriffspfad: Configuration->Security Policy->Session Control
Haken setzen bei Einstellung Enable Session Limit, an der Seiten-Unterkannte Apply drücken
statische Routen
leider sind keine Namen möglich, max 128 Einträge, zysh Kommandos:
  • zwbvpn: ip route 172.18.205.0 255.255.255.0 172.16.0.22
  • zwb Verw : ip route 192.168.0.0 255.255.255.0 172.16.0.22
  • zwb web br: ip route 192.168.40.0 255.255.255.0 172.16.0.22
  • zwb virbr: ip route 192.168.42.0 255.255.255.0 172.16.0.22
  • zwb intr: ip route 192.168.100.0 255.255.255.0 172.16.0.22
  • mt-nest: ip route 10.0.0.0 255.0.0.0 172.16.0.22
  • tinc vpn: ip route 172.16.11.0 255.255.255.0 172.16.0.22

Konfiguration absichern gegen Zugriffe von außen

Telnet
abschalten
FTP
Policy mit deny ALL und davor Zugriff nur für LAN1
SSH
Policy mit deny ALL und davor Zugriff nur für LAN1
WWW
http:// (Port 80) abschalten
https:// umstellen auf Port 2443, damit Port 443 für Server-Betrieb frei bleibt,
Security-Policy erstellen mit deny ALL und davor Zugriff nur für LAN1,
evtl. reicht die Policy schon aus, um das WAN-Serverport frei zu machen, aber ggf. werden SSL VPN Applikationen gewünscht, welche dann ebenfalls über den SSL-Port der ZyWALL gehen und dann doch den WAN-Port blockieren.
An der Seiten-Unterkannte Apply drücken.
Admin-Passwort, Admin-User
über das Web-Interface unter Configuration->Object->User/Group den Admin-User admin editieren und dort das Passwort ändern oder über die serielle Console/SSH/Web-Console mit folgenden Befehlen das Passwort ändern: 
Router> configure terminal 
Router(config)# username admin password strengGeheim user-type admin
Router(config)# exit
Router# _
Security-Policies
Unter Configuration->Security Policy->Policy Control den Haken bei Enable Policy Control setzen und alle nicht benötigten Policies abschalten, initial sinnvoll erscheinen folgende (welche nicht abgeschaltet werden):
  • Default auf deny setzen (nicht abschaltbar)
  • LAN1_Outgoing
  • LAN1_to_Device
  • Guest_Outgoing
an der Seiten-Unterkannte Apply drücken
UPnP
abschalten; wenn eines der no ... Kommandos fehl schlägt, war das Objekt nicht zugelassen 
Router> configure terminal 
Router(config)# ip upnp 
Router(config-upnp)# no upnp-igd activate
Router(config-upnp)# no nat-pmp activate 
Router(config-upnp)# no bypass-firewall activate 
Router(config-upnp)# no listen-interface lan1
Router(config-upnp)# no listen-interface lan2
Router(config-upnp)# no listen-interface guest
Router(config-upnp)# no listen-interface dmz
Router(config-upnp)# exit
Router(config)# exit
Router# _
Last modified 5 years ago Last modified on Aug 9, 2020, 4:01:58 PM