generelle Frage zu Firewall-Regeln

Question

Hallo, 
 ich habe eine generelle Frage zu den Firewall-Regeln: 
 Wenn ich eine Regel erstelle z.B. 
 Internal -> Port ... -> any 
 So ist dieses doch nur eine Regel von innen nach au&szlig;en oder? 
 D.h. nach innen kann jemand nur &uuml;ber den Port zugreifen, wenn vorher ein Client aus dem internen Netzwerk nach au&szlig;en &uuml;ber den Port an eine Adresse zugegriffen hat oder? 
 Muss man sich bei diesen Regeln sorgen machen, wenn als Ziel "any" definiert wird? Oder ist es hier ratsam, auch immer nur das betreffende Ziel anzugeben? Teilweise ist dieses ja nicht immer defnierbar... 
 
 Gru&szlig; und dank

apijnappels · Answer

Entschuldige mich f&uuml;r Antwort in English: 
 This is indeed only a rule from inside to any (not just outside but any other network). 
 If you make a connection from inside to somewhere else then return traffic usually is possible (not just over this port since communication takes place TO the port you define but FROM a very different port usually. However that is not a problem. 
 Going to any is not really a problem but as I said before any is really any (also possibly networks on the other side of VPN-tunnels you may have or other network segments inside your own infrastructure. If the traffic is going to "the Internet" then you can use the definition Internet IPv4 and/or Internet IPv6 instead of any. 
 The safest option however is to only allow the traffic to the destination(s) the traffic is destined for. Ports that are not open to every location in the world also can not be used to communicate over (imagine some ransomware that's trying open ports to phone home to send the encryption key, if it can't phone home you may be lucky). 
 If you do some research you will find that for a lot of services you can find the destination (either an IP-address or -range or a DNS-hostname) and indeed sometimes it's just not possible to determine what is the exact destination. In that case make sure you define the Port(s) as good a possible and use Internet IPv4/6 as destination.

Frederik Hüser · Answer

Ah ok, 
 und was hast du als Ziel genommen? 
 Jetzt hast du da ja nur die Dienste definiert oder? 
 Meine Regel sieht so aus und scheint zu funktionieren: 
 
 Wobei bei mir diese 4 Ports alles TCP-Ports sind.

Frederik Hüser · Answer

Ok, besten Dank! 
 Kannst du zuf&auml;llig was zu Teamviewer sagen?

Frederik Hüser · Answer

Ok, das schaue ich mir mal an! 
 Ist es eigentlich m&ouml;glich, die interne Quelle nur auf bestimmte Handys/Tablets/Pc`s einzuschr&auml;nken?

Frederik Hüser · Answer

Wie mache ich das denn z.B. bei einem Handy oder Tablet?

Frederik Hüser · Answer

Wie genau funktioniert dieser denn? 
 D.h. dann m&uuml;sste ich keine Firewall-Regeln anlegen?

Frederik Hüser · Answer

Also wenn ich dort die Einstellungen f&uuml;r TeamViewer und WhatsApp setze und die Firewall-Regel deaktiviere, laufen weder WhatsApp noch TeamViewer. 
 Anscheinend geht es dann wohl doch nicht?!

Frederik Hüser · Answer

Guten Morgen, 
 k&ouml;nnte ich die Eingrenzung auch nur anhand des Ger&auml;tenamens vornehmen? Ohne IP bzw. DHCP-Bereich?

Frederik Hüser · Answer

Hm...also von der Reihenfolge muss das anders sein, weil wenn ich in der Application Control z.B. WhatsApp oder Teamviewer freigebe wird es trotzdem blockiert bzw. funktioniert nicht. Erst wenn ich die Firewall Regeln hinzuf&uuml;ge l&auml;uft es. 
 Kann das sein?