Firewall en Port Forwarding op een Prestige 623, 660, 661, 662, 2602 of 2608
referentie Z156I
Version Française:  

Dit document geeft instructies voor het instellen van Port forwarding (poortverwijzing) en de firewall op een ZyXEL Prestige 623, 660, 661, 662, 2602 of 2608 ADSL router. Zij zijn nodig voor het gebruik van programma's welke niet goed met een router overweg kunnen, een web- of mailserver of het instellen van een beveiliging op maat.

Port forwarding is een soort richtingaanwijzer voor verkeer vanaf het internet.
Normaal kan een computer in een netwerk gemakkelijk dingen van het internet afhalen. Vanaf het internet kan men echter niet zomaar vrij bij één van de computers in het eigen netwerk. Dit geeft een stuk veiligheid, maar het is lastig als men een eigen web-, mail- of spelletjesserver wenst te gebruiken. U kunt de Prestige zo instellen dat hij het juiste internetverkeer netjes naar de juiste computer in het netwerk door verwijst.

Een Firewall is geen richtingaanwijzer, maar eerder een soort portier. De portier kijkt goed naar de inhoud van alles wat de router in- en uitgaat. Als dit niet klopt met de regels wordt het tegengehouden. Indien u Port forwarding instelt, dient u op een router met een firewall óók de instructies van de portier (de firewall) aan te passen. De 623R en 660R beschikken niet over een Firewall.
1: Voorbereidingen
2: Port forwarding instellen
3: Firewall instellen
4: IP Addressen toewijzen
5: NAT Loopback
6: Als het niet lukt ...

Relevante links

1: Voorbereidingen

1.1 Internet toegang
Zorg er altijd eerst voor dat u met uw Prestige ADSL-router normaal het internet kunt bereiken.
De benodigde instructies hiervoor kunt u vinden onder de link:
Internet instellen op een ZyXEL Prestige 623, 660, 661, 662 of 2602.
De router-functie moet "aan" staan (dit is bij een van de genoemde modellen standaard het geval, tenzij u dit eerder heeft gewijzigd of u een 660R gebruikt i.c.m. Demon internet).
Zorg er ook voor dat u het hoofdmenu met instellingen kunt bereiken via een webbrowser. Dit wordt uitgelegd in de bovenstaande link.

1.2 Type inlogscherm
Verschillende versies ADSL routers hebben verschillende menu's. Dit betekent dat de instructies om poorten en firewall in te stellen soms ook van elkaar verschillen.
Onthoudt welke stijl venster uw ADSL-router gebruikt. Als voorbeeld staan hieronder de vensters waarin u uw wachtwoord dient in te voeren.

1.3 Firmware (optioneel)
Is uw router meer dan een paar maanden oud dan raden we aan om de nieuwste firmware te gebruiken.
Zie hiervoor de link: Firmware vernieuwen.

2: Poorten instellen

2.1 Bepaal IP adres van de computer
Bepaal het IP adres van de computer in het netwerk waar het verkeer naartoe moet. Indien dit niet bekend is, kijk onder
IP instellen met MAC OS of IP instellen met Windows
In de omschrijvingen in dit document gaan we er verder van uit dat deze computer het IP adres 192.168.1.50 heeft.

2.2 Bepaal poorten
Verkeer tussen computers gebruikt "logische poorten" om te bepalen waar ze op welke computer precies moeten zijn. Als een IP adres te vergelijken is met een huisnummer, dan is een poort te vergelijken met een kamernummer in dat huis. U dient van te voren te weten welke poorten u wenst door te zetten. Meer over veel gebruikte poorten kunt u vinden onder Poorten. Veel gebruikte poorten zijn :
HTML (webserver, poort 80),
SMTP (25),
IKE (VPN, poort 500) en
FTP ( 21).

Veel spellen eisen dat u een bepaalde reeks aan poorten doorzet. Deze reeks wordt in de regel weergegeven in de (on-line) documentatie van het spel.

2.3 Kies één van de onderstaande voorbeelden
De keuze voor een van de onderstaande links toont stap voor stap welke instellingen u in de Prestige aan dient te passen.
   
Een enkele poort doorverwijzen (bv een webserver)   Een enkele poort doorverwijzen
Een groep poorten doorverwijzen   Een groep poorten doorverwijzen
Alle poorten doorverwijzen   Alle poorten doorverwijzen
Meerdere regels invoeren   Meerdere regels invoeren

Kies een van de bovenstaande opties voor nadere instructies!

3: Firewall instellen

3.1 Voorbereidingen
Prestige 660R en 623 modellen beschikken niet over een eigen firewall.

De firewall is de portier tussen uw thuisnetwerk (LAN genaamd) en de buitenwereld (WAN). Hij is standaard "vanaf de fabriek" zo ingesteld dat hij alleen informatie vanuit het WAN toelaat waar, door de gebruiker in het LAN, om is gevraagd. Al het andere wordt tegengehouden. Dit zorgt voor een veilig netwerk maar het voorkomt dat mensen van buiten bij (Game)servers in het eigen netwerk kunnen komen. Daarnaast biedt de Firewall een aantal mogelijkheden om het internetverkeer van en naar de computers in uw netwerk nauwkeurig te regelen.

Er zitten kleine verschillen in het venster dat u bij de verschillende modellen te zien kunt krijgen
maar meestal zijn de vensters en instructies vrijwel hetzelfde. Waar er belangrijke verschillen optreden wordt dit in de tekst weergegeven.

U heeft net als bij Port Forwarding van te voren een aantal gegevens nodig.:

  • Wat wil ik met de instellingen bereiken? Moet het verkeer worden geblokkeerd (Block) of juist worden toegestaan (Forward) ?
  • Waar komt het vandaan of moet het naar toe (wat weet ik van het IP adres van de computer) ?
  • Eventueel: Welke poorten gebruikt het verkeer (zie hoofdstuk 2) ?
  • Eventueel: Wat is de inhoud van het verkeer? Verschillende soorten internetverkeer maken gebruik van verschillende diensten, zoals UDP of FTP. Net als de poorten kan dit meestal worden opgezocht in de documentatie van het programma waarvoor men de aanpassing maakt.

    • Kies één van de onderstaande voorbeelden
    De keuze voor één van de onderstaande links toont stap voor stap welke instellingen u dient aan te passen.
De firewall uitzetten
Een Webserver doorverwijzen
Alle verkeer doorlaten naar één computer
Email blokkeren
Internet verkeer blokkeren voor een bepaalde tijd
Bittorrent: een voorbeeld van een "customized service"
Gedetailleerde uitleg bij meerdere regels

Kies een van de bovenstaande opties voor nadere instructies!





4: IP Adressen toewijzen

Afhankelijk van het model zijn er twee of drie manieren om er zeker van te zijn dat een bepaalde computer een bepaald IP adres krijgt toegewezen.
  1. In de juiste volgorde aansluiten. Indien uw netwerk gebruik maakt van dynamisch (automatisch) toegewezen IP-adressen, dan worden deze IP-adressen in een vaste volgorde toegewezen. Deze volgorde kunt u instellen vanuit het hoofdvenster onder 'LAN' - 'LAN setup'. De IP-adressen worden op volgorde uitgedeeld: de eerste computer krijgt het IP adres onder "client IP Pool Starting Address" (meestal 192.168.1.33), de tweede het daarop volgende adres (192.168.1.34) enzovoorts. Deze methode is het gemakkelijkst in te stellen, maar ook het gemakkelijkst te verstoren door bijvoorbeeld tussentijds andere computers aan te sluiten, een computer een tijd uit te zetten etc.
  2. U kunt de computer waarnaar wordt doorverwezen ook uitrusten met een vast IP adres. Op deze manier bent u er zeker van dat deze computer ook inderdaad altijd dit IP adres gebruikt. Dit is wat lastiger in te stellen (zie de links onder paragraaf 2) maar zekerder.
  3. Enkele (oudere) modellen bieden de mogelijkheid tot "Static DHCP". Hierbij worden de IP-addressen in een netwerk weliswaar automatisch uitgedeeld, maar sommige computers krijgen altijd hetzelfde IP-adres. Om dit in te stellen, dient de router het te ondersteunen en dient u het MAC-adres van de computer te kennen.

    Vul onder 'MAC Address' het MAC-adres in van de computer. U kunt dit vinden via de link Mac Address.
    Vul achter het adres van de computer in welk IP adres die computer moet krijgen (houdt er wel rekening mee dat deze in hetzelfde bereik moet liggen als de rest van het netwerk). Indien deze computer staat ingesteld op het dynamisch verkrijgen van een IP-adres zal deze altijd hetzelfde, opgegeven IP-adres krijgen.
  4. Op nieuwere modellen is deze laatste mogelijkheid terug te vinden onder 'Network > Lan >' en dan het tabblad 'Client list'.

    Hier vindt u een lijst van alle op dat moment op deze router aangesloten computers. In bovenstaand voorbeeld is dat dus maar een computer. Door "Reserve" AAN te zetten, zal de router nu altijd het aangegeven IP adres toewijzen naar deze computer. U kunt dit ook invoeren, zonder dat de computer met de router verbonden is, door achter IP-address het juiste IP-adres en achter 'MAC Address' het juiste MAC-adres in te tikken en daarna op 'Add' te klikken. Pas dan wel op op het gebruik van de juiste adressen.

5: NAT loopback

De 'NAT Loopback' functie maakt het mogelijk om interne servers ook vanaf interne machines, op het publieke IP-adres bereikbaar te maken. Dit staat standaard veelal "uit".
Probeer de volgende stappen.

  1. Zoek toegang tot de router met Telnet
  2. Zet de 'NAT Loopback' functie aan met het volgende commando in Telnet menu 24.8: ip nat loopback on, bijvoorbeeld: 
    Copyright (c) 1994 - 2005 ZyXEL Communications Corp.
ras> ip nat loopback
NAT loopback: off
ras> ip nat loopback on
ras>
  3. Zet de juiste poort door in de NAT/SUA Setup van de router.
  4. Registreer optioneel een domeinnaam voor uw router, bijvoorbeeld bij DynDNS.
Om deze wijziging permanent te maken, dient u het commando in de autoexec.net van de router te zetten. De procedure hiervoor kunt u vinden onder de link
Autoexec.net aanpassen.

6: Als het niet wil lukken ....

Port forwarding en firewall-instellingen zijn wat ingewikkelder dan het verwisselen van een gloeilamp, dus kan er nogal wat verkeerd gaan.
Hieronder is een lijst met de meest voorkomende oorzaken te vinden:

  1. Vergeet de firewall niet in te stellen. Vaak is men er niet met alleen het doorgeven van de juiste poorten. Veel ADSL-routers hebben ook een ingebouwde firewall, welke als extra beveiliging verkeer tegen kan houden. Als u denkt dat de firewall mogelijk niet goed werkt of u de instellingen niet kunt volgen, probeer dan eens de firewall uit te zetten. Indien dit het probleem oplost, weet u zeker dat de oplossing dus in de firewall is gelegen. Het uitzetten van de firewall wordt beschreven in hoofdstuk 3.
  2. Verkeerde poorten invoeren. Indien u er aan twijfelt of u wel de goede poorten invoert, probeer dan als tijdelijk alternatief de instelling waarmee u alle poorten doorvoert. Indien dit ook niet helpt, weet u zeker dat dit de fout niet is. De instelling om alle poorten door te sturen wordt beschreven in hoofdstuk 2.
  3. Doorverwijzen naar de verkeerde computer. Alle instellingen in Port forwarding en de firewall hebben alleen nut als de IP-instellingen juist staan. Loop na of alle betrokken computers wel de juiste IP-instellingen hebben. Suggesties hiervoor worden gedaan in hoofdstuk 4.
  4. Andere firewalls. Indien u op een computer een normale firewall gebruikt dan kan deze er natuurlijk voor zorgen dat het gewenste verkeer wordt tegengehouden. De eenvoudigste manier om dit te testen is het (tijdelijk) uitzetten van de firewall(s) op de betrokken computer. Indien dat het probleem verhelpt, zult u de firewall van de computer ook moeten aanpassen aan de instellingen welke u in de ADSL-router heeft gedaan.
    Bekijk altijd welke beveiliging nog zinvol en nuttig is. Indien u bijvoorbeeld de firewall op de router uitzet en alle poorten doorgeeft aan een enkele computer achter de router (de "Default server") dan is het gebruik van een firewall op die specifieke computer sterk aan te bevelen. Hetzelfde geldt als u een computer in een "DMZ" gebruikt.
    Gebruikt u echter een normale computer voor huis-tuin en keuken taken dan is het gebruik van een extra firewall op die computer, naast de firewall in de ADSL-router en de beveiliging die de router uit zichzelf al tegen hackers biedt, in de meeste gevallen overbodig. Zie verder de link Hoe veilig is mijn router.
  5. Mocht het allemaal niet lukken, kunt u overwegen een mail te sturen naar de helpdesk.
    Zij kunnen u waarschijnlijk verder helpen. Voor meer informatie over de gegevens die zij nodig hebben zie de link:
    E-mail ondersteuning.


Relevante links:

Autoexec.net aanpassen
Internet instellen op een ZyXEL Prestige 623, 660, 661, 662 of 2602
IPconfig
IP instellen met MAC OS
IP instellen met Windows
Langzaam of vertragend internet.
Poorten
Telnet