Hi Herbert,
ist zwar schon lange her, daß ich mich näher damit beschäftigt habe, aber ich versuch´s mal:
Müssen für UDP auf der Firewall für eine Kommunikation
grundsaätzlich beide Richtungen offen sein.
UDP ist stateless (zustandsfrei) und daher auch unverlässlich. Etwas schickt eine UDP-Nachricht ab und das war´s auch schon wieder. Ob sie ankommt oder nicht wird nicht überprüft. Vielleicht antwortet jemand darauf, vielleicht auch nicht.
IIRC enthält der Header lediglich die IP-Adressen von Absender und Empfänger sowie deren Port-Nummern (irgendwas gibt´s noch, müßte ich nachlesen, auch google würde helfen).
Beispiel:
Ich schicke eine TCP Anfrage raus (z.B: HTTP), dann mach ich
auf der Firewall HTTP outgoing auf. Da es sich hier um eine
„ECHTE“ Verbindung handelt, kommt das Antwortpacket durch die
Firewall durch. Dazu brauche ich nich noch incomming
aufmachen.
Kommt darauf an. Wenn Du einen vernünftigen Filter sowie die entsprechende Grundsatzregel (alles verbieten, was nicht grundsätzlich erlaubt ist) hast, mußt Du beides freigeben. Es können ja auch Pakete gefälscht sein (z.B. SYN - ACK - Thematik). Solltest Du jedoch alles erlauben, was nicht explizit verboten ist, schaut die Sache anders aus.
BTW, was setzt Du als Firewall ein? Wie lautet Dein Konzept?
Nur UDP: Es gibt keine Verbindungen (verbindungslos), und ich
erhalte doch eine Antwort auf meine Anfrage. Z.B: DNS oder
SNTP.
So sollte es sein.
Damit ich die Antwort durch die Firewall kriege, muß ich UDP
grundsätzlich in beide Richtungen öffnen? Also auch incomming?
Um auf Deine Frage zurückzukommen: Siehe oben - grundsätzlich sollte es so sein.
Gruß,
Herbert
PS: Im Zweifelsfall hilft probieren und Logfileauswertung…
