Hallo!
Jetzt stehe ich auf der Leitung, wer kann mir helfen?
Wenn ich auf der Firewall einen Dienst erstelle z.B
UDP 123 (NTP) und diesen erlaube, muss ich dann eine Regel für ausgehend „UND“ eingehend erstellen, oder reicht es, wenn ich dieses ausgehend erlaube?
UDP ist nicht verbindungsorientiert!
Kriegt die Firewall mit, daß eine UDP Antwort erlaubt ist, wenn gerade die Anfrage raus gegangen ist.
Ich denke, daß es auch von der Firewall abhängt. Eine inteligente Firewall sollte das doch schaffen?
Ich habe im Webinterface auf der Firewall nicht die Möglichkeit, Dienste eingehend zu erlauben. Nur Portforwarding / statisches NAT, ich denke aber, daran brauche ich nicht zu feilen?
Wer kann helfen? Ich verwende hier eine Symantec Firewall/VPN.
tks!
Herbert
Hallo,
normalerweise reicht es, den Port/das Protokoll nach draussen zu lassen. Eingehend ist nicht notwendig, da durch den ausgehenden Verkehr ja die Sache bereits in der Stateful-Table steht und die Firewall normalerweise damit erkennt, daß dies die Antwortpakete für die ausgehenden Anfrage sind.
Gruss
AgentJ
Wenn ich auf der Firewall einen Dienst erstelle z.B
UDP 123 (NTP) und diesen erlaube, muss ich dann eine Regel für
ausgehend „UND“ eingehend erstellen, oder reicht es, wenn ich
dieses ausgehend erlaube?
NTP kann ein wenig seltsam sein, das musste ich in beide Richtungen zulassen. Für „normale“ UDP-Kommunikation reicht es normalerweise jedoch, ausgehende Kommunikation zuzulassen, die Pakete werden dann einer Art Pseudoverbindung zugeordnet. Genau dieser Punkt scheint bei NTP teilweise problematisch zu sein.
Ich denke, daß es auch von der Firewall abhängt. Eine
inteligente Firewall sollte das doch schaffen?
Der Paketfilter von Linux hat z.B. keine Probleme mit einer Regel „verwerfe alle Pakete, die nicht einer bestehenden Verbindung zuzuordnen sind“. Das kann allerdings je nach Implementierung ein wenig abweichen. Wenn zu dem Thema nichts in der Dokumentation steht müsstest du es halt ausprobieren.
Ich habe im Webinterface auf der Firewall nicht die
Möglichkeit, Dienste eingehend zu erlauben. Nur Portforwarding
/ statisches NAT, ich denke aber, daran brauche ich nicht zu
feilen?
Für die Firewall selber sollte es auch keinen Sinn machen, mehr Dienste als die für die Verwaltung absolut notwendigen, also z.B. SSH und HTTPS, zuzulassen. Da läuft ja im Idealfall nichts drauf, was antworten könnte.