Port Forwarding

[red 2 illusion]

.


Warum sich der TCP Port 80 nicht auch für einen Trojaner eigenen sollte bleibt mir verschlossen


Glaub jeder Router in A. muß ATM fähig sein, ein weiteres Protokoll was nicht geblockt werden kann. Dann noch ARP und RFC darauf hast auch keinen Einfluss.


Ich denk mir der Router ist eh mehr so ein Emmentaler und auf die Lücken durch Forwarding kommts dann auch nicht mehr an.

[hps_hstein]

Es is auch ned Sinn einer Firewall, ATM zu blocken, genauso wenig wie es Sinn is, vor einem VPN-Server eine Firewall zu betreiben, der VPN-Zugriff verhindert. Außerdem glaube ich is ATM eine Netzwerkform und kein Protokoll...

[another1]

grundsätzlich hab ich bis jetzt von appl-ports gesprochen. tcp/udp/icmp liegt eine ebene drunter.

ich mach kein geheimnis draus, was bei mir outgoing berechtigt ist.
und das ist nur http, https, dns und mail.
außerdem läuft ein log mit, das mir anzeigt welches prog bzw. welcher proc hinaus will.

sollte ich kurz ein anderes port benötigen, dann mach ich es für die kurze verbindungszeit auf - und nimm es dann aus der permit rule wieder raus.

ATM = Netzwerkprotokoll ist auf DLC-Ebene (Ebene2). Darunter auf Ebene1 ist z.B. SDH/Sonet, Kupfer (wie bei xDSL, wenn zum DSLAM ATM und nicht Ethernet aktiv ist), u.a.

[blauesau]

Zitat:

Original geschrieben von red 2 illusion
Stimmt nicht, die meisten Anwendungen haben einen festen Bereich von Ports den sie nutzen, dazu erlauben viele Router PortRange-forwarding einzurichten, forwarding wird zuerst ausgeführt und ist praktisch ein Tunnel die Paktete müssen nicht berechnet oder gespeichert werden und damit haben sie in jedem Router die geringste Durchlaufzeit.

Irgendwie wird hier viel geschwafelt - aber am Thema vorbei.

Wenn er dem Internet Server-Anwendungen zugänglich machen will, wird er sowieso ein FW einrichten müssen, da von außen nach innen keine Verbindungen aufgebaut werden dürfen, solange das nicht explizit erlaubt ist (NAT/PAT).

Ich weiß nicht, wie man hier Port-FW für Performancesteigerungszwecke nützen könnte. Entweder man braucht es sowieso oder man braucht es nicht...

[red 2 illusion]

Zitat:

Original geschrieben von blauesau


Ich weiß nicht, wie man hier Port-FW für Performancesteigerungszwecke nützen könnte. Entweder man braucht es sowieso oder man braucht es nicht...

Viele Anwendungen laufen auch passiv daher mußt du zuerst die Verbindung aufbauen damit der Router Daten reinläßt. Das ist natürlich mit Rechenleistung verbunden die Zeit kostet. Forwarding wird jetzt aber für bestimmt IPs/Rechner eingerichtet, daher haben nicht alle Rechner im Netz einen Tunnel sondern z.B. nur deiner.

Zitat:

Wenn er dem Internet Server-Anwendungen zugänglich machen will, wird er sowieso ein FW einrichten müssen

Nö, dazu gibts einen Server in der DMZ oder interne Proxies. SpeedTouch schaltet aber bei einem Rechner in der DMZ den internen DNS-Server ab, kann daher nur proxie empfehlen.

[blauesau]

Ja, klar wir haben ja alle ne DMZ *daheim*...

[red 2 illusion]

Zitat:

Original geschrieben von blauesau
Ja, klar wir haben ja alle ne DMZ *daheim*...

Hast du SpeedTouch hast du DMZ = default Server.

[Theoden]

Hab jetzt seit Jahren verschiedene Linux-Firewallgateways im Einsatz und noch nie irgendwelche sicherheitstechnischen Probleme gehabt, sind auch meist ein Haufen Ports geöffnet bzw. geforwardet(P2P, verschiedene Server, Inet-Games, etc). Dabei läuft allerdings auch immer ein Intrusion Detection & Prevention Filter.
Ebenselber hats witzigerweise mal geschafft aussschliesslich miranda-user nach wenigen Sekunden die Verbindung zu trennen, bzw. gar nicht aufbauen zu lassen. Mit jedem anderen ICQ Client hats noch funktioniert...
Diese Regeln sollten also auch gepflegt werden.

Zitat:

Original geschrieben von blauesau
Ja, klar wir haben ja alle ne DMZ *daheim*...

Is ja nur ein Klick.
http://www.clarkconnect.com/
http://www.ipcop.org/
etc...