Hallo zusammen,
wir haben eine klassische DENY ALL Strategie.
Nun versuchen wir gerade die IONOS Videochatlösung zum Laufen zu bringen.
Lt. IONOS müssen nur Ports 80 und 53 für http und DNS offen sein.
Die sind natürlich auch offen.
Dennoch werden an der FW 2 UDP Ports immer wieder abgewiesen.
Es sind immer 2 aufeinanderfolgende dynamische UDP Ports (im Bereich 49152 -65535).
IONOS ist der Meinung, eine korrekt eingerichtete Firewall würde dynamische Ports zulassen.
Wo ist mein Denkfehler?
Wäre für Hilfe echt dankbar.
Gruß
Sven
Dynamische UDP Ports bei Webapplikaktion und DENY ALL
Moderator: Lancom-Systems Moderatoren
Re: Dynamische UDP Ports bei Webapplikaktion und DENY ALL
Hi,
das riecht nach RTP-Strömen.
Es ist richtig, daß die LC FW mit den UDP-Sessions richtig umgehen kann, sofern diese erlaubt (!) sind.
Also folgende Lösungsmöglichkeiten:
1) Ports erlauben
2) Software umkonfigurieren (UDP abschalten)
3) Auf anderes Produkt wechseln
VG
das riecht nach RTP-Strömen.
Es ist richtig, daß die LC FW mit den UDP-Sessions richtig umgehen kann, sofern diese erlaubt (!) sind.
Also folgende Lösungsmöglichkeiten:
1) Ports erlauben
2) Software umkonfigurieren (UDP abschalten)
3) Auf anderes Produkt wechseln
VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
n* LC und vieles mehr...
Re: Dynamische UDP Ports bei Webapplikaktion und DENY ALL
Hey danke für die Info.
ich vermute auch dass die da RTP Streams aufmachen.
Zu den Ansätzen:
1) Tja nur welche? Das Portpaar dass von der FW geblockt wurde, war immer ein anderes.
IONOS kann mir aktuell auch nicht sagen welchen Bereich die nutzen...."das ist eine reine WebApplikation, da müssen Sie garnichts machen" war die Info des 1st Level Supports..ja ne ist klar
Und den kompletten Range möchte ich ungern aufmachen.
2) Wird wohl nicht gehen
3) ist wahrscheinlich das Mittel der Wahl.
Aber jetzt mal blöd gefragt:
Warum werden die Ports denn geblockt ? Ich dachte ein Port über den ein Rechner von innen nach außen gehen will, wird in der FW erlaubt, weil es von innen initiiert wurde..oder hab ich da nen Denkfehler?
S.
ich vermute auch dass die da RTP Streams aufmachen.
Zu den Ansätzen:
1) Tja nur welche? Das Portpaar dass von der FW geblockt wurde, war immer ein anderes.
IONOS kann mir aktuell auch nicht sagen welchen Bereich die nutzen...."das ist eine reine WebApplikation, da müssen Sie garnichts machen" war die Info des 1st Level Supports..ja ne ist klar
Und den kompletten Range möchte ich ungern aufmachen.
2) Wird wohl nicht gehen
3) ist wahrscheinlich das Mittel der Wahl.
Aber jetzt mal blöd gefragt:
Warum werden die Ports denn geblockt ? Ich dachte ein Port über den ein Rechner von innen nach außen gehen will, wird in der FW erlaubt, weil es von innen initiiert wurde..oder hab ich da nen Denkfehler?
S.
Re: Dynamische UDP Ports bei Webapplikaktion und DENY ALL
Hi firefox_i
Gruß
Backslash
dann wirst du nicht umhinkommen, für den Dienst alle UDP-Ports zu erlauben - aber sinnvollerweise nur von dir zum Server:IONOS kann mir aktuell auch nicht sagen welchen Bereich die nutzen....
Code: Alles auswählen
Aktion: übertagen
Quelle: alle Stationen im lokalen Netz
Ziel: IP des IONOS-Servers
Dienste: UDPweil du eine Deny-All-Regel hast - die sperrt alles, was nicht explizit erlaubt ist.Warum werden die Ports denn geblockt ?
Wie kommst du denn darauf? Die Firewall macht das, was du in den Regeln schreibst. Zudem kennt sie kein "innen" und "aussen" - sie kennt nur Quelle und Ziel einer Session.Ich dachte ein Port über den ein Rechner von innen nach außen gehen will, wird in der FW erlaubt, weil es von innen initiiert wurde..oder hab ich da nen Denkfehler?
Gruß
Backslash