Dynamische UDP Ports bei Webapplikaktion und DENY ALL

Forum zum Thema Firewall

Moderator: Lancom-Systems Moderatoren

Antworten
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Dynamische UDP Ports bei Webapplikaktion und DENY ALL

Beitrag von firefox_i »

Hallo zusammen,
wir haben eine klassische DENY ALL Strategie.

Nun versuchen wir gerade die IONOS Videochatlösung zum Laufen zu bringen.

Lt. IONOS müssen nur Ports 80 und 53 für http und DNS offen sein.
Die sind natürlich auch offen.
Dennoch werden an der FW 2 UDP Ports immer wieder abgewiesen.

Es sind immer 2 aufeinanderfolgende dynamische UDP Ports (im Bereich 49152 -65535).

IONOS ist der Meinung, eine korrekt eingerichtete Firewall würde dynamische Ports zulassen.

Wo ist mein Denkfehler?

Wäre für Hilfe echt dankbar.

Gruß
Sven
ua
Beiträge: 704
Registriert: 29 Apr 2005, 12:29

Re: Dynamische UDP Ports bei Webapplikaktion und DENY ALL

Beitrag von ua »

Hi,

das riecht nach RTP-Strömen.
Es ist richtig, daß die LC FW mit den UDP-Sessions richtig umgehen kann, sofern diese erlaubt (!) sind.
Also folgende Lösungsmöglichkeiten:
1) Ports erlauben
2) Software umkonfigurieren (UDP abschalten)
3) Auf anderes Produkt wechseln

VG
... das Netz ist der Computer ...
n* LC und vieles mehr...
firefox_i
Beiträge: 251
Registriert: 28 Jan 2015, 09:07

Re: Dynamische UDP Ports bei Webapplikaktion und DENY ALL

Beitrag von firefox_i »

Hey danke für die Info.
ich vermute auch dass die da RTP Streams aufmachen.

Zu den Ansätzen:

1) Tja nur welche? Das Portpaar dass von der FW geblockt wurde, war immer ein anderes.
IONOS kann mir aktuell auch nicht sagen welchen Bereich die nutzen...."das ist eine reine WebApplikation, da müssen Sie garnichts machen" war die Info des 1st Level Supports..ja ne ist klar :L)
Und den kompletten Range möchte ich ungern aufmachen.

2) Wird wohl nicht gehen

3) ist wahrscheinlich das Mittel der Wahl.


Aber jetzt mal blöd gefragt:
Warum werden die Ports denn geblockt ? Ich dachte ein Port über den ein Rechner von innen nach außen gehen will, wird in der FW erlaubt, weil es von innen initiiert wurde..oder hab ich da nen Denkfehler?

S.
backslash
Moderator
Moderator
Beiträge: 7010
Registriert: 08 Nov 2004, 21:26
Wohnort: Aachen

Re: Dynamische UDP Ports bei Webapplikaktion und DENY ALL

Beitrag von backslash »

Hi firefox_i
IONOS kann mir aktuell auch nicht sagen welchen Bereich die nutzen....
dann wirst du nicht umhinkommen, für den Dienst alle UDP-Ports zu erlauben - aber sinnvollerweise nur von dir zum Server:

Code: Alles auswählen

Aktion:   übertagen
Quelle:   alle Stationen im lokalen Netz
Ziel:     IP des IONOS-Servers
Dienste:  UDP
Warum werden die Ports denn geblockt ?
weil du eine Deny-All-Regel hast - die sperrt alles, was nicht explizit erlaubt ist.
Ich dachte ein Port über den ein Rechner von innen nach außen gehen will, wird in der FW erlaubt, weil es von innen initiiert wurde..oder hab ich da nen Denkfehler?
Wie kommst du denn darauf? Die Firewall macht das, was du in den Regeln schreibst. Zudem kennt sie kein "innen" und "aussen" - sie kennt nur Quelle und Ziel einer Session.

Gruß
Backslash
Antworten