Hallo,
ich erhalte plötzlich alle paar Minuten /Sekunden Firewall-Meldungen meiner Eingehend-Deny-ALL Regel (kommt am Ende der eingehenden Regeln für ein paar definierte Zugriffe):
EINGEHEND_DENYALL - UDP-Paket von 218.237.13.29:12345 nach 192.168.168.100:1500 - Paket verworfen
EINGEHEND_DENYALL - UDP-Paket von 178.34.158.38:1360 nach 192.168.168.100:1500 - Paket verworfen
EINGEHEND_DENYALL - UDP-Paket von 41.251.44.2:12074 nach 192.168.168.100:1500 - Paket verworfen
Es handelt sich um unterschiedlichste Quellen immer auf die IP meiner Workstation mit UDP 1500. Es gibt allerdings keine Forwarding Regel, daher die Frage wie kann der Zugriff aug die private IP sein bzw. was sollte ich evt. tun?
Danke und Gruß, Pauli
Firewall Meldungen mit Zugriff auf UDP 1500
Moderator: Lancom-Systems Moderatoren
Re: Firewall Meldungen mit Zugriff auf UDP 1500
Hi Pauli,
ggf. hat deine Workstation eine UDP-Session nach aussen aufgemacht und dabei den Quellport 1500 verwendet. Das NAT schaut bei einkommenden UDP-Paketen nicht auf Absenderadresse und Absenderport sondern nur auf den Zielport (sonst würde STUN nicht funktionieren). Wenn nun also in dem Moment, indem deine Workstation diese UDP-Session offen hat, ein UDP-Portscan bei dir ankommt, dann werden die Pakete des Scans die als Zielport den und den genatteten Port haben, erstmal vom NAT nach innen weitergeleitet, um dann von der DENY-ALL-Regel der Firewall gefangen zu werden...
Daher: Ein NAT ist nicht ausreichend, um Angriffe von aussen abzublocken - da muß immer noch eine Firewall her...
Gruß
Backslash
ggf. hat deine Workstation eine UDP-Session nach aussen aufgemacht und dabei den Quellport 1500 verwendet. Das NAT schaut bei einkommenden UDP-Paketen nicht auf Absenderadresse und Absenderport sondern nur auf den Zielport (sonst würde STUN nicht funktionieren). Wenn nun also in dem Moment, indem deine Workstation diese UDP-Session offen hat, ein UDP-Portscan bei dir ankommt, dann werden die Pakete des Scans die als Zielport den und den genatteten Port haben, erstmal vom NAT nach innen weitergeleitet, um dann von der DENY-ALL-Regel der Firewall gefangen zu werden...
Daher: Ein NAT ist nicht ausreichend, um Angriffe von aussen abzublocken - da muß immer noch eine Firewall her...
Gruß
Backslash
Re: Firewall Meldungen mit Zugriff auf UDP 1500
OK, hört sich schon ganz gut an - also müsste ich mal herausfinden was bzw. wer die UDP Session gestartet hat. Wie würdest Du das am Besten machen?backslash hat geschrieben:ggf. hat deine Workstation eine UDP-Session nach aussen aufgemacht und dabei den Quellport 1500 verwendet. Das NAT schaut bei einkommenden UDP-Paketen nicht auf Absenderadresse und Absenderport sondern nur auf den Zielport (sonst würde STUN nicht funktionieren). Wenn nun also in dem Moment, indem deine Workstation diese UDP-Session offen hat, ein UDP-Portscan bei dir ankommt, dann werden die Pakete des Scans die als Zielport den und den genatteten Port haben, erstmal vom NAT nach innen weitergeleitet, um dann von der DENY-ALL-Regel der Firewall gefangen zu werden...
Backslash
Also ist meine Konfig mit der DENY-ALL-Regel schon mal nicht so schlecht oder? Sollte ich noch etwas beachten?backslash hat geschrieben: Daher: Ein NAT ist nicht ausreichend, um Angriffe von aussen abzublocken - da muß immer noch eine Firewall her...
Backslash
Vielen Dank, Pauli
Re: Firewall Meldungen mit Zugriff auf UDP 1500
Hi Pauli,
Dann siehst du schonmal im LANmonitor, wann die Workstation die Session aufmacht - und da die Session geblockt ist, wirst du hoffentlich vom betreffenden Dienst eine Fehlermeldung auf deiner Workstation sehen. Sobald die Meldung im LANmonitor kommt könntest du dann mit "netstat" weitere information erhalten...
unter Linux gibt netstat -u -p alle offenen UDP-Ports und die PID des jeweiligen Prozesses, der einen Port geöffnet hat, aus
unter Windows gibt netstat -p UDP -b alle offenen UDP-Ports und die Namen des jeweiligen Programms, das einen Port geöffnet hat, aus
Ansonsten bleibt da noch eine Desktop-Firewall - so sie denn in der Lage ist, auf Quell-Ports zu filtern.
Gruß
Backslash
esrtmal mußt du natürlich feststellen, ob die Workstation überhaupt eine UDP-Session mit Quellport 1500 aufmacht... Das kannst du mit einer Firewallregel fangen, die als Quelle die IP der Workstation, als Ziel "alle Stationen" und als Quell(!)-Dienst den UDP-Port 1500 hat. Diese Regel sollte das Paket zurückweisen und eine SNMP-Meldung abschicken.OK, hört sich schon ganz gut an - also müsste ich mal herausfinden was bzw. wer die UDP Session gestartet hat. Wie würdest Du das am Besten machen?
Dann siehst du schonmal im LANmonitor, wann die Workstation die Session aufmacht - und da die Session geblockt ist, wirst du hoffentlich vom betreffenden Dienst eine Fehlermeldung auf deiner Workstation sehen. Sobald die Meldung im LANmonitor kommt könntest du dann mit "netstat" weitere information erhalten...
unter Linux gibt netstat -u -p alle offenen UDP-Ports und die PID des jeweiligen Prozesses, der einen Port geöffnet hat, aus
unter Windows gibt netstat -p UDP -b alle offenen UDP-Ports und die Namen des jeweiligen Programms, das einen Port geöffnet hat, aus
Ansonsten bleibt da noch eine Desktop-Firewall - so sie denn in der Lage ist, auf Quell-Ports zu filtern.
Gruß
Backslash
Re: Firewall Meldungen mit Zugriff auf UDP 1500
Super + vielen Dank! Ich habe es so und mit einer Personal Firewall herausgefunden!
Der Free Download Manager ist der Übeltäter und ist somit verbannt.
Gruß, Pauli
Der Free Download Manager ist der Übeltäter und ist somit verbannt.
Gruß, Pauli