Gibt es eine Möglichkeit irgendwo einzustellen wie lange bestimmte Ports in der Firewall offen bleiben (bei NAT)?
Konkret:
Unser imap Server hält relativ lange die Ports zu den Clients offen, um imap push zu realisieren. Nach einiger Zeit blockt aber die Lancom FW (zu sehen an Source Port 993 -> xxxxx Port) dann die jeweilige Verbindung und wirft entsprechende Meldungen (entsprechende DMZ deny out Regel greift dann).
Sitzung-Wiederherstellung ist auf "erlauben" gesetzt, daran liegts also nicht.
Idle Time für offene Ports
Moderator: Lancom-Systems Moderatoren
Hi tom_tav,
auf Ports bezogen kann man das nicht einstellen. Nur global mit TCP- und UDP Aging (Konfiguration -> IP-Router -> Maskierung). Damit wäre ich aber SEHR vorsichtig, da diese Einstellungen globale Auswirkungen haben! Irgendwann kann man dann im schlimmsten Fall beispielsweise keine Session mehr öffnen, da keine freien Ports mehr zur Verfügung stehen.
Gruß
Pothos
auf Ports bezogen kann man das nicht einstellen. Nur global mit TCP- und UDP Aging (Konfiguration -> IP-Router -> Maskierung). Damit wäre ich aber SEHR vorsichtig, da diese Einstellungen globale Auswirkungen haben! Irgendwann kann man dann im schlimmsten Fall beispielsweise keine Session mehr öffnen, da keine freien Ports mehr zur Verfügung stehen.
Gruß
Pothos
Gruß
Pothos
Pothos
Hi tom_tav
BTW: Statt die TCP-Timeouts hochzuziehen, wäre es u.U. Sinnvoller, zu schauen, ob dein Mail-Client nicht das Senden von Keep-Alive-Paketen unterstützt. Wenn ja, dann sollten sie nach max. 4 Minuten gesendet werden, denn der Default für den TCP-Timeout beträgt 5 Minuten (300 Sekunden)
Gruß
Backslash
Sitzungswiederherstellung funktioniert nur in der Firewall und nur *ohne* Maskierung. Bei aktiver Sizungswiederherstellung werden TCP-Zustände von der Firewall sehr lachs nachgehalten (um nicht zu sagen: ignoriert)...Danke für die Info. Auf welcher Basis funktioniert eigentlich die Wiederherstellung von Sitzungen (bzw. funktioniert nicht)?
Für UDP gilt ein im Default ein Timeout von 20 Sekunden - den solltest du wenn du IPSec mit NAT-T nutzt auf 40 Sekunden hochstellen (denn bei NAT-T läuft i.A. nach 30 Sekunden ein Keep-Alive Paket...).Neben den imap Ports hab ich die Probleme auch mit ipsec Verbindungen (Port 4500 & 500) die massenhaft die Deny Out Regel triggern.
BTW: Statt die TCP-Timeouts hochzuziehen, wäre es u.U. Sinnvoller, zu schauen, ob dein Mail-Client nicht das Senden von Keep-Alive-Paketen unterstützt. Wenn ja, dann sollten sie nach max. 4 Minuten gesendet werden, denn der Default für den TCP-Timeout beträgt 5 Minuten (300 Sekunden)
Gruß
Backslash
