Warum ist Port 80 ins Internet offen?

[Raudi]

Hallo,

ich hatte es schon mal beim Problem mit dem CallManager erwähnt, da ich aber bis jetzt nichts gefunden habe, hier noch mal ein extra Beitrag zum Thema.

Habe einen 1781EF+ mit folgenden Optionen:
- AllIP
- WLC
- PublicSpot

Für den Port 80 gibt es kein Port forwarding. Es gibt auch eine DenyAll Regel die erstmal den ganzen Traffic blockiert und nur definierte Protokolle nach extern auf macht. Rein lasse ich nur HTTPS und SMTP.

Unter Admin habe ich allen Bereichen (von intern, von extern und über WLC Tunnel) das HTTP zur Konfiguration deaktiviert.

Dann ist aber immer noch der Port 80 offen, ich bekomme zwar eine Fehlermeldung:

port80.jpg

Aber warum ist das so?

Erst wenn ich im Bereich Admin den "Zugriff auf Web-Server-Dienste" vom WAN aus deaktiviere ist der Port dicht.

Auf einem anderen 1783VA habe ich dieses Verhalten nicht, daher würde mich mal interessieren warum das so ist, welche Einstellung dieses verursacht.

Viele Grüße
Stefan

[garfield0815]

hat der andere auch die puplic spot option ???

[Raudi]

Nein, aber die PublicSpot ist aktuell nur als Lizenz installiert und nicht weiter konfiguriert.

Aber hier würde ich denken, dass dafür übers WLAN der Port 80 offen ist und nicht übers WAN.

[garfield0815]

dan würde ich es halt mahl konfiguriren oder deaktiviren

[Raudi]

Aber die ist auf allen Interfaces deaktiviert. Habe da bis jetzt nichts gefunden um das weiter zu deaktivieren.

Werde noch mal suchen...

[5624]

Zum einen: die Firewall greift an der Stelle nicht. Die Firewall wirkt nur zusammen mit dem IP-Router. Die Management-Interfaces liegen parallel zum IP-Router und sind nicht durch die Firewall geschützt. Also eventuelle Regeln greifen nicht.

Dass du das Management per HTTP auf der WAN-Schnittstelle abgeschaltet hast, sieht man, sonst würde dort das WEBconfig-Anmeldeformular erscheinen.

Wenn du dir mal die Hilfetexte im LANconfig angeschaut hättest, würdest du wissen, wofür bei "Zugriff auf Web-Server-Dienste" der Punkt automatisch steht bzw. was dieser tut. Du schreibst selbst, dass du die WLC-Option hast. Warum auch immer wird HTTP für CAPWAP benötigt und deswegen wird der Port automatisch geöffnet. CAPWAP aus (oder den Punkt auf deaktiviert setzen) und der Port ist vom WAN aus geschlossen.

[Raudi]

Hättest, würdest... Habe ich dir etwas getan, klingt ehrlich gesagt nicht gerade nett, eher vorwurfsvoll deine Nachricht...

Aber um auf das Thema zurück zu kommen, ich habe CAPWAP aus dem WAN nur über VPN erlaubt, nach dieser Vorgabe:

https://www.lancom-systems.de/docs/LCOS ... uests.html

Also kann es eigentlich nicht der Dienst sein, der den Port 80 ins WAN offen hält, wenn doch dann müsste das ein Bug sein.

[alf29]

Moin,

AFAIK hängt SCEP mit bei CAPWAP drin, wegen des Zertifikats-Enrollments an die APs. Und SCEP läuft wiederum über HTTP.

Gruß Alfred

[5624]

Hättest, würdest... Habe ich dir etwas getan, klingt ehrlich gesagt nicht gerade nett, eher vorwurfsvoll deine Nachricht...

War so nicht gemeint, so schreib ich einfach.

[Raudi]

Hi Alfred,

das mit den Zertifikaten meinte LoUiS auch schon in dem anderen Beitrag, er meinte das wäre die CRL, aber ich dachte ich habe hier keine CRL aktiv. (Nix eingetragen und auch im LANmonitor ist aktiv, aber evtl. bedeutet keine CRL auch nur das die interne verwendet wird ) O.k. aber der SCEP Client ist aktiv.

Also mal getestet, SCEP Client deaktiviert und Server Dienst wieder auf Automatisch gestellt.

Port 80 ist aber noch offen.

Testweise mal die gesamte CA deaktiviert und Port 80 ist dicht.

O.k. also die CA selbst macht den Port auf. Wäre also klasse, wenn man hier genauso festlegen könnte wie die CA auf Anfrage aus dem WAN reagieren soll, denn bei der Verwendung mit WLAN normal nicht nötig, eigentlich nur wenn man die CA für VPN's nutzt.

Viele Grüße
Stefan

[Raudi]

Hättest, würdest... Habe ich dir etwas getan, klingt ehrlich gesagt nicht gerade nett, eher vorwurfsvoll deine Nachricht...

War so nicht gemeint, so schreib ich einfach.

O.k. dann ist ja gut...