Re: Connect Box -> IP und Port Filter reagiert nur... – Seite 2

Anstößigen Inhalt melden · ‎24.04.2018

Hallo zusammen,

finde es eine gute Sache, dass Forum hier wo sich User austauschen können, THUMBS UP dafür 😉

Ich versuche meine NEXTCloud auf Port 443 verfügbar zu machen.

Wenn ich die gleiche Konfiguration bis auf den Quellport, auf beliebig ändere, dann funktioniert es.

Es macht sicherheitstechnisch jedoch keinen Sinn alle Ports durch zulassen, welche alle auf 443 terminieren..

Es handelt sich bei dem Problem um jedwede Einschränkung, zb. auch nen Ping. Das Protokoll kann eingeschränkt werden, jedoch nicht der korrekt Port.

Kann das Phänomen jemand bestätigen oder bin ich hiermit alleine?

Ich bedanke mich Vorraus

wwurst

ps. der Safari ist für die ConnectBox nicht zu gebrauchen.

Scoopi · ‎25.04.2018

Scoopimusic:

Ich hab das mal getestet, ich kann die Regel nach deinem Schema hinzufügen, und Anfragen von Außen sind damit auch erreichbar.

Facebook: "Ich kenne jeden!"
Wikipedia: "Ich weiß alles!"
Google: "Ich finde alles!"
Internet: "Ohne mich geht gar nichts!"
Strom: "ACH WIRKLICH?"

Anstößigen Inhalt melden · ‎25.04.2018

@Plumper, Horst und Scoopimusic

vielen Dank für die Antworten.

Zu Plumper und Horst kann ich sagen, wenn ich diese Regel nicht setze, ich die Seite von Außen erreichen kann. Also schließt dies eine falsche Adresse aus.

Scoopimusic, was bedeutet das den nun, bei dir funktioniert das feste Einstellen des Ports? so wie im Screenshot "gehtnicht" ?

Vielen Dank an alle.

Scoopi · ‎25.04.2018

wwurst:

@Plumper, Horst und Scoopimusic

vielen Dank für die Antworten.

Zu Plumper und Horst kann ich sagen, wenn ich diese Regel nicht setze, ich die Seite von Außen erreichen kann. Also schließt dies eine falsche Adresse aus.

Scoopimusic, was bedeutet das den nun, bei dir funktioniert das feste Einstellen des Ports? so wie im Screenshot "gehtnicht" ?

Vielen Dank an alle.

Korrekt. ich kann deine nicht funktionierenden Einstellungen Problemlos übernehmen.

Facebook: "Ich kenne jeden!"
Wikipedia: "Ich weiß alles!"
Google: "Ich finde alles!"
Internet: "Ohne mich geht gar nichts!"
Strom: "ACH WIRKLICH?"

Anonym253 · ‎25.04.2018

Hallo wwurst,

Es ist ganz normal, dass Du alle Quellports erlauben musst. TCP verwendet Ziel- und Quellports. Die Zielports sind "Well known" 80 für http, 443 für https usw. Die Absenderports des Clients/Browsers werden dynamisch vergeben und sind damit nicht vorhersagbar, deshalb musst Du an der Firewall alle erlauben. Im Prinzip brauchst Du erst über 1024 anfangen weil Userprozesse diesen Bereich grundsätzlich meiden, es schadet aber nicht diesen Bereich zu erlauben.

Anonym253 · ‎25.04.2018

Danke für das Kompliment Horst. Ich habe die Frage leider etwas zu spät entdeckt. Und ja, man sollte es nicht komplizierter denken als ist.
Da bei bei IPv6 tatsächlich kein Nat stattfindet, handelt es sich bei diesen Firewall-Regeln um ganz normale TCP-Eigenschaften. Mit welch riesigen Bereich man an Absenderports unterwegs ist, kann man sich anschauen wenn man auf dem eigenen Rechner Wireshark mitlaufen lässt.
Welche tcp-verbindung man sich dabei anschaut ist egal, da sich an TCP zum Glück mit IPv6 nichts geändert hat.

Anonym253 · ‎25.04.2018

Zum Nachlesen:

https://de.m.wikipedia.org/wiki/Transmission_Control_Protocol

Will ein Client eine Verbindung aufbauen, erzeugt er einen eigenen Socket aus seiner Rechneradresse und einer eigenen, noch freien Portnummer. Mit Hilfe eines ihm bekannten Ports und der Adresse des Servers kann dann eine Verbindung aufgebaut werden. Eine TCP-Verbindung ist durch folgende 4 Werte eindeutig identifiziert:

Quell-IP-Adresse
Quell-Port
Ziel-IP-Adresse
Ziel-Port