Muelli 10 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Hallo Community, haben hier in der Firma einen Draytek Router Vigor 2900G mit Firmware 2.5.6 stehen. Die interne Firewall des Routers ist so konfiguriert, dass alle Outgoing Ports bis auf einige wenige zugelassene wie z.B. Port 80, 53, 110, ... gesperrt sind. Also quasi Withlist Betrieb. Um so mehr verwunderte es mich, dass ein Rechner aus unserem LAN (Win 2000 Pro) der eine Windows Remote Desktop Verbindng über Port 3389 nach außen herstellen wollte, auch sauber nach draußen durchgekommen ist. Auch der "Active Session Table" im Router zeigte eine aufgebaute Verbindung über Port 3389 an. Nutzt der Remote Desktop irgendwelche anderen speziellen Protokollmechanismen als TCP oder ist dies ein Bug in der Router Firmware? Gruß Jörg Zitieren Link zu diesem Kommentar
tpk 10 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 hm komisch, also ich hatte bislang damit keine Problem.. Was is wenn du ne Firewall Regel erstellst und Testweise explizit 3389 sperrst? Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 Hi tpk, Was is wenn du ne Firewall Regel erstellst und Testweise explizit 3389 sperrst? ja, nur womit soll das anfangen und womit aufhören. Gibt es vielleicht einen einfachen Portscanner, den ich mal von innen aus dem LAN auf den Router ansetzen kann? Ansonsten habe ich eigentlich auch keine Probleme und der Router hält eigentlich auch gut dicht. Gruß Jörg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Hast Du am Ende der Filterliste ein "Deny All" ? Ich hab auch nen 2900er, solche Probleme kenne ich nicht, eher andersrum, wenn was raus soll, aber nicht geht :D Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 Hi ITHome, Hast Du am Ende der Filterliste ein "Deny All" ? Genau, im letzten Filterset gibt es eine Rule, welche alle ausgehenden Ports sperrt und eine Rule, welche alle eingehenden Ports sperrt. Die Rule für ausgehenden Verkehr lautet: Block immediately Direction: OUT Protocol: ANY Source und Destination IP: ANY Start und Endport bleiben frei. Ansonsten auch eher Erfahrungen damit, dass bestimmte Sachen nicht raus gehen. Daher war ich um so verwunderter, dass Port 3389 nach außen durchlässig ist. Gruß Jörg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Jo, sieht richtig aus, wenn der Filter enabled ist und die Verzweigungen der Filtersätze (Next Filter Set) richtig sind ... Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 Hi ITHome, wenn der Filter enabled ist und die Verzweigungen der Filtersätze (Next Filter Set) richtig sind da gehe ich mal von aus - na gut, ich check lieber noch mal ;-) Vielleicht hast Du ja mal die Chance 'ne Remote Desktop Verbindung zu irgendeinem Rechner außerhalb Deines LANs aufzubauen, um die Sache mal zu checken. Gruß und schönen Feierabend Jörg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 Mach ich gleich mal, baue aber einen einfachen Regelsatz DNS-Allow, HTTP-Allow, DENY ALL ... edit: nein, klappt wie erwartet nicht ... Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 12. Juli 2007 Autor Melden Teilen Geschrieben 12. Juli 2007 na, dann muss der Bug ja in meinem Regelwerk liegen. Aber eigentlich habe ich solch einen Port nicht geöffnet. Bei mir ist offen: ICMP DNS HTTP HTTPS POP3 SNTP SMTP IMAP Real Player 554 Passiv FTP Command Passiv FTP Data News 119 SSH That's it. Und danach ist der Sack zu. Na, ich check noch mal. Gruß und Dank Jörg edit: Welche FW hast Du drauf? Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 12. Juli 2007 Melden Teilen Geschrieben 12. Juli 2007 2.5.6 , das ist ein 2900G ... Was ist bei Passiv FTP Data eingetragen ? Zitieren Link zu diesem Kommentar
Muelli 10 Geschrieben 13. Juli 2007 Autor Melden Teilen Geschrieben 13. Juli 2007 Moin ITHome, hattest den richtigen Riecher. Ich hatte gestern abend zu Hause dann auch 'ne Eingebung, da der Datenkanal für passives FTP ja immer auf verschiedenen Ports laufen kann. Gerade eben gecheckt und tatsächlich: Source: "any", Operator: ">", Start Port: "1024", Destination: "any", Operator: ">", Start Port: "1024", Da habe ich mir schön selber einen gemacht. Allerdings haben wir halt täglich Downloads zu machen und viele Websites bieten das nur über FTP. Jedes Mal die Sache Ein- und dann wieder Abzuschalten ist zu lästig. Bin mir auch nicht so sicher, ob dies ein akzeptables Risiko ist, da ja von außen alles dicht ist. Gruß und Dank für Deine Hilfe. Nun weiß ich zumindest, dass der Bug bei mir lag und nicht in der Firmware. Jörg Zitieren Link zu diesem Kommentar
IThome 10 Geschrieben 13. Juli 2007 Melden Teilen Geschrieben 13. Juli 2007 Tja, das passive FTP ist bei dem Vigor schlecht einstellbar, aktives FTP dagegen erfordert nur Outgoing TCP 21, der erkennt den Rest am Status der Verbindung ... Risiko, naja, sämtliche TCP-Anwendungen können raus ... Da würde ich aktives FTP bevorzugen, auch wenn eine Verbindung von aussen initiiert wird ... :) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.