netstat cmd

[m2k2 10]

Hallo,

 

bin dabei meine Firewall neu zu konfigurieren, habe dabei ein kleines Gedankenproblem.

Wenn ich den cmd - Befehl netstat ausführe und ständig abhöre, sehe ich ja die Lokale Adresse und die Remoteadresse.

 

Die Remoteadresse ist ja noch klar für mich, wenn ich ins I-Net gehe, sehe ich die R-Connection auf 80, aber lokal auf 1379, 1380, 1381, ... ?

 

Was heißt hier lokal ?

 

Grüß euch

[weg5st0 10]

Hi,

 

für ausgehende Verbindungen ist der lokale Port in der Regel nicht festgelegt. Es werden die sog. Highports >1024 für jede einzelne Verbindung immer weiter erhöht.

 

In 90% der Fälle (speziell bei Http - immer) ist der "Sourceport" (hier der lokale Port) irrelevant.

[m2k2 10]

Hi,

 

was macht der Rechner mit diesen Highports?

 

Grüße

Marci

[weg5st0 10]

Die Anfrage, die du wegsendest, muss ja wieder bei der Antwort einer "Session" zugewiesen werden.

So wird das unterschieden.

[m2k2 10]

Wenn ich also meine Firewall konfiguriere und gebe den Remotediensten einen lokalen Port von 1024-65535 ist das ja kein Sicherheitsrisiko !? Oder ?

 

Der Remotedienst auf 80, bekommt einen beliebig zugeteilten lokalen Port !

 

Wär das OK ?

 

Gruß

[weg5st0 10]

NEIN!

 

Du gibst nach ausgehend den ZielPort 80 frei und sonst nichts.

 

Die Firewall erkennt dann die ausgehende Verbindung auf einem höheren Sourceport.

[czappb 10]

Klar wenn du nur auf IP und TCP Layer Filtern kannst gibt es keine Möglichkeit das anders zu machen. Von der Sicherheit her ist das für kleinere Firewalls auch ok.

Eine alternative wäre dann eine Serviceinspection bei dem geprüft wird das auch nur http an die freigegebenen Webserver gesendet wird.

[czappb 10]

NEIN!

 

Du gibst nach ausgehend den ZielPort 80 frei und sonst nichts.

In machen Firewalls muss man beide Seiten definieren und da muss man dann auch den Lokalen Port angeben also zum Beispiel

 

von 192.168.0.0/24 Port 1024-65535

auf ANY Port 80

[m2k2 10]

Ja, so mußte ich das auch machen. Im Moment rede ich von einer Softwarelösung. Bei einer Hardwarelösung ist das Richtig mit nur einem Port !

 

Ich konfiguriere z.Zt. McAfee 8.5, diese stellt im Lernmodus eine eine automatische Portzuteilung her, d.h. speziell im Fall Port 80, liefert Sie das Ergebnis lokal 1024 - 65535.

 

Ich kann die Regel natürlich selbst festlegen, habe nur das Verständnisproblem gehabt, wenn ich einen http Port Remote festlege muss ich den doch auch lokal auf 80 legen ??

 

Gruß

[m2k2 10]

Speziell im Fall MCSEboard, sehe ich über netstat, sehr viele lokale Adressen wandern !

 

???

[m2k2 10]

Evt. noch einer eine Antwort für mich, verstanden hab ich das noch nicht so richtig ! Stehe ich auf dem Schlauch ?? :-)

[XP-Fan 224]

@ Marci

 

Hol dir mal TCPView von Sysinternals und starte dieses kleine Tools.

 

Dann verstehst du vielleicht besser, wer mit wem spricht und ob dies in deinem Sinne ist ;)

 

http://www.sysinternals.com/Utilities/TcpView.html

[m2k2 10]

Danke das Programm ist toll, ich kenne es, habe es vor einiger Zeit mal eingesetzt, jedoch liefert es mir genau wie bei nbstat, lokale und Remoteports.

 

Was genau hat es mit den Remoteports auf sich ! Ich versteh das nicht so richtig !

 

Gruß

[m2k2 10]

Sorry ich meinte: Was genau hat es mit den lokalen Ports auf sich ! :-) :-)

[XP-Fan 224]

Hast du vielleicht sowas gemeint ?

 

 

 

firefox.exe:772 TCP sven:2219 66.249.93.104:http ESTABLISHED

firefox.exe:772 TCP sven:2225 66.249.93.104:http ESTABLISHED

isafe.exe:484 TCP Sven:1025 localhost:2048 ESTABLISHED

isafe.exe:484 TCP Sven:1809 localhost:1810 CLOSE_WAIT

isafe.exe:484 TCP Sven:1812 localhost:1813 CLOSE_WAIT

isafe.exe:484 TCP Sven:1828 localhost:1829 CLOSE_WAIT