Verständnissfrage zu Firewall / PORTS Regeln

[BuzzeR 10]

Nun, die diversen Protokolle und ihre Arbeitsweise sind mir nicht fremd, wenn

ich das so sagen darf, aber die Funktionsweise von manchen Firewall-Regeln

stellen schon ein Mysterium für mich dar. :D

 

LG

Marco

[m43stro 10]

Ich wuerde vorschlagen du oeffnest die Eigenschaften der eingehenden DNS-Regel und postest die Konfiguration (evtl. auch Screenshots). Dann wird sich sicher alles klaeren ...

 

 

Wenn die Konfiguration so ist, dann funktionierts.

Wie gesagt Richtung ist entscheidend.

 

Entweder = beide Richtungen

[Velius 10]

 

Es ist genau so, wie grizzly999 geschildert hat. Völlig ungeachtet ob nun TCP, oder

UDP, jede Netzwerkapplikation fordert beim OS eine Portnummer an und bekommt

diese dann zugewiesen. Sowohl TCP, als auch UDP - Applikationen identifizieren sich

durch ihre RECHNER-IP/PORTNUMMERN-Kombination.

 

 

Also meine Clients machen beim einer DNS Anfrage einen Quell-Port oberhalb 1024 auf, wie ich's eigentlich auch kenne, und so wie's Grizzly, so glaube ich, auch gemeint hat. Natürlich ist der Zielport 53, sonst könnte der DNS Server ja das Packet nicht zuordnen.

 

If the requestor used UDP, then the response will

be sent to the requestor's source UDP port. If the requestor used

TCP, then the response will be sent back on the requestor's open TCP

connection.

 

 

Gruss

Velius

 

 

P.S.: Wir haben eine Solaris welche im Ziel-, als auch im Quellport nur Port 53 zu benutzen scheint.... :suspect:

[BuzzeR 10]

@Velius

Und genau so, habe auch ich es gemeint. Wenn eine Netzwerkapplikation gestartet

wird, im Falle von Windows betrifft das die WINSOCK-API, wird eine dynamische

Portnummer generiert - wenn ich es vereinfacht ausdrücken darf.

 

Diese liegt i. d. R. oberhalb der WKP und ist Teil des Identifizierungsmechanismus

innerhalb der TCP/IP - Kommunikation.

 

LG

Marco

[Velius 10]

Off-Topic:

- wenn ich es vereinfacht ausdrücken darf.

Du annst es von mir aus auch gerne komplex ausdrücken, ich hab sicher keine Angst davor ;) :D

[BuzzeR 10]

@Velius

Das Du das verstehen würdest steht außer Frage, aber ob die Allgemeinheit dem folgen

könnte steht wohl auf einem anderen Blatt.

[m43stro 10]

Dabei kommt auch PAT zum einsatz.

 

Aber hat den keiner Eine Erklärung.

Ein Screenshot habe ich ja gepostet.

 

Bis jetzt sehe ich die eigenartige Firewall als Grund für das komische Verhalten.

 

Ich kann das so vorstellen, dass der DNS Dienst einfach für die ankommenden Pakete freigeschalten wird. Der 53 Port hat damit nicht zu tun und ist in Wirklichkeit über 1023.

Ich denke, dass die Firewall den Dienst in beide Richtungen somit erlaubt.

[Wordo 11]

P.S.: Wir haben eine Solaris welche im Ziel-, als auch im Quellport nur Port 53 zu benutzen scheint.... :suspect:

 

Bei NTP wird z.B. auch als Quellport 123 benutzt, so ungewoehnlich ist das nicht.

[Velius 10]

Bei NTP wird z.B. auch als Quellport 123 benutzt, so ungewoehnlich ist das nicht.

 

Ja, aber ich habe von DNs und unterschiedlichen OS gesprochen. Mir ist bewusst, dass es Services gibt, die in beide Richtugnen denselben Port nutzen.

 

 

 

PAT ist mir übrigens auch ein Begriff, hat aber mit dem von mir beschriebenen Verhalten nichts zu tun (er wird kein PAT gemacht ;) ).

[Wordo 11]

Ich kopier mal das Bild hier rein damit du nicht blaettern musst .. die Erklaerung is recht easy, mann muss sie sich nur selbst zusammenreimen:

 

 

Du hast als Remoteservice "domain", sprich 53, egal ob TCP oder UDP.

Als lokaler Service hast du "jeden".

Und das in beide Richtungen.

 

Ich denke mal die Entwickler haben sich gedacht dass eingehende Pakete als Antworten zu behandeln sind und die Regel dann auch greift. Schliesslich kommt die Antwort des Servers mit Remoteservice 53 (wenn er das eingehende Paket als Antwort behandelt). Bei aussegehenden Pakete ist eben auch da der Remoteservice 53.

Da muss man sich erst mal hineinversetzen, dann isses aber recht logisch (ich will nicht behaupten das ich ein Befuerworter dieser Logik bin).

[Hr_Rossi 10]

hi

 

 

warum eigentlich tcp oder udp !?

 

dns braucht doch beide protokole

udp bei namensauflösungen

tcp bei zonentransfers und wenn die antwort des namenserver grösser als 512byte ist sprich ein langer name ...

 

lg

[Wordo 11]

Ja, aber ich habe von DNs und unterschiedlichen OS gesprochen. Mir ist bewusst, dass es Services gibt, die in beide Richtugnen denselben Port nutzen.

 

Gut, dann fuer DNS:

Wenn dein DNS Server eine rekursive Abfrage an einen anderen DNS Server startet ist sowohl Quell- als auch Zielport 53. Das gilt jedenfalls fuer BIND, egal ob auf Linux, Solaris etc.

[Velius 10]

@Hr_Rossi

 

...soll wahrscheinlich bedeuten, dass der FW wurscht ist ob TCP, oder UDP benutzt wird. Sonst wär's nur TCP, oder nur UDP.

[Velius 10]

Gut, dann fuer DNS:

Wenn dein DNS Server eine rekursive Abfrage an einen anderen DNS Server startet ist sowohl Quell- als auch Zielport 53. Das gilt jedenfalls fuer BIND, egal ob auf Linux, Solaris etc.

 

 

Klar, macht Sinn. ;)

 

 

BIND ist aber nicht installiert auf der Solaris. Regal.... :wink2:

[Hr_Rossi 10]

@Hr_Rossi

 

...soll wahrscheinlich bedeuten, dass der FW wurscht ist ob TCP, oder UDP benutzt wird. Sonst wär's nur TCP, oder nur UDP.

 

hmm

 

aber wäre auch interessant zu erfahren wenn zB eine abfrage über udp gemacht wird und eine antwort kommt auf tcp zurück...

 

wie sie sich dann verhält.....

 

lg