UDP Ports auf der Firewall

[Herbert Leitner]

Hallo!

Jetzt stehe ich auf der Leitung, wer kann mir helfen?

Wenn ich auf der Firewall einen Dienst erstelle z.B
UDP 123 (NTP) und diesen erlaube, muss ich dann eine Regel für ausgehend "UND" eingehend erstellen, oder reicht es, wenn ich dieses ausgehend erlaube?

UDP ist nicht verbindungsorientiert!
Kriegt die Firewall mit, daß eine UDP Antwort erlaubt ist, wenn gerade die Anfrage raus gegangen ist.

Ich denke, daß es auch von der Firewall abhängt. Eine inteligente Firewall sollte das doch schaffen?

Ich habe im Webinterface auf der Firewall nicht die Möglichkeit, Dienste eingehend zu erlauben. Nur Portforwarding / statisches NAT, ich denke aber, daran brauche ich nicht zu feilen?

Wer kann helfen?

tks!
Herbert

[grizzly999]

Eine Firewall mit Stateful Inspection kann genau das, eigentlich gibt es kaum noch eine ohne.

Wie das bei DIESER Firewall genau eingerichtet werden muss - hast leider nicht geschreiben welche - wenn ein Dienst auf der Firewall selber rausgehen muss, das ist dann dem handbuch zu entnehmen.

grizzly999

[Herbert Leitner]

Zitat von grizzly999 - hast leider nicht geschreiben welche - ... grizzly999

Dank Dir für die Antwort!
Das klingt logisch/vernünftig, und so hatte ich es auch in Erinnerung.

Die Firewall heißt
Symantec Firewall VPN/100
ich hatte das ungefähr so angegeben.

Die Frage bezog sich auf genau diese Firewall.
Ist diese SIF (Stateful Inspection Firewall)?

Wie kann ich das am schnellsten rauskriegen?

Hintergrund: Ich besorg mir am Domainkontroller die Zeit per SNTP (192.53.103.103), und der DC meldet, daß der NTP - Server nicht antwortet. Nun könnts an der Firewall liegen oder auch nicht.
Auf der Firewall ist UDP123 ausgehend offen. Nun ist die Frage, ob ich auch eingehend öffnen muss. Dann müßte ich ein statisches PAT setzten - und mir graut davor!
Ausserdem habe ich dann das (nicht vorhandene) Problem, daß ich nur eine Maschine mit der Zeit von "außen" versorgen kann. (sollte reichen, ich weiß, war nur eine Überlegung!

Gruß und Dank!
Herbert

[grizzly999]

Zitat von Herbert Leitner Die Firewall heißt Symantec Firewall VPN/100 ich hatte das ungefähr so angegeben.

Aha. Finde den Hinweis auf die FW bis jetzt nicht in deinem Eingangsposting. Aber egal, ohne die zu kennen, ich lehne mich hier ganz weeiiiit aus dem Fenster: Die kann das.

Die kann doch bestimmt auch loggen, da sollte was auftauchen, ob es geblockt wird oder nicht. Oder vielleicht ein Fehler im Rule-Set?! Es muss nur UDP 123 ausgehend geöffnet werden.

grizzly999