Jump to content
Sign in to follow this  
killerloop666

RAS Paketfilter Quell/Zielport?

Recommended Posts

Hallo !

 

In Windows2003 RAS Einstellungen->Schnittstelle->Inbound Filters habe ich z.B. bei TCP die 2 Felder Quell und Zielport. Zielport ist klar, wenn jemand von ausen versucht auf meine FRP zu kommen ist der Zielport wahrscheinlich TCP 21. Aber warum eni Quellport?

In welchen Situationen setzt man den ein? Der Quellport für die eben erwähnte FTP-Verbindung ist, jedefalls laut Network-Monitor eben nicht 21 sonder irgendwas 0X0d91, was 3473 entsprechen dürfte. Ich Blick da nicht durch... Sollte der Quellport nicht auch 21 sein? Wenn ich den Paketfilter erstelle und als Quellport 21 angebe und als Zielport 0, sollte das dann nicht auch alle FTP-Verbindungen abblocken???

 

Hülfäää! :confused:

Share this post


Link to post
Share on other sites

Der Client verbindet sich mit Port TCP 21 des FTP-Servers als Ziel und das mit einem Port >1023 als Quellport . Die Antwort erfolgt dann von TCP 21 zu dem Quellport des Clients. Danach verbindet sich der Server aktiv von Port TCP 20 zu einem weiteren Highport des Clients (es erfolgte ein PORT-Kommando, mit dem dieser Port genannt wurde, bei aktivem FTP). Passives FTP verhält sich ganz anders, da der Client beide Verbindungen initiiert(FTP und FTP-DATA) . Die Paketfilter des RRAS sind stateless, also musst Du alles angeben ...

Routing and Remote Access Blog : RRAS static packet filters - do's and don'ts

Wann man Quellports einsetzt, naja, wenn Du einen Webserver ansprichst, kommen die Abtworten von Port TCP 80, wenn Du einen DNS-Server ansprichst, meistens UDP 53 ...

Was willst Du denn mit den Filtern überhaupt erreichen ?

Share this post


Link to post
Share on other sites

Danke für die schnell Antwort. Das ist keine produktivumgebung, nur ein Test wenn man so will um die Paketfilter im 2k3 RAS Server zu verstehen. Mir war nur unklar warum der Client der die FTP verbinfung zum Server (um mal bei diesem Beispiel zu bleiben) aufbaut dafür immer einen anderen Port benutzt. Das heisst das man bei FTP, PPTP oder RDP die Quellports vom Client der die Verbindung initiiert, nicht wirklich bestimmen kann und der eingehende Filter vom auf dem SERVER nur funktioniert wenn man den Zielport 21 oder 1723 oder 3389 angibt. Wa sich festgestellt habe: L2TP Verbindungen funtionierts. Da benutzt auch der Client der sich einwählt immer als Quellport 500, 4500 oder eben 1701.

Das ganze wird(für mich als Laien :rolleyes: ) immer merkwürdiger.

 

Naja, werds schon noch blicken. Jemand noch was hat wie "Paketfilter für Deppen" oder so, immer her damit... :rolleyes: :rolleyes: :rolleyes:

Share this post


Link to post
Share on other sites

Naja, bei HTTP oder so generiert der Cleint einen Port höher 1023, mit dem er sich dann mit dem Server auf Port 80 verbindet. Es entsteht also ein Gebilde wie

Von 192.168.100.100:1459 zu 33.26.56.22:80 vom Client aus gesehen und

Von 33.26.56.22:80 zu 192.168.100.100:1459 vom Server aus gesehen

Bei IPSEC z.B. wird die Verbindung von Port UDP 500 des Initiators zu Port UDP 500 des Responders aufgebaut (das ist einfach so, meistens)

Du kannst ja im Paketfilter auch definieren, dass es egal ist, von welchem Port aber zu einem

bestimmten Port oder egal zu welchem Port, aber von einem bestimmten Port usw. ...

Share this post


Link to post
Share on other sites

Ok, super, habs verstanden. Eben dieses "gebilde" hat mich so erstaunt, aber wenn das normal ist und L2TP eben eine Ausnahme macht...

2 Kleine Fragen hätte ich noch: Werden dann eingehende L2TP Filter auf dem RAS server nach Quell-port oder nach Zielport gefiltert? Oder Beides ? Ginge ja in dem spezielle fall. Was ist da der "normalfall"?

Gibt es noch weitere solcher "ausnahmen" die sich wie L2TP verhalten, die einen festen quellport haben welche man wissen sollte?

 

1000 Dank schonmal für die kompetente Hilfe!

 

Killerloop666

Share this post


Link to post
Share on other sites

L2TP verhält sich nicht so (UDP 1701), L2TP-IPSEC aber schon, da vorher eine Sicherheitszuordnung erstellt wird (IPSEC), die initial UDP 500 benutzt und falls sich NAT zwischen Initiator und Responder befindet, UDP 4500 (NAT-Traversal) und durch die L2TP getunnelt wird.

Bei den meisten Anfragen des Clients bzw. Anwendungen, die der Client benutzt, werden dynamische Ports benutzt ...

Du kannst mal in der virtuellen Maschine, wenn sie 2 Netzwerkkarten hat, den RRAS neu konfigurieren als VPN-Server und den Haken für die statischen Filter anwählen. Dann kannst Du schön sehen und auch ausprobieren, wie die Filter definiert werden und vor allem welche Auswirkungen es hat ...

Share this post


Link to post
Share on other sites

Jep, bin grade mit VMWare und 2k3 am werkeln und beobachte mit dem Netzwerkmonitor

was auf den Ports so vor sich geht. Langsam steig' ich dahinter. Glaub ich. ;)

 

Danke nochmals

 

Killerloop666

Share this post


Link to post
Share on other sites

Vielleicht kann mir hier jemand weiterhelfen...

 

RAS Server "RAS1" mit 2 netzkarten, intern 192.168.1.1 (z.b. Firmennetz), extern 212.18.3.5 (internet). RAS1 akzeptiert ankommende VPN verbingungen damit sich remotebenutzer die eine VPN verbindung zur externen Schnitstelle von RAS1 herstellen zugriff aufs 192.168.1er netz haben. (RAS1 ist auch als Router konfiguriert).

Paketfilter auf dem RAS1 würde ich ja nun folgendermaßen konfigurieren:

 

Inbound: Source:any, Destination:externe Schnittstelle, ports 1723 und Protokoll 47.

alles andere Blocken.

 

Outbound: Source:externe Schnitstelle, Destination:any, ports 1723 und protokoll 47.

Alles andere benfalls blocken.

 

Laut MS (Buch) sollte aber der outbound filter als source die interne Schnitstelle haben,

ich versteh bloss nicht warum. Wenn ein RAS client die 212.18.3.5 versucht per VPN-Verbindung zu erreichen kommt die 1. Antwort darauf doch auch von der externen Schnittstelle, wenn ich ausgehenden Verkehr nur für die interne Schnittstelle zulassen kann doch der RAS1 dem Client garnicht antworten, z.b. zur Authentifizierung.

 

Kann mir das mal jemand bitte erklären?

 

Verwirrte Grüße :confused:

 

Killerloop666

Share this post


Link to post
Share on other sites

Ich nehme jetzt mal an, dass Du die Filter meinst, die der RRAS Assistent anlegt ? Naja, nehmen wir die einfach mal und betrachten nur PPTP. Die Filter wurden nur auf dem als extern deklarierten Interface eingestellt, unter "Eingehende Filter" wie auch unter "Ausgehende Filter".

Es existieren auf der externen Schnittstelle unter "Eingehende Filter" 3 Filter für PPTP (beispielhaft):

1. QA-beliebig , QM-beliebig, ZA-192.168.100.1, ZM-255.255.255.255, Proto-TCP, QP-0, ZP-1723

2. QA-beliebig, QM-beliebig, ZA-192.168.100.1, ZM-255.255.255.255, Proto-Weitere, Proto-Nr 47

3. QA-beliebig, QM-beliebig, ZA-192.168.100.1, ZM-255.255.255.0, Proto-TCP(eingerichtet), QP-1723, ZP-0

Die externe Schnittstelle wird vom PPTP-Client als Zieladresse benutzt, um eine Verbindung aufzubauen. Da der Client irgendeine Adresse/Maske haben kann, wird weder Quelladresse noch Maske spezifiziert, also kann jede Adresse eine Verbindung herstellen. Als Zieladresse wird die Adresse der externen Schnittstelle angegeben, mit einer 32er Maske, was bedeutet, dass genau diese Adresse von aussen angesprochen werden muss. Bei den Ports wiederum wird genau festgelegt, welcher Port des anfragenden Clients geprüft wird (0-also egal welcher Port, kann ja auch irgendeiner >1023 sein, daher werden alle erlaubt) und welcher Port als Ziel angegeben wird. In diesem Fall ist es der Port TCP 1723, den der Client anspricht als PPTP-Kommunikationskanal und GRE (IP-Port 47), der für PPTP-Tunneldaten benutzt wird. Der Filter Nr. 3 hat eine besondere Funktion, denn er wird nur benutzt, wenn der RRAS eine LAN-LAN Verbindung als Client aufbaut. Dieser Filter akzeptiert nur Daten von dem anderen PPTP-Server (daher als Quellport TCP 1723), wenn die Verbindung von diesem RRAS initiiert wurde (daher TCP(eingerichtet), weil die Verbindung schon besteht und es sich um Antwortpakete von dem von ihm angesprochenen PPTP-Server handelt. Als Zielport wird 0 angegeben, da dieser RRAS die PPTP-Verbindung aufgebaut hat, was mit einem Port > 1023 passiert ist).

Ausgehende Filter:

1. QA-192.168.100.1, QM-255.255.255.255, ZA-beliebig, ZM-beliebig, Proto-TCP, QP-1723, ZP-0

2. QA-192.168.100.1, QM-255.255.255.255, ZA-beliebig, ZM-beliebig, Proto-Weitere, ProtoNr-47

3. QA-192.168.100.1, QM-255.255.255.255, ZA-beliebig, ZM-beliebig, Proto-TCP, QP-0, ZP-1723

Die ersten beiden Filter greifen, wenn dem anfragenden Client geantwortet wird, der dritte Filter greift, wenn der RRAS selbst eine LAN-LAN Verbindung als Client zu einem PPTP-Server herstellt.

Wenn also irgendein Rechner eine PPTP-Verbindung zu diesem RRAS herstellen möchte und dann den Tunnel aufbaut, diese Verbindung also eingehend ist (aus der Sicht der externen Schnittstelle des RRAS), wird der eingehende Filter Nummer 1 und 2 benutzt. Antwortet der Server auf diese Anfragen (es ist also eine aus seiner Sicht ausgehende Verbindung), werden die ausgehenden Filter 1 und 2 benutzt.

Stellt der RRAS selbst eine Verbindung zu einem anderen PPTP-Server her (also von ihm ausgehend), greift der ausgehende Filter 3. Die Antworten des PPTP-Servers werden durch den eingehenden Filter 3 behandelt .

Ich hoffe, ich habe mich jetzt nicht selbst verhaspelt :D

Share this post


Link to post
Share on other sites

Hm, macht sinn. Genau so hätte ich das auch konfiguriert. Ich lese grade ein MS-Buch zum Thema RAS und die bahaupten da eben das die ausgehenden filter als Quelladresse die INTERNE Adresse vom RAS haben soll. Ich versteh das noch immer nicht. Wenn Du zufällig das Buch zur 291er zur hand hast... mit dem beschäftige ich mich nämlich grade.

 

Danke für die ausführliche Erklärung.

 

Killerloop666

Share this post


Link to post
Share on other sites

Nevermind, das sollte auch in der älteren englischen falsch stehen ;-)

 

und zwar hinten, bei den ganzen Fragen, Teil 2, ab seite 800 oder so, ist das RAS, Lernziel 4.2, frage 2. sollte irgendwas mit adventureworks VPN sein. Wenn DU muse hast kannst du ja mal schauen, ansonsten könnte ich dir den Textschnippsel mal per mail zukommen lassen, ich würde wirklich gerne wissen was da dahinter steckt, kann mir

da keinen Reim drauf machen.

Danke nochmal fürs schnelle Antworten. Echt tolles Forum hier :-)

Share this post


Link to post
Share on other sites

Grmpf! Das Pdf ist schreib- und kopiergeschützt, egal, ich machs anders.

Also hier ist die Aufgabe:

 

http://www.250kb.de/u/070525/j/c4052037.jpg

 

Und das hier die Antwort:

 

http://www.250kb.de/u/070525/j/21524332.jpg

 

Also ich hätte ja nu c und d gesagt. aber richtig ist c und f. Und ich komm nicht drauf warum die beim outbound filter die Interne Netzwerkschnittstelle als Quelle nehmen. Ich bin der Meinung es sollte die externe sein. *grübel*

Share this post


Link to post
Share on other sites

IMHO ist E Quatsch, C und D ist richtig (so wird es auch vom Assistenten konfiguriert) ... Ausserdem steht in der Frage "You need to configure packet filters that allow only VPN traffic on AdventuresVPN´s internet (external) interface" , also wird auch im RRAS nur das externe Interface konfiguriert (eingehend und ausgehend)

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...