Jump to content

RAS Paketfilter Quell/Zielport?


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo !

 

In Windows2003 RAS Einstellungen->Schnittstelle->Inbound Filters habe ich z.B. bei TCP die 2 Felder Quell und Zielport. Zielport ist klar, wenn jemand von ausen versucht auf meine FRP zu kommen ist der Zielport wahrscheinlich TCP 21. Aber warum eni Quellport?

In welchen Situationen setzt man den ein? Der Quellport für die eben erwähnte FTP-Verbindung ist, jedefalls laut Network-Monitor eben nicht 21 sonder irgendwas 0X0d91, was 3473 entsprechen dürfte. Ich Blick da nicht durch... Sollte der Quellport nicht auch 21 sein? Wenn ich den Paketfilter erstelle und als Quellport 21 angebe und als Zielport 0, sollte das dann nicht auch alle FTP-Verbindungen abblocken???

 

Hülfäää! :confused:

Link zu diesem Kommentar

Der Client verbindet sich mit Port TCP 21 des FTP-Servers als Ziel und das mit einem Port >1023 als Quellport . Die Antwort erfolgt dann von TCP 21 zu dem Quellport des Clients. Danach verbindet sich der Server aktiv von Port TCP 20 zu einem weiteren Highport des Clients (es erfolgte ein PORT-Kommando, mit dem dieser Port genannt wurde, bei aktivem FTP). Passives FTP verhält sich ganz anders, da der Client beide Verbindungen initiiert(FTP und FTP-DATA) . Die Paketfilter des RRAS sind stateless, also musst Du alles angeben ...

Routing and Remote Access Blog : RRAS static packet filters - do's and don'ts

Wann man Quellports einsetzt, naja, wenn Du einen Webserver ansprichst, kommen die Abtworten von Port TCP 80, wenn Du einen DNS-Server ansprichst, meistens UDP 53 ...

Was willst Du denn mit den Filtern überhaupt erreichen ?

Link zu diesem Kommentar

Danke für die schnell Antwort. Das ist keine produktivumgebung, nur ein Test wenn man so will um die Paketfilter im 2k3 RAS Server zu verstehen. Mir war nur unklar warum der Client der die FTP verbinfung zum Server (um mal bei diesem Beispiel zu bleiben) aufbaut dafür immer einen anderen Port benutzt. Das heisst das man bei FTP, PPTP oder RDP die Quellports vom Client der die Verbindung initiiert, nicht wirklich bestimmen kann und der eingehende Filter vom auf dem SERVER nur funktioniert wenn man den Zielport 21 oder 1723 oder 3389 angibt. Wa sich festgestellt habe: L2TP Verbindungen funtionierts. Da benutzt auch der Client der sich einwählt immer als Quellport 500, 4500 oder eben 1701.

Das ganze wird(für mich als Laien :rolleyes: ) immer merkwürdiger.

 

Naja, werds schon noch blicken. Jemand noch was hat wie "Paketfilter für Deppen" oder so, immer her damit... :rolleyes: :rolleyes: :rolleyes:

Link zu diesem Kommentar

Naja, bei HTTP oder so generiert der Cleint einen Port höher 1023, mit dem er sich dann mit dem Server auf Port 80 verbindet. Es entsteht also ein Gebilde wie

Von 192.168.100.100:1459 zu 33.26.56.22:80 vom Client aus gesehen und

Von 33.26.56.22:80 zu 192.168.100.100:1459 vom Server aus gesehen

Bei IPSEC z.B. wird die Verbindung von Port UDP 500 des Initiators zu Port UDP 500 des Responders aufgebaut (das ist einfach so, meistens)

Du kannst ja im Paketfilter auch definieren, dass es egal ist, von welchem Port aber zu einem

bestimmten Port oder egal zu welchem Port, aber von einem bestimmten Port usw. ...

Link zu diesem Kommentar

Ok, super, habs verstanden. Eben dieses "gebilde" hat mich so erstaunt, aber wenn das normal ist und L2TP eben eine Ausnahme macht...

2 Kleine Fragen hätte ich noch: Werden dann eingehende L2TP Filter auf dem RAS server nach Quell-port oder nach Zielport gefiltert? Oder Beides ? Ginge ja in dem spezielle fall. Was ist da der "normalfall"?

Gibt es noch weitere solcher "ausnahmen" die sich wie L2TP verhalten, die einen festen quellport haben welche man wissen sollte?

 

1000 Dank schonmal für die kompetente Hilfe!

 

Killerloop666

Link zu diesem Kommentar

L2TP verhält sich nicht so (UDP 1701), L2TP-IPSEC aber schon, da vorher eine Sicherheitszuordnung erstellt wird (IPSEC), die initial UDP 500 benutzt und falls sich NAT zwischen Initiator und Responder befindet, UDP 4500 (NAT-Traversal) und durch die L2TP getunnelt wird.

Bei den meisten Anfragen des Clients bzw. Anwendungen, die der Client benutzt, werden dynamische Ports benutzt ...

Du kannst mal in der virtuellen Maschine, wenn sie 2 Netzwerkkarten hat, den RRAS neu konfigurieren als VPN-Server und den Haken für die statischen Filter anwählen. Dann kannst Du schön sehen und auch ausprobieren, wie die Filter definiert werden und vor allem welche Auswirkungen es hat ...

Link zu diesem Kommentar

Vielleicht kann mir hier jemand weiterhelfen...

 

RAS Server "RAS1" mit 2 netzkarten, intern 192.168.1.1 (z.b. Firmennetz), extern 212.18.3.5 (internet). RAS1 akzeptiert ankommende VPN verbingungen damit sich remotebenutzer die eine VPN verbindung zur externen Schnitstelle von RAS1 herstellen zugriff aufs 192.168.1er netz haben. (RAS1 ist auch als Router konfiguriert).

Paketfilter auf dem RAS1 würde ich ja nun folgendermaßen konfigurieren:

 

Inbound: Source:any, Destination:externe Schnittstelle, ports 1723 und Protokoll 47.

alles andere Blocken.

 

Outbound: Source:externe Schnitstelle, Destination:any, ports 1723 und protokoll 47.

Alles andere benfalls blocken.

 

Laut MS (Buch) sollte aber der outbound filter als source die interne Schnitstelle haben,

ich versteh bloss nicht warum. Wenn ein RAS client die 212.18.3.5 versucht per VPN-Verbindung zu erreichen kommt die 1. Antwort darauf doch auch von der externen Schnittstelle, wenn ich ausgehenden Verkehr nur für die interne Schnittstelle zulassen kann doch der RAS1 dem Client garnicht antworten, z.b. zur Authentifizierung.

 

Kann mir das mal jemand bitte erklären?

 

Verwirrte Grüße :confused:

 

Killerloop666

Link zu diesem Kommentar

Ich nehme jetzt mal an, dass Du die Filter meinst, die der RRAS Assistent anlegt ? Naja, nehmen wir die einfach mal und betrachten nur PPTP. Die Filter wurden nur auf dem als extern deklarierten Interface eingestellt, unter "Eingehende Filter" wie auch unter "Ausgehende Filter".

Es existieren auf der externen Schnittstelle unter "Eingehende Filter" 3 Filter für PPTP (beispielhaft):

1. QA-beliebig , QM-beliebig, ZA-192.168.100.1, ZM-255.255.255.255, Proto-TCP, QP-0, ZP-1723

2. QA-beliebig, QM-beliebig, ZA-192.168.100.1, ZM-255.255.255.255, Proto-Weitere, Proto-Nr 47

3. QA-beliebig, QM-beliebig, ZA-192.168.100.1, ZM-255.255.255.0, Proto-TCP(eingerichtet), QP-1723, ZP-0

Die externe Schnittstelle wird vom PPTP-Client als Zieladresse benutzt, um eine Verbindung aufzubauen. Da der Client irgendeine Adresse/Maske haben kann, wird weder Quelladresse noch Maske spezifiziert, also kann jede Adresse eine Verbindung herstellen. Als Zieladresse wird die Adresse der externen Schnittstelle angegeben, mit einer 32er Maske, was bedeutet, dass genau diese Adresse von aussen angesprochen werden muss. Bei den Ports wiederum wird genau festgelegt, welcher Port des anfragenden Clients geprüft wird (0-also egal welcher Port, kann ja auch irgendeiner >1023 sein, daher werden alle erlaubt) und welcher Port als Ziel angegeben wird. In diesem Fall ist es der Port TCP 1723, den der Client anspricht als PPTP-Kommunikationskanal und GRE (IP-Port 47), der für PPTP-Tunneldaten benutzt wird. Der Filter Nr. 3 hat eine besondere Funktion, denn er wird nur benutzt, wenn der RRAS eine LAN-LAN Verbindung als Client aufbaut. Dieser Filter akzeptiert nur Daten von dem anderen PPTP-Server (daher als Quellport TCP 1723), wenn die Verbindung von diesem RRAS initiiert wurde (daher TCP(eingerichtet), weil die Verbindung schon besteht und es sich um Antwortpakete von dem von ihm angesprochenen PPTP-Server handelt. Als Zielport wird 0 angegeben, da dieser RRAS die PPTP-Verbindung aufgebaut hat, was mit einem Port > 1023 passiert ist).

Ausgehende Filter:

1. QA-192.168.100.1, QM-255.255.255.255, ZA-beliebig, ZM-beliebig, Proto-TCP, QP-1723, ZP-0

2. QA-192.168.100.1, QM-255.255.255.255, ZA-beliebig, ZM-beliebig, Proto-Weitere, ProtoNr-47

3. QA-192.168.100.1, QM-255.255.255.255, ZA-beliebig, ZM-beliebig, Proto-TCP, QP-0, ZP-1723

Die ersten beiden Filter greifen, wenn dem anfragenden Client geantwortet wird, der dritte Filter greift, wenn der RRAS selbst eine LAN-LAN Verbindung als Client zu einem PPTP-Server herstellt.

Wenn also irgendein Rechner eine PPTP-Verbindung zu diesem RRAS herstellen möchte und dann den Tunnel aufbaut, diese Verbindung also eingehend ist (aus der Sicht der externen Schnittstelle des RRAS), wird der eingehende Filter Nummer 1 und 2 benutzt. Antwortet der Server auf diese Anfragen (es ist also eine aus seiner Sicht ausgehende Verbindung), werden die ausgehenden Filter 1 und 2 benutzt.

Stellt der RRAS selbst eine Verbindung zu einem anderen PPTP-Server her (also von ihm ausgehend), greift der ausgehende Filter 3. Die Antworten des PPTP-Servers werden durch den eingehenden Filter 3 behandelt .

Ich hoffe, ich habe mich jetzt nicht selbst verhaspelt :D

Link zu diesem Kommentar

Hm, macht sinn. Genau so hätte ich das auch konfiguriert. Ich lese grade ein MS-Buch zum Thema RAS und die bahaupten da eben das die ausgehenden filter als Quelladresse die INTERNE Adresse vom RAS haben soll. Ich versteh das noch immer nicht. Wenn Du zufällig das Buch zur 291er zur hand hast... mit dem beschäftige ich mich nämlich grade.

 

Danke für die ausführliche Erklärung.

 

Killerloop666

Link zu diesem Kommentar

Nevermind, das sollte auch in der älteren englischen falsch stehen ;-)

 

und zwar hinten, bei den ganzen Fragen, Teil 2, ab seite 800 oder so, ist das RAS, Lernziel 4.2, frage 2. sollte irgendwas mit adventureworks VPN sein. Wenn DU muse hast kannst du ja mal schauen, ansonsten könnte ich dir den Textschnippsel mal per mail zukommen lassen, ich würde wirklich gerne wissen was da dahinter steckt, kann mir

da keinen Reim drauf machen.

Danke nochmal fürs schnelle Antworten. Echt tolles Forum hier :-)

Link zu diesem Kommentar

Grmpf! Das Pdf ist schreib- und kopiergeschützt, egal, ich machs anders.

Also hier ist die Aufgabe:

 

http://www.250kb.de/u/070525/j/c4052037.jpg

 

Und das hier die Antwort:

 

http://www.250kb.de/u/070525/j/21524332.jpg

 

Also ich hätte ja nu c und d gesagt. aber richtig ist c und f. Und ich komm nicht drauf warum die beim outbound filter die Interne Netzwerkschnittstelle als Quelle nehmen. Ich bin der Meinung es sollte die externe sein. *grübel*

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...