• Let op: Dit is het archief van het Provider Forum. De berichten die je hier ziet zijn gedateerd en er kan niet meer op worden gereageerd.

ftp en firewall

  • Onderwerp starter Onderwerp starter Edbou
  • Startdatum Startdatum
Status
Niet open voor verdere reacties.
Kul, kul en nog eens kul.

als dat zo zou zijn zou internet niet meer funktioneren, een zéér groot aantal verbindingen bevinden zich achter een NAT router ( gateway ), voor een nieuwe verbinding is de weg terug ontoegankelijk. een nieuwe verbinding is onmogelijk, tenzij portforwarding aanstaat.
wel kan zich op bv een website een element bevinden, bv een afbeelding van één pixel groot, die je onbedoeld en ongewenst leidt naar een andere site en/of een stuk malware.
vwb stateful services zoals bv in dit geval ftp kan het command channel op 21/tcp de firewall een tijdelijke port forward laten maken voor de in dat command channel afgesproken poorten. maar dan nog ben jij de initiator, jouw ftp client heeft die tijdelijke port forward bewerkstelligd.
Tja, sterke woorden gebruiken helpt niet echt. Laten we het gewoon inhoudelijk houden. Wat het met het al of niet werken van Internet te maken heeft is niet duidelijk. We weten allemaal dat er veiligheidsrisico's zijn met Internet. Denk maar een aan het DNS probleem.
Zoek ook eens op Internet met de zoektermen: 'NAT security' of 'nat issues'.
NAT is bedoeld als een oplossing voor het adres probleem en niet als een veiligheidsoplossing.
Routers voor de industrie geven een redelijke veiligheid met NAT, mits enkele andere blokkades ook aan staan. Routers voor de huiskamer zijn meestal zwakker omdat ze gebruiksvriendelijk moeten zijn en geen issues met bijvoorbeeld VOIP moeten hebben. VOIP en NAT bijten elkaar namelijk.
Voor mij is deze discussie gesloten. Slaap zacht :sleep:
 
Is het niet mogelijk om b.v. vanuit javascript een nieuwe verbinding vanuit de client naar een server op te zetten via een andere poort ?
 
Is het niet mogelijk om b.v. vanuit javascript een nieuwe verbinding vanuit de client naar een server op te zetten via een andere poort ?

Ja dat kan, maar dat heeft niets met het vermeende niet werken van NAT te maken. Het is domweg onmogelijk dat van buitenaf door een externe server via NAT uit zichzelf een poort naar je pc opengezet wordt. Als je computer zelf een uitgaande poort openzet en zo anderen binnenlaat komt dat door een slechte beveiliging van je pc. Poorten dichtzetten in je router zoals geadviseerd wordt in dit topic helpt daar niet tegen
 
Port filtering zou wel voorkomen dat javascript uitgevoerd in je browser zomaar via andere poorten dan poort 80 gaat communiceren naar buiten. Dat geldt ook voor ander virussen die naar buiten willen communiceren over andere poorten.
 
Port filtering zou wel voorkomen dat javascript uitgevoerd in je browser zomaar via andere poorten dan poort 80 gaat communiceren naar buiten. Dat geldt ook voor ander virussen die naar buiten willen communiceren over andere poorten.

Maar dat kun je het beste oplossen in de antivirus/firewall van je computer. Windows Firewall kan dat doen. Het is vrijwel onmogelijk om in een router alleen de ongewenste requests af te vangen. De router weet immers niet of het een normale uitgaande verbinding is op een poort of een ongewenste. Je kunt wel de 'destination' poort gaan filteren en alleen poorten toelaten zoals poort 80, maar dan beperk je jezelf heel erg en veel zaken in je netwerk zullen dan niet meer werken. Op source-poort filteren is ook ondoenlijk omdat deze willekeurig uitgegeven worden door je O/S bij elke verbinding of webpagina die je opent.

Overigens is destination-poort-blokkeren precies wat de firewall-optie in het modem al doet, daarvoor hoef je niet zelf port filtering in te voeren. In de standen low/medium/high worden daar een aantal veel gebruikte poorten in meer of mindere mate doorgelaten. Maar daardoor zie je in de praktijk ook veel klachten van mensen waar zaken niet meer werken en waarbij dan maar de firewall uitgezet wordt.
 
Windows firewall staat default alle uitgaande connecties toe. Uiteraard kun je dat wel aanpassen, maar als je het in de router doet, is het geldig voor alle clients. Dat lijkt me dus handiger.
 
Windows firewall staat default alle uitgaande connecties toe. Uiteraard kun je dat wel aanpassen, maar als je het in de router doet, is het geldig voor alle clients. Dat lijkt me dus handiger.

Maar aangezien je router geen idee heeft of het een virus/trojan is die iets naar buiten wil sturen of een echt programma is dat niet zo handig.

De firewall in je computer weet namelijk wel welk programma naar buiten wil en kan dat desnoods aan de gebruiker vragen en een applicatie 'goedkeuren'. Je hoeft dan ook niet hele reeksen poorten toe te staan of te blokkeren, maar kunt dat per applicatie eenmalig of elke keer goedkeuren.

Ook het openzetten van een poort op een router houdt (bij simpele routers) in dat alle computers dan op die poort naar buiten kunnen dus ook computers die je eigenlijk niet wilt. Plus het is een enorme administratie als je goed wilt bijhouden wat wel en niet mag via je router, niet handig dus.
 
Maar aangezien je router geen idee heeft of het een virus/trojan is die iets naar buiten wil sturen of een echt programma is dat niet zo handig.

De firewall in je computer weet namelijk wel welk programma naar buiten wil en kan dat desnoods aan de gebruiker vragen en een applicatie 'goedkeuren'. Je hoeft dan ook niet hele reeksen poorten toe te staan of te blokkeren, maar kunt dat per applicatie eenmalig of elke keer goedkeuren.

Ook het openzetten van een poort op een router houdt (bij simpele routers) in dat alle computers dan op die poort naar buiten kunnen dus ook computers die je eigenlijk niet wilt. Plus het is een enorme administratie als je goed wilt bijhouden wat wel en niet mag via je router, niet handig dus.
Het is niet of maar en. Zowel in de router moet je blokkeren wat je niet gebruikt. Dat is een eenmalige exercitie. Dus valt wel mee. Vergt alleen even kijken wat die poorten doen.
In de PC moet je een gebruiksvriendelijke firewall gebruiken. Dus geen Microsoft Firewall. Qua beveiliging heeft Microsoft een slecht track record.
 
Zowel in de router moet je blokkeren wat je niet gebruikt. Dat is een eenmalige exercitie. Dus valt wel mee. Vergt alleen even kijken wat die poorten doen.

Maar er zijn 65.535 poorten die je kunt blokkeren. Welke wil je dan in gaan voeren ? Geef eens een voorbeeld ? Je kunt nooit alle poorten die je niet gebruikt blokkeren en creëert dus alleen schijnveiligheid denk ik.

En hoe weet je zeker dat je een poort niet gebruikt, want je PC gebruikt uitgaande poortnummers willekeurig.
 
Maar er zijn 65.535 poorten die je kunt blokkeren. Welke wil je dan in gaan voeren ? Geef eens een voorbeeld ? Je kunt nooit alle poorten die je niet gebruikt blokkeren en creëert dus alleen schijnveiligheid denk ik.

En hoe weet je zeker dat je een poort niet gebruikt, want je PC gebruikt uitgaande poortnummers willekeurig.
De PC gebruikt niet willekeurige poorten. Poort gebruik is vastgelegd per functie.
Soms kost het moeite om uit te zoeken welke poort wordt gebruikt. Bijvoorbeeld bij mijn BD speler voor de firmware update. Dan helpt het gebruik van een sniffer. Dit was de enige moeilijke. De rest was een kwestie van poort lijsten op Internet.

Met het gebruik van ranges is het te doen.
Kijk maar eens hoe het kan in de Ubee.

Hier zijn mijn instellingen van blokkeren:
1 t/m 19
23 t/m 52
55 t/m 79
81 t/m 122
124 t/m 442
444 t/m 464
588 t/m 992
996 t/m 5227
43637 t/m 65135

Voor mij is het aantal regels in de Ubee net één te weinig. Het is sterk afhankelijk van wat je en je huisgenoten voor functies gebruiken.
De laatste twee regels zouden eigenlijk drie regels moeten zijn om alles af te dekken. Helaas kan dat niet in Ubee, maar wel bij DD-WRT.
996 t/m 5227
5229 t/m 43635
43637 t/m 65135

Dit werkt met: http, https, veilig email, FTP, NTP, skype en Android.
Bij deze instellingen werken UPnP, P2P, VPN, spelcomputers via Internet en iPhone of iPad niet.
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan