• Let op: Dit is het archief van het Provider Forum. De berichten die je hier ziet zijn gedateerd en er kan niet meer op worden gereageerd.

ftp en firewall

Status
Niet open voor verdere reacties.
Toch eens tijd om met netstat te kijken .....

Je browser gebruikt toch echt willekeurige poorten (net welke vrij is) als source poort. Als ik in Chrome even een paar pagina's ververs heb ik toch een heel lijstje in de range die jij blokkeert. Dat zou dan niet werken bij jou.

TCP 192.168.0.151:49192 192.168.0.2:445 CLOSE_WAIT
TCP 192.168.0.151:49193 192.168.0.3:445 ESTABLISHED
TCP 192.168.0.151:52034 192.168.0.2:445 ESTABLISHED
TCP 192.168.0.151:53791 173.194.65.139:80 ESTABLISHED
TCP 192.168.0.151:53792 173.194.65.139:80 ESTABLISHED
TCP 192.168.0.151:53793 173.194.65.139:80 ESTABLISHED
TCP 192.168.0.151:53795 173.194.113.158:443 ESTABLISHED
TCP 192.168.0.151:53796 173.194.65.139:80 ESTABLISHED
TCP 192.168.0.151:53804 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53805 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53806 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53807 173.194.65.102:80 ESTABLISHED
TCP 192.168.0.151:53808 173.194.65.102:80 ESTABLISHED
TCP 192.168.0.151:53809 173.194.65.102:80 ESTABLISHED
TCP 192.168.0.151:53810 91.225.248.80:80 ESTABLISHED
TCP 192.168.0.151:53811 91.225.248.80:80 ESTABLISHED
TCP 192.168.0.151:53812 91.225.248.80:80 ESTABLISHED
TCP 192.168.0.151:53815 82.201.35.3:80 TIME_WAIT
TCP 192.168.0.151:53816 82.201.35.3:80 ESTABLISHED
TCP 192.168.0.151:53826 173.194.65.95:443 ESTABLISHED
TCP 192.168.0.151:53833 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53834 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53835 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53836 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53837 173.194.65.157:80 ESTABLISHED
TCP 192.168.0.151:53838 173.194.65.148:80 ESTABLISHED
TCP 192.168.0.151:53839 173.194.65.148:80 ESTABLISHED
TCP 192.168.0.151:53840 173.194.65.148:80 ESTABLISHED
TCP 192.168.0.151:53841 173.194.65.148:80 ESTABLISHED
TCP 192.168.0.151:53842 74.121.138.232:80 ESTABLISHED
TCP 192.168.0.151:53843 74.121.138.232:80 ESTABLISHED
TCP 192.168.0.151:53851 24.73.102.193:80 ESTABLISHED
TCP 192.168.0.151:53852 24.73.102.193:80 ESTABLISHED
TCP 192.168.0.151:53853 24.73.102.193:80 ESTABLISHED
TCP 192.168.0.151:53854 24.73.102.193:80 ESTABLISHED
TCP 192.168.0.151:53855 173.194.66.94:443 ESTABLISHED
TCP 192.168.0.151:53856 173.194.65.132:443 ESTABLISHED
TCP 192.168.0.151:53857 173.194.65.120:443 ESTABLISHED
TCP 192.168.0.151:53858 74.125.136.94:443 ESTABLISHED
TCP 192.168.0.151:53859 173.194.66.103:443 ESTABLISHED
TCP 192.168.0.151:53860 173.194.65.100:443 ESTABLISHED
TCP 192.168.0.151:53861 173.194.65.113:443 ESTABLISHED
TCP 192.168.0.151:53862 173.194.65.84:443 ESTABLISHED
 
Toch eens tijd om met netstat te kijken .....

Je browser gebruikt toch echt willekeurige poorten (net welke vrij is) als source poort. Als ik in Chrome even een paar pagina's ververs heb ik toch een heel lijstje in de range die jij blokkeert. Dat zou dan niet werken bij jou.
Als je goed kijkt zie je wat NAT doet. Het is niet alleen adres omzetten, maar ook poorten omzetten.
Alle externe adressen hebben dus een net poort nummer die past bij de functie. Ze worden daarom niet geblokkeerd.
Even voor de goede orde ik heb het zoals beschreven in mijn router zitten en het werkt perfect. Ook geen klachten van huisgenoten.
 
Als je goed kijkt zie je wat NAT doet. Het is niet alleen adres omzetten, maar ook poorten omzetten.

Tuurlijk niet !
TCP 192.168.0.151:53791 173.194.65.139:80 ESTABLISHED
Mijn computer met sourcepoort 53791 stuurt pakketjes data naar het ip-adres van de website met poort 80. Vanaf internet komen bevestigingspakketjes data terug vanaf poort 80 van de website en gaan naar mijn lokale ip-adres poort 53791. Op het moment dat ik dus een filter aanzet die al het verkeer naar poort 53791 niet doorlaat heb ik geen internet verbinding meer.
 
Tuurlijk niet !

Mijn computer met sourcepoort 53791 stuurt pakketjes data naar het ip-adres van de website met poort 80. Vanaf internet komen bevestigingspakketjes data terug vanaf poort 80 van de website en gaan naar mijn lokale ip-adres poort 53791. Op het moment dat ik dus een filter aanzet die al het verkeer naar poort 53791 niet doorlaat heb ik geen internet verbinding meer.

Het filteren vindt plaats op het externe adres. Als jij gelijk zou hebben, dan zou dus de mogelijkheid van het filteren van poorten in routers geen nut hebben. Dat hebben ze dus wel. Zoals ik je heb gezegd werkt het bij mij, maar volgens jou kan dat dus niet en zou ik geen internet meer hebben. Vreemd dat ik toch bij dit forum kan komen.

Dit is een zinloze discussie.
 
Het filteren vindt plaats op het externe adres. Als jij gelijk zou hebben, dan zou dus de mogelijkheid van het filteren van poorten in routers geen nut hebben. Dat hebben ze dus wel. Zoals ik je heb gezegd werkt het bij mij, maar volgens jou kan dat dus niet en zou ik geen internet meer hebben. Vreemd dat ik toch bij dit forum kan komen

In de manual van het Ziggo modem staat over port-filtering dat dit plaatsvindt op de LAN en niet op de WAN :

4
4.10 Port Filtering
Op deze pagina kunnen Port filters worden gedefinieerd om specifieke
internetdiensten voor alle LAN apparaten in het netwerk te blokkeren.

Of dat uberhaubt werkt kan ik niet controleren (ik heb niet zo'n type modem), maar als dat wel zou werken zou je inderdaad geen internet hebben.

Misschien bedoelen ze dus 'destination port' in dit geval, ofwel je stelt een lijst op van destination ports waar geen enkele computer uit je netwerk mag komen. Dat klinkt ook veel logischer.

Maar dat beschermt je niet tegen hetgeen waar het jou om begonnen was: servers die van buiten dwars door je NAT firewall onbeperkt op alle poorten in jouw computer kunnen komen als jij op zo'n site kijkt, ofwel het afschermen van inkomende poorten (gezien vanuit jouw aansluiting).

Daarom blijf ik nog steeds van mening:
Het NAT deel controleert je inkomende poorten en houdt deze dicht tot er een verbinding naar buiten gaat en zet voor die verbinding dus een inkomende poort open.

Het Port-Filtering deel is voor uitgaande poorten, dus als je daar poort 80 opneemt kom je op geen enkele webserver meer.
 
In de manual van het Ziggo modem staat over port-filtering dat dit plaatsvindt op de LAN en niet op de WAN :



Of dat uberhaubt werkt kan ik niet controleren (ik heb niet zo'n type modem), maar als dat wel zou werken zou je inderdaad geen internet hebben.

Misschien bedoelen ze dus 'destination port' in dit geval, ofwel je stelt een lijst op van destination ports waar geen enkele computer uit je netwerk mag komen. Dat klinkt ook veel logischer.

Maar dat beschermt je niet tegen hetgeen waar het jou om begonnen was: servers die van buiten dwars door je NAT firewall onbeperkt op alle poorten in jouw computer kunnen komen als jij op zo'n site kijkt, ofwel het afschermen van inkomende poorten (gezien vanuit jouw aansluiting).

Daarom blijf ik nog steeds van mening:
Het NAT deel controleert je inkomende poorten en houdt deze dicht tot er een verbinding naar buiten gaat en zet voor die verbinding dus een inkomende poort open.

Het Port-Filtering deel is voor uitgaande poorten, dus als je daar poort 80 opneemt kom je op geen enkele webserver meer.

In de modem/router staat;

"This page allows configuration of port filters in order to block specific internet services to all devices on the LAN"

Nu we toch aan het citeren zijn uit de gebruikshandleiding. Bij de firewall:

"Zorgt u ervoor dat de firewall altijd ingeschakeld is. De firewall
beschermt u tegen Denial- of Service-aanvallen."

Uiteraard heb ik geen poort 80 geblokkeerd. Als je mijn lijst bekijkt, kan je dat zien.
De discussie begon met het stellen dat je de zonder gevaar firewall kan uitzetten omdat NAT je dan beveiligd. Je mist dan de bescherming tegen Denial- of Service-aanvallen. Als WAN blocking dat ook uitgaat (dat staat bij de de gateway opties, maar het is mij niet duidelijk hoe het firewall aan/uit zetten hierop werkt), heb je dus een veiligheidslek.

Ik ben het met je eens dat port filtering niet werkt voor het geval dat een website kan proberen binnen te dringen op de zelfde poort als die op dat moment wordt gebruikt (poort 80). Maar sites proberen het ook vaak op een andere poort. Ook werkt het voor Trojaans die bepaalde poorten gebruiken.

Het lijkt me verstandig nu maar te stoppen met de discussie. Iedereen moet voor zichzelf weten hoe veilig hij op Internet wil werken.
 
Status
Niet open voor verdere reacties.
Terug
Bovenaan