Diese Website verwendet Cookies, um Dein Surferlebnis zu verbessern. Durch die weitere Nutzung der Website stimmst Du der Verwendung von Cookies zu.   Erfahre mehr.
Zustimmen
wwurst

Connect Box -> IP und Port Filter reagiert nur auf Quellport ALL / Nextcloud

Hallo zusammen,


finde es eine gute Sache, dass Forum hier wo sich User austauschen können, THUMBS UP dafür ;)


Ich versuche meine NEXTCloud auf Port 443 verfügbar zu machen. 


Wenn ich die gleiche Konfiguration bis auf den Quellport, auf beliebig ändere, dann funktioniert es.


Es macht sicherheitstechnisch jedoch keinen Sinn alle Ports durch zulassen, welche alle auf 443 terminieren.. 


Es handelt sich bei dem Problem um jedwede Einschränkung, zb. auch nen Ping. Das Protokoll kann eingeschränkt werden, jedoch nicht der korrekt Port. 


Kann das Phänomen jemand bestätigen oder bin ich hiermit alleine?



Ich bedanke mich Vorraus


wwurst



ps. der Safari ist für die ConnectBox nicht zu gebrauchen.

Speichern Abbrechen
Konnte dir geholfen werden?
  • Ja
Dieser Beitrag wurde geschlossen.
Es ist nicht möglich, Kommentare zu schreiben. Du kannst aber jederzeit eine Frage stellen.
Frage stellen
14 Kommentare
2018-04-25T15:02:44Z
  • Mittwoch, 25.04.2018 um 17:02 Uhr
wwurst:
@Plumper, Horst und Scoopimusic


vielen Dank für die Antworten.


Zu Plumper und Horst kann ich sagen, wenn ich diese Regel nicht setze, ich die Seite von Außen erreichen kann. Also schließt dies eine falsche Adresse aus.


Scoopimusic, was bedeutet das den nun, bei dir funktioniert das feste Einstellen des Ports? so wie im Screenshot "gehtnicht" ?


Vielen Dank an alle. 



Korrekt. ich kann deine nicht funktionierenden Einstellungen Problemlos übernehmen.

2018-04-25T16:43:46Z
  • Mittwoch, 25.04.2018 um 18:43 Uhr
Hallo wwurst,

Es ist ganz normal, dass Du alle Quellports erlauben musst. TCP verwendet Ziel- und Quellports. Die Zielports sind "Well known" 80 für http, 443 für https usw. Die Absenderports des Clients/Browsers werden dynamisch vergeben und sind damit nicht vorhersagbar, deshalb musst Du an der Firewall alle erlauben. Im Prinzip brauchst Du erst über 1024 anfangen weil Userprozesse diesen Bereich grundsätzlich meiden, es schadet aber nicht diesen Bereich zu erlauben.
2018-04-25T16:54:32Z
  • Mittwoch, 25.04.2018 um 18:54 Uhr
Danke für das Kompliment Horst. Ich habe die Frage leider etwas zu spät entdeckt. Und ja, man sollte es nicht komplizierter denken als ist.
Da bei bei IPv6 tatsächlich kein Nat stattfindet, handelt es sich bei diesen Firewall-Regeln um ganz normale TCP-Eigenschaften. Mit welch riesigen Bereich man an Absenderports unterwegs ist, kann man sich anschauen wenn man auf dem eigenen Rechner Wireshark mitlaufen lässt.
Welche tcp-verbindung man sich dabei anschaut ist egal, da sich an TCP zum Glück mit IPv6 nichts geändert hat.
2018-04-25T17:03:23Z
  • Mittwoch, 25.04.2018 um 19:03 Uhr
Zum Nachlesen:
https://de.m.wikipedia.org/wiki/Transmission_Control_Protocol

Will ein Client eine Verbindung aufbauen, erzeugt er einen eigenen Socket aus seiner Rechneradresse und einer eigenen, noch freien Portnummer. Mit Hilfe eines ihm bekannten Ports und der Adresse des Servers kann dann eine Verbindung aufgebaut werden. Eine TCP-Verbindung ist durch folgende 4 Werte eindeutig identifiziert:

Quell-IP-Adresse
Quell-Port
Ziel-IP-Adresse
Ziel-Port