Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 38 subscribers
  • Views 1634 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sicherheitsrisiko bei Portweiterleitung?

DJMABO
Hi,

ich betreibe einen Windows Homeserver 2011 und benutze Astaro als Router.
Da ich auf meinem Server Teamspeak 3 Server installiert habe und diesen Dienst meinen Kumpels bereitstellen möchte hatte ich schwierigkeiten die Ports so Weiter zu Leiten das auch die Clienten korrekt verbinden können. 

Dazu hab ich eine DNAT Route konfiguriert:

Datenverkehrsquelle: Any
Datenverkehrsdienst: 1:65535 -> 9987
Datenverkehrsziel: External WAN Address
NAT-Modus: DNAT
Ziel: Windows Homeserver 2011 mit dessen statischer IP Adresse
Zieldienst: 9987 -> 9987

Diese Konfiguration ist die einzige die Funktioniert -> hab tausende getestet.
Meine Frage ist: Stellt die Einstellung im Datenverkehrsdienst mit 1:65535 -> 9987 UDP/TCP ein Sicherheitsrisiko für mein Privates Netzwerk dar? [:S]

Bin leider Otto Normal User was solche Dinge angeht. [:D]


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    nun ich bin bemüht stehts alle meine Systeme up to date zu halten. Meine Sorge galt eher der Einstellung "Datenverkehrsdienst mit 1:65535 -> 9987 UDP/TCP". Ich hoffe damit nicht versehentlich alle Ports geöffnet zu haben.
Reply
  • 0
    Hi,

    nun ich bin bemüht stehts alle meine Systeme up to date zu halten. Meine Sorge galt eher der Einstellung "Datenverkehrsdienst mit 1:65535 -> 9987 UDP/TCP". Ich hoffe damit nicht versehentlich alle Ports geöffnet zu haben.
Children
  • 0 in reply to DJMABO
    Hi,

    nun ich bin bemüht stehts alle meine Systeme up to date zu halten. Meine Sorge galt eher der Einstellung "Datenverkehrsdienst mit 1:65535 -> 9987 UDP/TCP". Ich hoffe damit nicht versehentlich alle Ports geöffnet zu haben.


    Gute Einstellung. Die Service-Definition hast Du vollkommen richtig angelegt. Das 1:65535 ist unschwer erkennbar ein Portrange. Ein Service wird definiert durch Quell- & Zielports. Da jedoch bei den allermeisten Diensten aufgrund NAT Devices, Betriebssystemen usw. der Quellport mehr oder weniger zufällig ist, hat man meistens eben einfach den kompletten Range hier als Angabe. Das macht die Sache jedoch nicht per se 'unsicherer', nur 'unschärfer'. Wie Du bei den meisten vorgegebenen Dienstedefinitionen feststellen kannst, ist das aber bei fast allen (wenn nicht sogar wirklich allen) so.

    Zwischen DNAT und Packetfilter gilt es aber unbedingt zu differenzieren:

    - Packetfilter brauchst Du in jedem Fall, wenn Traffic passieren können soll.
    - DNAT oder FNAT brauchst Du, um interne Server von aussen erreichbar zu machen (Da diese nicht-öffentliche Adressen haben). Es erfordert *zusätzlich* auch eine Packetfilter Regel, die man aber mit dem Haken bei 'Auto' einfach gleich miterzeugen lassen kann (und eine weitere Benutzer-Fehlerquelle ausschließt).
Unfiltered HTML