Versionen im Vergleich

Alte Version 2

changes.mady.by.user LANCOM Redaktion

Gespeichert am

verglichen mit

Neue Version Aktuell

changes.mady.by.user LANCOM Redaktion

Gespeichert am

Schlüssel

  • Diese Zeile wurde hinzugefügt.
  • Diese Zeile wurde entfernt.
  • Formatierung wurde geändert.

...

Im LCOS gibt es aus Kompatibilitätsgründen eine Sonderbehandlung für UDP-Datenverkehr. In der Standard-Konfiguration wird für UDP der NAT-Typ Full Cone NAT verwendet.

Info
titleFull Cone NAT:


Die Alle Anfragen von der gleichen internen IP-Adresse eines Netzwerk-Gerätes im lokalen Netzwerk wird mitsamt dem Port und dem gleichen Port werden immer hinter der gleichen externen IP-Adresse und einem zufälligen dem gleichen externen Port maskiert. 

Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der interne Host die Verbindung initiiert hat) ist der Zugriff auf den internen Host über die externe IP-Adresse und den Port von jedem externen Host möglich.

Der Vorteil ist die bessere Kompatibilität zu asynchronen Protokollen wie VoIP-Anwendungen (kein STUN erforderlich).


Um zu verhindern, dass beliebige externe Hosts auf den Netzwerk-Teilnehmer im lokalen Netzwerk

...

zugreifen können, kann der NAT-Typ für UDP-Datenverkehr auf Port Restricted Cone NAT abgeändert werden.

Info
titlePort Restricted Cone NAT:


Alle Anfragen von der gleichen internen IP-Adresse und dem gleichen Port werden immer hinter der gleichen externen IP-Adresse und dem gleichen externen Port maskiert.

Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der interne Host die Verbindung initiiert) kann nur der externe Host, mit dem die Verbindung initiiert wurde, mit dem internen Host kommunizieren. Weiterhin ist die Kommunikation nur über den initial gewählten Port möglich.  

Ein Nachteil ist die schlechtere Kompatbilität zu asynchronen Protokollen wie VoIP-Anwendungen (STUN erforderlich).


Für TCP verwendet das LCOS Symmetric NAT. Dadurch ist TCP von dem Verhalten nicht betroffen.

Info
titleSymmetric NAT:


Alle Anfragen von der gleichen internen IP-Adresse und dem gleichen Port zu einer bestimmten externen IP-Adresse und einem externen Port werden hinter der gleichen IP-Adresse und dem gleichen Port maskiert. Für eine weitere Anfrage vom gleichen lokalen Host aber zu einem anderen Ziel wird ein neuer Eintrag in der NAT-Tabelle mit einem anderen Port erstellt.

Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der interne Host die Verbindung initiiert) kann nur der externe Host, mit dem die Verbindung initiiert wurde, mit dem internen Host kommunizieren. Weiterhin ist die Kommunikation nur über den initial gewählten Port möglich.   


NAT-Typ für UDP auf "Port Restricted Cone NAT" ändern:

1. Verwendung einer Deny-All-Strategie:

Bei Verwendung einer Deny-All-Regel wird für UDP-Datenverkehr der NAT-Typ auf Port Restricted Cone NAT geändert. Bei einer Deny-All-Strategie muss allerdings jeglicher erwünschter Datenverkehr durch weitere Firewall-Regeln separat freigegeben werden, wodurch dies einen höheren Konfigurations-Aufwand darstellt.

Eine Beschreibung der Deny-All-Strategie sowie vorgefertigte Skripte für die Firewall finden Sie in dem folgenden Knowledge Base Artikel:

Firewall-Konfiguration mit Hilfe von bereitgestellten Skripten


2. Verwendung einer separaten Firewall-Regel:

Ist die Verwendung einer Deny-All-Strategie zu aufwendig, kann alternativ eine Firewall-Regel erstellt werden, die eingehenden UDP-Datenverkehr verbietet.

2.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Firewall/QoS → IPv4-Regeln → Regeln.

Menü Firewall-Regeln aufrufenImage Added

2.2 Erstellen Sie eine neue Firewall-Regel und vergeben einen aussagekräftigen Namen für die Regel (in diesem Beispiel DENY-INCOMING-UDP).

Neue Firewall-Regel erstellen und aussagekräftigen Namen vergebenImage Added

2.3 Wechseln Sie in den Reiter Aktionen und stellen sicher, dass dort die Aktion REJECT ausgewählt ist.

Sicherstellen, dass in der Firewall-Regel die Aktion REJECT hinterlegt istImage Added

2.4 Wechseln Sie in den Reiter Stationen, wählen bei der Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.

Benutzerdefinierte Verbindungs-Quelle für die Firewall-Regel unter Stationen auswählenImage Added

2.5 Wählen Sie zuerst die Option Eine bestimmte Gegenstelle und anschließend im Dropdown-Menü bei Gegenstellen-Name die Internet-Gegenstelle aus (in diesem Beispiel INTERNET). 

Internet-Gegenstelle auswählenImage Added

2.6 Wählen Sie bei dem Verbindungs-Ziel die Option Verbindungen an folgende Stationen aus und klicken auf Hinzufügen → LOCALNET.

Info

Das Objekt LOCALNET umfasst alle lokal im Router konfigurierten Netzwerke.

Als Verbindungsziel das Objekt LOCALNET in der Firewall-Regel unter Stationen hinterlegenImage Added

2.7 Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.

Ziel-Dienst in der Firewall-Regel auswählenImage Added

2.8 Wählen Sie das Protokoll UDP aus.

Protokoll UDP auswählenImage Added

2.9 Die Konfiguration der Firewall-Regel ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.

Konfiguration der Firewall-Regel abgeschlossenImage Added

In diesem Artikel wird beschrieben, wie UDP-Datenverkehr durch Anpassung des NAT-Typs von Full Cone NAT zu Port Restricted Cone NAT abgesichert werden kann.

Voraussetzungen:

Szenario:

...

...

Inhalt nach Stichwort
showLabelsfalse
max5
showSpacefalse
sortcreation
titleWeitere Artikel zu diesem Thema:
excludeCurrenttrue
cqllabel = "lancomfirewall" and space = "KB"