Beschreibung:
Im LCOS gibt es aus Kompatibilitätsgründen eine Sonderbehandlung für UDP-Datenverkehr. In der Standard-Konfiguration wird für UDP der NAT-Typ Full Cone NAT verwendet.
Full Cone NAT:
Die IP-Adresse eines Netzwerk-Gerätes im lokalen Netzwerk wird mitsamt dem Port hinter der externen IP-Adresse und einem zufälligen Port maskiert.
Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der Netzwerk-Teilnehmer im lokalen Netzwerk die Verbindung initiiert hat oder auch bei konfiguriertem Portforwarding) ist der Zugriff auf das Netzwerk-Gerät im lokalen Netzwerk über die externe IP-Adresse und den zufällig gewählten Port von jedem externen Host möglich.
Der Vorteil ist die bessere Kompatibilität zu asynchronen Protokollen wie VoIP-Anwendungen (kein STUN erforderlich).
Um zu verhindern, dass beliebige externe Hosts auf den Netzwerk-Teilnehmer im lokalen Netzwerk zugreifen können, kann der NAT-Typ für UDP-Datenverkehr auf Port Restricted Cone NAT abgeändert werden.
Port Restricted Cone NAT:
Die IP-Adresse eines Netzwerk-Gerätes im lokalen Netzwerk wird mitsamt dem Port hinter der externen IP-Adresse und einem zufälligen Port maskiert.
Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der Netzwerk-Teilnehmer im lokalen Netzwerk die Verbindung initiiert hat oder auch bei konfiguriertem Portforwarding) kann nur der externe Host, mit dem die Verbindung initiiert wurde, mit dem Teilnehmer im lokalen Netzwerk kommunizieren. Weiterhin ist die Kommunikation nur über den initial gewählten Port möglich.
Ein Nachteil ist die schlechtere Kompatbilität zu asynchronen Protokollen wie VoIP-Anwendungen (STUN erforderlich).
Für TCP verwendet das LCOS Symetric NAT.
Symetric NAT:
Jede Verbindung
NAT-Typ für UDP auf "Port Restricted Cone NAT" ändern:
1. Verwendung einer Deny-All-Strategie:
Bei Verwendung einer Deny-All-Regel wird für UDP-Datenverkehr der NAT-Typ auf Port Restricted Cone NAT geändert. Bei einer Deny-All-Strategie muss allerdings jeglicher erwünschter Datenverkehr durch weitere Firewall-Regeln separat freigegeben werden, wordurch dies einen höheren Konfigurations-Aufwand darstellt.
Eine Beschreibung der Deny-All-Strategie sowie vorgefertigte Skripte für die Firewall finden Sie in dem folgenden Knowledge Base Artikel:
Firewall-Konfiguration mit Hilfe von bereitgestellten Skripten
2. Verwendung einer separaten Firewall-Regel:
Ist die Verwendung einer Deny-All-Strategie zu aufwendig, kann alternativ eine Firewall-Regel erstellt werden, die eingehenden UDP-Datenverkehr verbietet.
2.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
2.2 Erstellen Sie eine neue Firewall-Regel und vergeben einen aussagekräftigen Namen für die Regel (in diesem Beispiel DENY-INCOMING-UDP).
2.3 Wechseln Sie in den Reiter Aktionen und stellen sicher, dass dort die Aktion REJECT ausgewählt ist.
2.4 Wechseln Sie in den Reiter Stationen, wählen bei der Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
2.5 Wählen Sie zuerst die Option Eine bestimmte Gegenstelle und anschließend im Dropdown-Menü bei Gegenstellen-Name die Internet-Gegenstelle aus (in diesem Beispiel INTERNET).
2.6 Wählen Sie bei dem Verbindungs-Ziel die Option Verbindungen an folgende Stationen aus und klicken auf Hinzufügen → LOCALNET.
Das Objekt LOCALNET umfasst alle lokal im Router konfigurierten Netzwerke.
2.7 Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.
2.8 Wählen Sie das Protokoll UDP aus.
2.9 Die Konfiguration der Firewall-Regel ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
