Beschreibung:

Im LCOS gibt es aus Kompatibilitätsgründen eine Sonderbehandlung für UDP-Datenverkehr. In der Standard-Konfiguration wird für UDP der NAT-Typ Full Cone NAT verwendet.


Die IP-Adresse eines Netzwerk-Gerätes im lokalen Netzwerk wird mitsamt dem Port hinter der externen IP-Adresse und einem zufälligen Port maskiert. 

Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der Netzwerk-Teilnehmer im lokalen Netzwerk die Verbindung initiiert hat oder auch bei konfiguriertem Portforwarding) ist der Zugriff auf das Netzwerk-Gerät im lokalen Netzwerk über die externe IP-Adresse und den zufällig gewählten Port von jedem externen Host möglich.

Der Vorteil ist die bessere Kompatibilität zu asynchronen Protokollen wie VoIP-Anwendungen (kein STUN erforderlich).


Um zu verhindern, dass beliebige externe Hosts auf den Netzwerk-Teilnehmer im lokalen Netzwerk zugreifen können, kann der NAT-Typ für UDP-Datenverkehr auf Port Restricted Cone NAT abgeändert werden.


Die IP-Adresse eines Netzwerk-Gerätes im lokalen Netzwerk wird mitsamt dem Port hinter der externen IP-Adresse und einem zufälligen Port maskiert. 

Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der Netzwerk-Teilnehmer im lokalen Netzwerk die Verbindung initiiert hat oder auch bei konfiguriertem Portforwarding) kann nur der externe Host, mit dem die Verbindung initiiert wurde, mit dem Teilnehmer im lokalen Netzwerk kommunizieren. Weiterhin ist die Kommunikation nur über den initial gewählten Port möglich.  

Ein Nachteil ist die schlechtere Kompatbilität zu asynchronen Protokollen wie VoIP-Anwendungen (STUN erforderlich).


Für TCP verwendet das LCOS Symetric NAT.


Jede Verbindung 

NAT-Typ für UDP auf "Port Restricted Cone NAT" ändern:

1. Verwendung einer Deny-All-Strategie:

Bei Verwendung einer Deny-All-Regel wird für UDP-Datenverkehr der NAT-Typ auf Port Restricted Cone NAT geändert. Bei einer Deny-All-Strategie muss allerdings jeglicher erwünschter Datenverkehr durch weitere Firewall-Regeln separat freigegeben werden, wordurch dies einen höheren Konfigurations-Aufwand darstellt.

Eine Beschreibung der Deny-All-Strategie sowie vorgefertigte Skripte für die Firewall finden Sie in dem folgenden Knowledge Base Artikel:

Firewall-Konfiguration mit Hilfe von bereitgestellten Skripten


2. Verwendung einer separaten Firewall-Regel:

Ist die Verwendung einer Deny-All-Strategie zu aufwendig, kann alternativ eine Firewall-Regel erstellt werden, die eingehenden UDP-Datenverkehr verbietet.