Im LCOS gibt es aus Kompatibilitätsgründen eine Sonderbehandlung für UDP-Datenverkehr. In der Standard-Konfiguration wird für UDP der NAT-Typ Full Cone NAT verwendet.
Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der interne Host die Verbindung initiiert hat) ist der Zugriff auf den internen Host über die externe IP-Adresse und den Port von jedem externen Host möglich. Der Vorteil ist die bessere Kompatibilität zu asynchronen Protokollen wie VoIP-Anwendungen (kein STUN erforderlich). |
Um zu verhindern, dass beliebige externe Hosts auf den Netzwerk-Teilnehmer im lokalen Netzwerk zugreifen können, kann der NAT-Typ für UDP-Datenverkehr auf Port Restricted Cone NAT abgeändert werden.
Alle Anfragen von der gleichen internen IP-Adresse und dem gleichen Port werden immer hinter der gleichen externen IP-Adresse und dem gleichen externen Port maskiert. Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der interne Host die Verbindung initiiert) kann nur der externe Host, mit dem die Verbindung initiiert wurde, mit dem internen Host kommunizieren. Weiterhin ist die Kommunikation nur über den initial gewählten Port möglich. Ein Nachteil ist die schlechtere Kompatbilität zu asynchronen Protokollen wie VoIP-Anwendungen (STUN erforderlich). |
Für TCP verwendet das LCOS Symetric NAT. Dadurch ist TCP von dem Verhalten nicht betroffen.
Sobald der Eintrag in der NAT-Tabelle hinterlegt ist (nachdem der interne Host die Verbindung initiiert) kann nur der externe Host, mit dem die Verbindung initiiert wurde, mit dem internen Host kommunizieren. Weiterhin ist die Kommunikation nur über den initial gewählten Port möglich. |
1. Verwendung einer Deny-All-Strategie:
Bei Verwendung einer Deny-All-Regel wird für UDP-Datenverkehr der NAT-Typ auf Port Restricted Cone NAT geändert. Bei einer Deny-All-Strategie muss allerdings jeglicher erwünschter Datenverkehr durch weitere Firewall-Regeln separat freigegeben werden, wordurch dies einen höheren Konfigurations-Aufwand darstellt.
Eine Beschreibung der Deny-All-Strategie sowie vorgefertigte Skripte für die Firewall finden Sie in dem folgenden Knowledge Base Artikel:
Firewall-Konfiguration mit Hilfe von bereitgestellten Skripten
2. Verwendung einer separaten Firewall-Regel:
Ist die Verwendung einer Deny-All-Strategie zu aufwendig, kann alternativ eine Firewall-Regel erstellt werden, die eingehenden UDP-Datenverkehr verbietet.
2.1 Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Firewall/QoS → IPv4-Regeln → Regeln.
2.2 Erstellen Sie eine neue Firewall-Regel und vergeben einen aussagekräftigen Namen für die Regel (in diesem Beispiel DENY-INCOMING-UDP).
2.3 Wechseln Sie in den Reiter Aktionen und stellen sicher, dass dort die Aktion REJECT ausgewählt ist.
2.4 Wechseln Sie in den Reiter Stationen, wählen bei der Verbindungs-Quelle die Option Verbindungen von folgenden Stationen aus und klicken auf Hinzufügen → Benutzerdefinierte Station hinzufügen.
2.5 Wählen Sie zuerst die Option Eine bestimmte Gegenstelle und anschließend im Dropdown-Menü bei Gegenstellen-Name die Internet-Gegenstelle aus (in diesem Beispiel INTERNET).
2.6 Wählen Sie bei dem Verbindungs-Ziel die Option Verbindungen an folgende Stationen aus und klicken auf Hinzufügen → LOCALNET.
Das Objekt LOCALNET umfasst alle lokal im Router konfigurierten Netzwerke. |
2.7 Wechseln Sie in den Reiter Dienste, wählen bei Protokolle/Ziel-Dienste die Option folgende Protokolle/Ziel-Dienste aus und klicken auf Hinzufügen.
2.8 Wählen Sie das Protokoll UDP aus.
2.9 Die Konfiguration der Firewall-Regel ist damit abgeschlossen. Schreiben Sie die Konfiguration in den Router zurück.
