LANconfig: Gerät "Prüfen" und Firewall?
Moderator: Lancom-Systems Moderatoren
LANconfig: Gerät "Prüfen" und Firewall?
Seit einiger Zeit bemerke ich, dass die LANconfig Software zum prüfen des Gerätes nicht nur den Port 69 nutzt und das macht irgendwie probleme mit der Firewall (IPFW) meines Rechners. Und zwar ist der 1811n über DynDNSin LANconfig eingetragen, wenn ich nun auf Prüfen gehe, dann versucht LANconfig über einer der UDP Ports 10000-65000 das Gerät zu finden. Das heißt für meine Rechner Firewall, dass ich nun den kompletten Bereich öffnen muss, andernfalls schaffe ich es nicht mit dem Gerät über DynDNS zu kommunizieren! Was irgendwie die Firewall meines Rechners total unbrauchbar macht. Unter den Geräte Optionen in LANconfig habe ich auf TFTP gestellt, ohne Erfolg. Ich hatte diese Probleme vorher nie, ich glaube seit 8.0? Geräte im lokalem Netz werden über Port 69 geprüft. Hat jemand eine Idee, ob das irgendwas im Lancom falsch eingetragen habe, oder ist das jetzt normal?
Hi robertmk,
LANconfig nutzt zum Prüfen schon immer TFTP, d.h. es hat sich weder am LANCOM noch an LANconfig etwas geändert.
Bei TFTP stellt LANconfig eine Anfrage an den UDP-Port 69 und verwendet dafür als Quellport einen zufälligen Port oberhalb von 1000. Der TFTP-Server im LANCOM schickt die Daten dann an eben diesen zufälligen Port zurück und verwendet dabei selbst als eigenen Absenderport wiederum einen zufälligen Port oberhalb von 1000. Leider können die meisten Desktop-Firewalls nicht damit umgehen und sehen die Antwort ale seine neue einkommende UDP-Verbindung an, weshalb du in diesen LANconfig die Annahme von UDP-Verbindungen erlauben mußt. Wenn du die windowseigene Firewal nutzt, dann erledigt das Setup-Programm von LANconfig das für dich, bei anderen Firewalls mußt du das manuell nachtragen.
Eine andere Möglichkeit wäre, einfach auf TFTP zu verzichten und die Geräte immer über HTTP oder besser noch HTTPS zu prüfen, denn das ist nur eine abgehende TCP-Verbindung, die alle Firewalls problemlos durchlassen.
Gruß
Backslash
LANconfig nutzt zum Prüfen schon immer TFTP, d.h. es hat sich weder am LANCOM noch an LANconfig etwas geändert.
Bei TFTP stellt LANconfig eine Anfrage an den UDP-Port 69 und verwendet dafür als Quellport einen zufälligen Port oberhalb von 1000. Der TFTP-Server im LANCOM schickt die Daten dann an eben diesen zufälligen Port zurück und verwendet dabei selbst als eigenen Absenderport wiederum einen zufälligen Port oberhalb von 1000. Leider können die meisten Desktop-Firewalls nicht damit umgehen und sehen die Antwort ale seine neue einkommende UDP-Verbindung an, weshalb du in diesen LANconfig die Annahme von UDP-Verbindungen erlauben mußt. Wenn du die windowseigene Firewal nutzt, dann erledigt das Setup-Programm von LANconfig das für dich, bei anderen Firewalls mußt du das manuell nachtragen.
Eine andere Möglichkeit wäre, einfach auf TFTP zu verzichten und die Geräte immer über HTTP oder besser noch HTTPS zu prüfen, denn das ist nur eine abgehende TCP-Verbindung, die alle Firewalls problemlos durchlassen.
Gruß
Backslash
Hi Backslash,
herzlichen Dank für die Erläuterungen, dass wußte ich nicht. Es handelt sich nicht um die Lancom interne Firewall, sondern um die OS X Firewall bzw. um IPFW (Unix). LANconfig läuft unter Win7 in VMware.
Werde wohl erst mal auf HTTPS umstellen, aber mich wundert halt, dass es erst seit einiger Zeit das Problem bei mir auftritt. Ich habe die IPFW Firewall schon viele Jahre und eigentlich kaum etwas geändert, aber erst jetzt blockiert IPFW das "Prüfen".
herzlichen Dank für die Erläuterungen, dass wußte ich nicht. Es handelt sich nicht um die Lancom interne Firewall, sondern um die OS X Firewall bzw. um IPFW (Unix). LANconfig läuft unter Win7 in VMware.
Werde wohl erst mal auf HTTPS umstellen, aber mich wundert halt, dass es erst seit einiger Zeit das Problem bei mir auftritt. Ich habe die IPFW Firewall schon viele Jahre und eigentlich kaum etwas geändert, aber erst jetzt blockiert IPFW das "Prüfen".
Tach,
Erst vor ein paar Wochen hatte mich backslash auf einen ganz lausigen Denkfehler/bzw. mangelndes Wissen meinerseits bzgl. TCP/IP-Grundlagen aufmerksam gemacht. Und da ging es um das Firewallregelwerk meines Lancom Routers, was im Prinzip nur ein Paketfilter ist.
Eine Personal Firewall ist nicht nur ein Paketfilter, sondern auch ein Applikationsfilter. Damit Multiplizieren sich die Möglichkeiten für Regelfehler! Eine Personal Firewall richtig einzurichten ist extrem schwierig. Dann muß diese noch fehlerfrei arbeiten - ein Update irgendwo und ggf. erkennt die PFW ein Protokoll nicht mehr und fertig ist der Salat.
Dazu kommt dann noch folgendes: http://www.lancom-forum.de/topic,1622,- ... ot%3B.html
Gruß
COMCARGRU
das fiese an Firewalls ist, dass man sich schon verdammt gut auskennen muss um Fehler im Regelwerk zu vermeiden.Mein Fehler Wink Zugriffsrechte nicht für https freigegeben. Würde mich nur noch interessieren, warum das früher ging?
Erst vor ein paar Wochen hatte mich backslash auf einen ganz lausigen Denkfehler/bzw. mangelndes Wissen meinerseits bzgl. TCP/IP-Grundlagen aufmerksam gemacht. Und da ging es um das Firewallregelwerk meines Lancom Routers, was im Prinzip nur ein Paketfilter ist.
Eine Personal Firewall ist nicht nur ein Paketfilter, sondern auch ein Applikationsfilter. Damit Multiplizieren sich die Möglichkeiten für Regelfehler! Eine Personal Firewall richtig einzurichten ist extrem schwierig. Dann muß diese noch fehlerfrei arbeiten - ein Update irgendwo und ggf. erkennt die PFW ein Protokoll nicht mehr und fertig ist der Salat.
Dazu kommt dann noch folgendes: http://www.lancom-forum.de/topic,1622,- ... ot%3B.html
Gruß
COMCARGRU
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???
Das Problem, das Prüfen über HTTPS nicht funktionierte war kein Regelfehler der Firewall! Sondern ich hatte den Zugriff in LANconfig (->Management->Admin->Zugriffs-Rechte) nicht erlaubt.COMCARGRU hat geschrieben:das fiese an Firewalls ist, dass man sich schon verdammt gut auskennen muss um Fehler im Regelwerk zu vermeiden.
Genau das ist der Zweck einer Firewall, Pakete zu filternCOMCARGRU hat geschrieben:Und da ging es um das Firewallregelwerk meines Lancom Routers, was im Prinzip nur ein Paketfilter ist.
Ganz anders machen es Hardware-Firewalls auch nicht. Der Name Hardware-Firewall ist ehh nicht ganz korrekt, da ja in einer ext. Firewall auch nur die Software für das Filter zuständig ist.Danke für die Info. Verstehe mich nicht falsch, aber ich habe ja gar keine Problem die Firewall zu konfigurieren, sondern das Problem ist, dass seit neuem TFTP bzw. das Prüfen des Lancom Gerätes durch IPFW geblockt wird, da die Anfrage auf einem der Ports zwischen 1000-65000 kommt. Wenn ich die für alle freigebe, dann kann ich IPFW gleich abschalten!COMCARGRU hat geschrieben:Eine Personal Firewall ist nicht nur ein Paketfilter, sondern auch ein Applikationsfilter. Damit Multiplizieren sich die Möglichkeiten für Regelfehler! Eine Personal Firewall richtig einzurichten ist extrem schwierig. Dann muß diese noch fehlerfrei arbeiten - ein Update irgendwo und ggf. erkennt die PFW ein Protokoll nicht mehr und fertig ist der Salat.
Übrigens ist IPFW http://www.freebsd.org/cgi/man.cgi?query=ipfw&sektion=8 kein Applikationsfilter, sondern nur ein Paketfilter und ist ein Teil von UNIX.
Hallo robertmk,
Viele Grüße,
Jirka
Ja, aber Du schreibst es doch selber: externe Firewall. Die muss aus Hardware sein, sonst wäre sie nicht da... Eine Software-Firewall hingegen läuft auf dem zu schützenden System selber, eben nur als Software und ist damit auch nur halb so sicher.robertmk hat geschrieben:Der Name Hardware-Firewall ist ehh nicht ganz korrekt, da ja in einer ext. Firewall auch nur die Software für das Filter zuständig ist.
Viele Grüße,
Jirka
Hi Jirka,
"halb so sicher"? Keine Ahnung, soweit würde ich nicht gehen. Aber egal, eine externe Firewall ist auch nur eine Software-Firewall, die halt nicht auf dem PC, sondern auf einer extra Hardware läuft und macht doch auch nichts anderes als Pakete zu filtern? Oder wie funktioniert das?
Grüße
Robert
"halb so sicher"? Keine Ahnung, soweit würde ich nicht gehen. Aber egal, eine externe Firewall ist auch nur eine Software-Firewall, die halt nicht auf dem PC, sondern auf einer extra Hardware läuft und macht doch auch nichts anderes als Pakete zu filtern? Oder wie funktioniert das?
Grüße
Robert
Hi robertmk
Gruß
Backslash
na ja, nicht ganz... Wenn du das passend beschränkst, d.h. nur von der IP des LANCOMs dürfen UDP-Sessions geöffnet werden, dann ist das schon sehr sicher (solange du dafür sorgen kannst, daß niemand in deinem LAN die IP-Adresse fälscht).Danke für die Info. Verstehe mich nicht falsch, aber ich habe ja gar keine Problem die Firewall zu konfigurieren, sondern das Problem ist, dass seit neuem TFTP bzw. das Prüfen des Lancom Gerätes durch IPFW geblockt wird, da die Anfrage auf einem der Ports zwischen 1000-65000 kommt. Wenn ich die für alle freigebe, dann kann ich IPFW gleich abschalten!
Das ist dann auch eine der schlechten Firewalls, die mit UDP-Sessions nicht zurechtkommen... Die Firewall im LANCOM z.B. hat überhaupt kein Problem mit TFTP und macht dafür nichtmal eine Sonderbehandlung...Übrigens ist IPFW http://www.freebsd.org/cgi/man.cgi?query=ipfw&sektion=8 kein Applikationsfilter, sondern nur ein Paketfilter und ist ein Teil von UNIX.
prinzipiell kann man aber soweit gehen, denn wenn die Firewal auf dem zu schützenden System läuft, dann ist sie auch von einem Trojaner, der in einer Viagra-Mail hängt, die auf dem System geöffnet wird, problemlos zu deaktivierenhalb so sicher"? Keine Ahnung, soweit würde ich nicht gehen.
prinzipiell ja, aber da sie auf einem exteren Gerät läuft, kommt der oben genannte Trojaner nicht so schnell an sie ran...Aber egal, eine externe Firewall ist auch nur eine Software-Firewall, die halt nicht auf dem PC, sondern auf einer extra Hardware läuft und macht doch auch nichts anderes als Pakete zu filtern? Oder wie funktioniert das?
Gruß
Backslash
Das ist leider nicht möglich, da der Lancom keine feste IP hat.backslash hat geschrieben:na ja, nicht ganz... Wenn du das passend beschränkst, d.h. nur von der IP des LANCOMs dürfen UDP-Sessions geöffnet werden, dann ist das schon sehr sicher (solange du dafür sorgen kannst, daß niemand in deinem LAN die IP-Adresse fälscht).
Wieso sollte IPFW eine schlechte Firewall sein? Nur weil es keine externe ist? Es läuft seit vielen Jahren erfolgreich in UNIX und Linux Systemen.backslash hat geschrieben:Das ist dann auch eine der schlechten Firewalls, die mit UDP-Sessions nicht zurechtkommen... Die Firewall im LANCOM z.B. hat überhaupt kein Problem mit TFTP und macht dafür nichtmal eine Sonderbehandlung...
Naja ich weiß nicht wie das unter windows ist, aber ohne root rechte wirst du unter OS X weder IPFW deaktivieren können, noch kannst du etwas installieren ... als normaler user kann der Trojaner dann nur das home Verzeichnis killen.backslash hat geschrieben:prinzipiell kann man aber soweit gehen, denn wenn die Firewal auf dem zu schützenden System läuft, dann ist sie auch von einem Trojaner, der in einer Viagra-Mail hängt, die auf dem System geöffnet wird, problemlos zu deaktivieren
Da gebe ich dir recht. Aber wie ich schrieb, denke ich, dass das anscheinend ein Windows Problem ist. Meiner Ansicht schützt vor einem Trojaner ehh keine Firewall wirklich richtig, denn ein cleverer Trojaner würde sich seinen freien Port suchen und im Endeffekt hängt es immer am User.backslash hat geschrieben:prinzipiell ja, aber da sie auf einem exteren Gerät läuft, kommt der oben genannte Trojaner nicht so schnell an sie ran...
Grüße
Robert