Firewall, Proxy und NAT

[bernardo]

Hallo Community,

----Vorab, ich will nicht aus der Firmenfirewall "raus" in mein Heimnetzt, sonden ich will nur verstehen wieso das nicht klappt----

Ich habe ein paar Verständnisfragen zum Thema NAT,Firewall und Proxy:

Ich möchte eine RDP-Verbindung von einem Rechner zu einem anderen Rechner über das Internet aufbauen. (Lan->FW->Internet->FW->LAN).

Theoretisch muss doch nur der Port 3389 an der Firewall des Zielnetzwerks eine Forwardregel haben und es sollte funktionieren.

Ich verstehe aber nicht wieso das von dem LAN eines Freundes aus funktioniert, aber von dem Firmenetz aus nicht (Also konnte von dem LAN eines Freundes auf mein Heimnetzwerk per RDP zugreifen).

Ich dachte, dass wegen NAT die RDP-Verbindung durch irgendeinen Port aus der Firmenfirewall raus geht und dann an meiner Firewall zuhause auf Port 3389 ankommt.

Meine Frage ist also, wieso es bei dem Freund klappt und wieso aus der Firmenfirewall (Proxy ist ja auch noch da) keine Verbindung hergestellt werden kann.

Theoretisch weiß ich dass auf der Firmenfirewall alle Ports bis auf 80 und 433 gesperrt sind, nur denke ich das dies aufgrund von NAT keine rolle spielt.

Welche Ports offen sind und welche nicht sollte doch aufgrund von NAT egal sein, bei dem Router meines Freundes sind ja auch keine expliziten Ports für den Ausgang freigegeben oder etwa doch?

Danke für eure Antworten

[Crash2001]

Ich denke einmal, es wird bereits das Paket, das an Port 3389 raus geht geblockt, so dass bei dir zu Hause erst gar kein Paket ankommt. Oder aber das Antwortpaket wird erst geblockt von der Firewall.

Da kannst du noch so viel NATen, wenn auf der Firewall eingestellt ist, dass etwas blockiert werden soll, dann geht das nicht. Firewalls in Unternehmen sind ja meist so schlau, dass sie z.B. RDP erkennen als Protokoll und das blockieren können - auch wenn es auf einen anderen Port geht.

[bernardo]

Gut aber wieso kann ich vom LAN meines Freundes die Verbindung aufbauen.

Wo leigt der Unterschied. Er hat eine Fritzbox mit integrierten Modem/Router/FW

[SilentDemise]

Firewalls in Unternehmen sind ja meist so schlau, dass sie z.B. RDP erkennen als Protokoll und das blockieren können - auch wenn es auf einen anderen Port geht.

die Lösung hat dir Crash doch schon verraten ;-)

[flashpixx]

Gut aber wieso kann ich vom LAN meines Freundes die Verbindung aufbauen.

Wie schon Crash schrieb, die ausgehenden Pakete werden wohl geblockt.

[Crash2001]

Ganz einfach - da die Pakete bei ihm nicht geblockt werden, da er keine entsprechende Filterregel in seiner Fritzbox konfiguriert haben wird, sondern der Traffic dort wohl erlaubt sein wird. Dementsprechend kommen die Pakete auch an und er bekommt Rückantwort und kann somit den Dienst nutzen.

Bei dir von der Arbeit aus hingegen werden die Pakete blockiert und somit kannst du den Dienst nicht nutzen.

[axxis]

Mittles tcpdump kannst du auch relativ schnell sehen, dass du einfach keine Antwort von der Gegenstelle bekommst, da Block am Gateway.