Firewall Regeln verstehen

[fisiazubi01]

Hallo zusammen, in den Abschlussprüfungen sieht man immer wieder solche Tabellen, die die Firewall-Regeln definieren:

Die meisten Spalten sind selbsterklärend, auch was jede Zeile bedeutet (also das Ergebnis) ist mir bewusst.
Nur wann benutze ich welches Protokoll und was genau heißt Quellport, wann wird dieser angegeben, wann mit any und wann kommt eine richtige Portzahl hin? Der Zielport spricht ja bestimmte Dienste auf dem Ziel an, z.B. 80 = http.
Und wofür stehen die Richtungen?
 

Danke für die Erklärungen!

 

 

[RubberDog]

1. The IP protocol is a network layer protocol, it transport packets between two different entities connected to the network, identified by their IP address. At this level you do not know which application or service will use the data you are transmitting.

The TCP protocol is a transport layer protocol, it transports segments of data (not packets), representing the individual units of data that a message (coming from an higher layer of the OSI model) is divided into, those data are addressed to a specific service or application, represented by a port in the machine.

( https://www.quora.com/What-is-the-difference-between-TCP-and-IP-protocols )

2. Quellport: Woher (von welcher Port-Nr) kommt der Datenverkehr? Bei nem Mailserver weisst du z.B., auf welchem Port er Daten rausgibt.

3. Any, wenn es verschiedene Ports sein können. Z.B., weil eine Software mehrere Simultane Verbindungen zulässt, und dafür eben jedes mal einen eigenen Port nutzt.

4. Ob der Datenverkehr von "Innen", aus deinem eigenen Netz kommt, oder von "Aussen", z.B. dem Internet.

[_n4p_]

zu 4.: nicht ganz IN und OUT bezieht sich jeweils auf das angegebene Interface

[mancharta]

vor 18 Minuten schrieb _n4p_:

zu 4.: nicht ganz IN und OUT bezieht sich jeweils auf das angegebene Interface

Hey, ich klinke mich da mal ein weil mich die Thematik auch interessiert. Wie meinst du das genau mit dem Bezug auf das Interface? Ob der Traffic von Intern oder von Außen kommt wäre mir soweit klar. 

[RubberDog]

vor 40 Minuten schrieb _n4p_:

zu 4.: nicht ganz IN und OUT bezieht sich jeweils auf das angegebene Interface

Jap, das habe ich wirklich schlecht formuliert.

[_n4p_]

vor einer Stunde schrieb Revtic:

Hey, ich klinke mich da mal ein weil mich die Thematik auch interessiert. Wie meinst du das genau mit dem Bezug auf das Interface? Ob der Traffic von Intern oder von Außen kommt wäre mir soweit klar. 

In einem Router/Gateway hab ich in der Regel 2 oder mehr Interfaces. Jeweils ein Interface pro Netzwerk das angeschlossen ist.

Gehen wir mal vom einfachen Fall aus. Das Gerät vermittelt zwischen meinem internen Netz und dem Internet. 
Das Paket wandert vom internen Netz IN das eine Interface (A), wird verarbeitet und wandert dann AUS dem anderen Interface (B) ins Internet. Die Antwort kommt dann aus dem Internet IN Interface (B) und dann AUS Interface (A) ins interne Netz.

Blockiere ich zB. auf Interface (A) ausgehenden Traffic für Port 80, kann man von außen auf keinen http-Dienst im internen Netz zugreifen. Blockiere ich allerdings eingehenden Traffic auf Interface (A) für Port 80, kann ich nicht mehr auf das Webinterface des Routers zugreifen. Besser wäre daher eingehenden Traffic für Port 80 auf Interface (B) zu verbieten.

[fisiazubi01]

vor 3 Stunden schrieb RubberDog:

1. The IP protocol is a network layer protocol, it transport packets between two different entities connected to the network, identified by their IP address. At this level you do not know which application or service will use the data you are transmitting.

Da bei IP nicht bekannt ist welche Applikation oder welcher Service die übertragenen Daten nutzen, kann auch kein Port angegeben werden richtig?

vor 3 Stunden schrieb RubberDog:

The TCP protocol is a transport layer protocol, it transports segments of data (not packets), representing the individual units of data that a message (coming from an higher layer of the OSI model) is divided into, those data are addressed to a specific service or application, represented by a port in the machine.

Trotz der beiden Definitionen, ist mir nicht ganz klar, wann ich TCP verwende, kann jemand vielleicht Beispiele nennen wann man IP verwendet und wann man TCP verwendet? UDP wird bei DNS verwendet, das weiß ich, aber warum das so ist weiß ich nicht.

@n4p

Danke für die Erklärung der Richtung, du meinst das so oder?

 

 

 

[_n4p_]

Prin

vor 5 Minuten schrieb fisiazubi01:

@n4p

Danke für die Erklärung der Richtung, du meinst das so oder?

Prinzipiell ja, aber beachte das Pakete auch andersrum fließen können und damit die Pfeile die Richtung ändern sowie IN und OUT vertauscht wird.

 

Zu der anderen Frage. Ein Blick ins OSI Modell zeigt, das TCP über IP liegt. Wenn man sich das noch genauer anschaut, stellt man fest das TCP in IP gekapselt wird. Im IP Paket stehen die Adressen (192.168.14.12) und im TCP Header stehen die Ports. Willst du spezifische Dienste erlauben/verbieten machst du das zB über die Ports des Dienstes und damit auf TCP Ebene. Willst du speziellen Rechnern/Netzen die Kommunikation mit einem anderen Rechner/Netz verbieten nimmst du die IP-Adressen und bist dementsprechend beim IP-Protokoll.