Hilfe bei Aufgabe bezüglich Paketfilter-Regeln

[schmidtsmikey]

Hallo,

bearbeite gerade eine Aufgabe (GA1, Handlungschritt 2c), AP 04/05) bezüglich Paketfiltern. Die Aufgabe lautet:

Entwickeln Sie ein Regelset, das die Kommunikation der LAN-Clients mit dem externen Mail-Server über eine TCP-Verbindung eröglicht.

Funktionen:

- Senden von E-Mails

- Abrufen von E-Mails

- Alles andere blockieren

Die Lösung ist beim ersten Beispiel folgende:

Richtung: Ausgehend

Quell-IP: LAN

Ziel-IP: Mail-Server

Protokoll: TCP

Quell-Port: >1023

Ziel-Port: 25

ACK-Flag: EGAL

Aktion: Weiterleiten

Ich habe jetzt folgende Fragen:

1.)

Warum ist der Quellport einer >1023? Wie soll ich mir das vorstellen, sendet das Mail-Programm über einen beliebigen Port an den Port 25 des Mail-Servers? was habe ich da nicht verstanden, man kann doch in jedem Mail-Programm angeben, dass Mails über den Port 25 gesendet werden. Also müsste meiner Meinung nach der Quell- UND Ziel-Port 25 sein.

2.)

In der Aufgabe steht zwar, dass über TCP gesendet wird, aber warum muss ich bei Protokoll TCP und nicht SMTP eintragen? Es werden doch beide genutzt, nur dass sich SMTP in der Anwenderschicht befindet.

[Slayman]

zu 1.) Ports kleiner 1024 (normalerweise 1024) gelten als reservierte, sog. "Well known" Ports.

freie Ports liegen zwischen 1024 und 65536 (z.B. eMule, BitTorrent etc.)

und jene reservierten Ports stehen bestimmten Anwendungen exklusiv zur Verfügung wie z.B. 25 für SMTP, 110 Pop3 23 Telnet etc.

Darum werden frei verfügbare Ports als Quellports verwandt. (eine deutlichere Deklaration wäre wünschenswert)

zu 2.) In der Aufgabe steht auch dass es sich um einen Paketfilter handelt. Und diese Devices arbeiten auf Layer 3/4 des OSI Modells. Auch SMTP und POP3 Daten werden in TCP Segmente und IP Pakete verpackt. Und ein Paketfilter kann keine Layer 7 Daten verstehen/verarbeiten.

Ich hoffe das hilft dir ein Stück weiter.

[schmidtsmikey]

Das mit den reservierten Ports ist mir klar. Meine Frage war, warum der Absender nicht den Port 25 nimmt? Dann müssten doch alle Mitarbeiter im Unternehmen bei den Einstellungen für Thunderbird, Outlook & Co den SMTP-Port ändern...

[Slayman]

also,

das ist nicht so leicht zu erklären.

Zuallererst einmal es ist einfach so. Man nehme den Spezialfall dass auf deinem Client auch ein SMTP Server laufen würde und du dennoch mit Src Port 25 schicken würdest dann gäbe es hier einen Konflikt für wen dieses Paket ist.

Und nehmen wir ferner an der Client weiss nicht ob oder ob nicht ein SMTP Server auf der gleichen Maschine läuft, so gebietet es ihm die sinnvolle Automatik anzunehmen dass dem so sei.

Und da das auf alle Arten von Servern anwendbar ist wird einfach kein Well Known Port benutzt.

diese Erklärung erhebt keinen Anspruch auf Vollständigkeit oder Korrektheit

[lordy]

Der Quell-Port ist doch im Endeffekt völlig unbedeutend.

Der Server "lauscht" auf Port 25 und dieser ist im Mail-Programm auch eingetragen.

[schmidtsmikey]

Achso ist das zu verstehen: Wenn ich also im Mailprogramm Port 25 für das Senden von E-Mails eintrage, dann bedeutet das, dass es an Port 25 geht. Ist ja auch logisch, theoretisch könnten mehrere E-Mail-Programme auf einem System Mails versenden und dann wäre der Port 25 blockiert.

Ok, das habe ich verstanden.

Aber warum gibt es dann gleichzeitig eine Regel in der Firewall für eingehenden SMTP-Verkehr?

Richtung: Ausgehend

Quell-IP: Mail-Server

Ziel-IP: LAN

Protokoll: TCP

Quell-Port: 25

Ziel-Port: >1023

ACK-Flag: JA

Aktion: Weiterleiten

Müssen bei einer solchen Verbindung immer zwei Regeln existieren? Wäre diese Regel hier nun für die Antworten des Mail-Servers?

[lordy]

Das sind die Antwort-Pakete, exakt.

Für dumme Paketfilter muß man im Allgemeinen zwei Regeln je Applikation anlegen, eine pro "Richtung".

[schmidtsmikey]

Dann vielen Dank, habe das jetzt soweit alles verstanden. Super!