schmidtsmikey Geschrieben 27. April 2006 Geschrieben 27. April 2006 Hallo, bearbeite gerade eine Aufgabe (GA1, Handlungschritt 2c), AP 04/05) bezüglich Paketfiltern. Die Aufgabe lautet: Entwickeln Sie ein Regelset, das die Kommunikation der LAN-Clients mit dem externen Mail-Server über eine TCP-Verbindung eröglicht. Funktionen: - Senden von E-Mails - Abrufen von E-Mails - Alles andere blockieren Die Lösung ist beim ersten Beispiel folgende: Richtung: Ausgehend Quell-IP: LAN Ziel-IP: Mail-Server Protokoll: TCP Quell-Port: >1023 Ziel-Port: 25 ACK-Flag: EGAL Aktion: Weiterleiten Ich habe jetzt folgende Fragen: 1.) Warum ist der Quellport einer >1023? Wie soll ich mir das vorstellen, sendet das Mail-Programm über einen beliebigen Port an den Port 25 des Mail-Servers? was habe ich da nicht verstanden, man kann doch in jedem Mail-Programm angeben, dass Mails über den Port 25 gesendet werden. Also müsste meiner Meinung nach der Quell- UND Ziel-Port 25 sein. 2.) In der Aufgabe steht zwar, dass über TCP gesendet wird, aber warum muss ich bei Protokoll TCP und nicht SMTP eintragen? Es werden doch beide genutzt, nur dass sich SMTP in der Anwenderschicht befindet. Zitieren
Slayman Geschrieben 27. April 2006 Geschrieben 27. April 2006 zu 1.) Ports kleiner 1024 (normalerweise 1024) gelten als reservierte, sog. "Well known" Ports. freie Ports liegen zwischen 1024 und 65536 (z.B. eMule, BitTorrent etc.) und jene reservierten Ports stehen bestimmten Anwendungen exklusiv zur Verfügung wie z.B. 25 für SMTP, 110 Pop3 23 Telnet etc. Darum werden frei verfügbare Ports als Quellports verwandt. (eine deutlichere Deklaration wäre wünschenswert) zu 2.) In der Aufgabe steht auch dass es sich um einen Paketfilter handelt. Und diese Devices arbeiten auf Layer 3/4 des OSI Modells. Auch SMTP und POP3 Daten werden in TCP Segmente und IP Pakete verpackt. Und ein Paketfilter kann keine Layer 7 Daten verstehen/verarbeiten. Ich hoffe das hilft dir ein Stück weiter. Zitieren
schmidtsmikey Geschrieben 27. April 2006 Autor Geschrieben 27. April 2006 Das mit den reservierten Ports ist mir klar. Meine Frage war, warum der Absender nicht den Port 25 nimmt? Dann müssten doch alle Mitarbeiter im Unternehmen bei den Einstellungen für Thunderbird, Outlook & Co den SMTP-Port ändern... Zitieren
Slayman Geschrieben 27. April 2006 Geschrieben 27. April 2006 also, das ist nicht so leicht zu erklären. Zuallererst einmal es ist einfach so. Man nehme den Spezialfall dass auf deinem Client auch ein SMTP Server laufen würde und du dennoch mit Src Port 25 schicken würdest dann gäbe es hier einen Konflikt für wen dieses Paket ist. Und nehmen wir ferner an der Client weiss nicht ob oder ob nicht ein SMTP Server auf der gleichen Maschine läuft, so gebietet es ihm die sinnvolle Automatik anzunehmen dass dem so sei. Und da das auf alle Arten von Servern anwendbar ist wird einfach kein Well Known Port benutzt. diese Erklärung erhebt keinen Anspruch auf Vollständigkeit oder Korrektheit Zitieren
lordy Geschrieben 27. April 2006 Geschrieben 27. April 2006 Der Quell-Port ist doch im Endeffekt völlig unbedeutend. Der Server "lauscht" auf Port 25 und dieser ist im Mail-Programm auch eingetragen. Zitieren
schmidtsmikey Geschrieben 27. April 2006 Autor Geschrieben 27. April 2006 Achso ist das zu verstehen: Wenn ich also im Mailprogramm Port 25 für das Senden von E-Mails eintrage, dann bedeutet das, dass es an Port 25 geht. Ist ja auch logisch, theoretisch könnten mehrere E-Mail-Programme auf einem System Mails versenden und dann wäre der Port 25 blockiert. Ok, das habe ich verstanden. Aber warum gibt es dann gleichzeitig eine Regel in der Firewall für eingehenden SMTP-Verkehr? Richtung: Ausgehend Quell-IP: Mail-Server Ziel-IP: LAN Protokoll: TCP Quell-Port: 25 Ziel-Port: >1023 ACK-Flag: JA Aktion: Weiterleiten Müssen bei einer solchen Verbindung immer zwei Regeln existieren? Wäre diese Regel hier nun für die Antworten des Mail-Servers? Zitieren
lordy Geschrieben 27. April 2006 Geschrieben 27. April 2006 Das sind die Antwort-Pakete, exakt. Für dumme Paketfilter muß man im Allgemeinen zwei Regeln je Applikation anlegen, eine pro "Richtung". Zitieren
schmidtsmikey Geschrieben 27. April 2006 Autor Geschrieben 27. April 2006 Dann vielen Dank, habe das jetzt soweit alles verstanden. Super! Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.