firewall eingehende und ausgehende verbindunden

firewall eingehende und ausgehende verbindunden laut wikipedin,a

ist nicht korrekt, alle verbindungen sind eigehend,, snat und dnat hat nichts mit verbindungen,sprich syn flag zu tun, , es ist eher die frage. erst regel dann nat oder erst nat dann regel, beispiel, port forwarding, erst schauen nat regel, ja, ziel ip ändern, dann die regel, schaut pfsense regel, das ziel ist die private ip des server, somit kann der rückweg, sprich regel, aus der definierten regel abgeleitet werden,

Bei verbindungen, bei der quell ip und port verändert werden soll, erst firewall regel, dann source ändern und routen,, es kann auch snat und dnat auf ein paket angewendet werden, um das zu verstehen muss man sich, auch wenn es nervt, mit ip paketen beschäftigen

anTTraXX

30.01.2025, 12:54

Hä?

frank824

Beitragsersteller

30.01.2025, 13:20

https://docs-netgate-com.translate.goog/pfsense/en/latest/nat/process-order.html?_x_tr_sl=en&_x_tr_tl=de&_x_tr_hl=de&_x_tr_pto=sc

es ist aller komlizierter als ihr denkt

3 Antworten

BeamerBen

30.01.2025, 13:04

Klingt als würdest du NAT Regeln setzen wollen.

Vielleicht hilft der Post:

https://serverfault.com/questions/119365/what-is-the-difference-between-a-source-nat-destination-nat-and-masquerading

Bezüglich wann deine Regeln greifen sollen, kommt darauf an was du machen möchtest. Oft ist es von Vorteil, Pakete so früh wie möglich zu verwerfen, wenn sie nicht gewollt sind.

Mehr kann ich aus dem wirren Text nicht herauslesen, bei Unklarheiten würde ich empfehlen eine genauere Frage mit einem Beispiel was die Regeln bewirken sollen, und wie dein Netzwerk aufgebaut ist empfehlen.

Wenn du verwirrt bist, was eingehende und ausgehende Verbindungen an welchem Punkt des Netzwerks sind - das kann am Anfang verwirrend sein - , sag einfach von wo nach wo der Traffic geht, für den du eine Regel machen möchtest. Ansonsten kann ich dir nur raten, im Zweifel einzelne Regeln zu loggen, um sie besser zu verstehen.

Thomasg

Nutzer, der sehr aktiv auf gutefrage ist

im Thema Server

30.01.2025, 13:23

ob die Firewallregel vor oder nach dem Nat geprüft wird, hängt von der Firewalllösung ab. Und stateful Firewalls wenden die Firewall Regeln immer auf die Richtung an, in welche die Verbindung initiiert wird, also die Richtung, in welche das syn Paket bei TCP Verbindungen geschickt wird. Wenn das erlaubt wird, werden auch die Antworten darauf erlaubt.

Aber keine ahnung, ob du das jetzt wissen wolltest, eine konkrete Frage steht in deinem wirren Text ja nicht drin.

Woher ich das weiß:Berufserfahrung – Seit langer Zeit als Systemadministrator tätig

MichaelSAL74

30.01.2025, 16:44

ja aus der Frage werd ich auch nicht schlau....

KarlRanseierIII

30.01.2025, 17:13

Und die eigentliche Frage wäre noch gleich was?

verbindungen,sprich syn flag

Diese vermeintliche Äquivalenz ist unsinnig.

Ähnliche Beiträge

nat vor routing oder nach routing pfsense?

Die Reihenfolge, in der die Transaktionen mit NAT verarbeitet werden, richtet sich danach, ob es sich um ausgehende verbindung oder eingehende verbindung handelt Die Übersetzung von innen nach außen erfolgt nach dem Routing und die Übersetzung von außen nach innen vor dem Routing/beispiel Port Forwarding

so ist es laut dokumentation.

folgende aussage stört mich

Die Übersetzung von innen nach außen erfolgt nach dem Routing.

bedeutet packet wird geroutet, dann ist es aber weg,

würde diese aussage etwas ändern, wie folgt. wenn das ziel über eine konkrete schnittstelle raus mus, beispiel wan interface, wird quell ip privat in die öffentlich ip der wan schnittstelle geändert, dann geht es raus,

...zum Beitrag

eingehende und ausgehende Verbindung?

Ich zitiere:

„Was ist eine eingehende und ausgehende Verbindung?

Es hängt davon ab, wer den Datenverkehr initiiert. Wenn ein Client hinter Ihrer Firewall die Verbindung zum Internet initiiert, handelt es sich um ausgehende Verbindung. Wenn jemand im Internet eine Verbindung zu etwas hinter Ihrer Firewall initiiert, handelt es sich um eingehend“

Nun die Frage aber wenn Netz lan 1 Verbindung zu lan 2 aufbaut und beide Netze sind an meiner Firewall angeschlossen nicht im Internet

ist das dann eine eingehende und ausgehende Verbindung

...zum Beitrag

Fritz.Box! Port freigabe will nicht so wirklich klappen?

Hey zusammen,

habe auf meiner Fritzbox 6690 Cable den Port 25565 UDP und TCP freigegeben für meinen Server hier neben mir. In der Firewall des Servers auch Eingehend und Ausgehend UDP TCP 25565 freigegeben. Aber laut Portchecker und auch anderen seiten ist der port nicht offen.

Zusätzlich habe ich noch 3389 für MS Remotedesktop freigegeben. Der ist auch offen und funktioniert einwandfrei. Von außerhalb kann auch drauf zugegriffen werden.

Habe bereits alle ports einmal gelöscht und die Fritzbox neu gestartet. Wieder hinzugefügt aber es geht nur 3389.

Aufm Server auch alle neuen updates etc installiert.

Vor 2 wochen hat noch alles wunderbar funktioniert mit den Freigaben.

Kann mir wer dabei helfen?

...zum Beitrag

Port 25565 offen aber geht nicht (DynDNS)?

Hey,

gestern habe ich für meine IP DynDNS eingestellt, funktioniert auch. Jetzt wollte mein Freund sich mit meinem Minecraft Server, der über diese DynDNS IP läuft, verbinden (Port 25565). Aber es funktioniert nicht. Er kann sich nicht verbinden. Ich habe den Port 25565 als TCP & UDP im Router freigegeben. Auch in meiner Windows-Firewall ist er bei Eingehende Regeln und Ausgehende Regeln jeweils als TCP & UDP drin. Online Portchecker sagen mir auch, dass der Port geschlossen sei. Warum sagt jedes Programm, dass der Port geschlossen ist, obwohl er offen ist?

...zum Beitrag

eingehende ausgehende verbindungen?

Es gibt zwei Arten von Verbindungen: eingehende und ausgehende. Eingehende Verbindungen stammen von Remotegeräten, die versuchen, eine Verbindung mit dem lokalen System aufzubauen. Ausgehende Verbindungen funktionieren umgekehrt: Das lokale System nimmt Kontakt mit einem Remotegerät auf.

wie nennen sich dann verbindungen von lan 1, angebunden an meiner firewall und lan 2 auch angebunden an firewall, also mir vertraute netze, die ich verwalte

Ausgehende Verbindungen ist es nicht,: Das lokale System nimmt keinenKontakt mit einem Remotegerät auf.

Eingehende Verbindungen auch nicht, da quell netz kein remote gerät im internet ist

...zum Beitrag

IPv4 funktioniert bei Minecraft Server nicht - Spieler können nicht joinen?

Moin ihr Lieben,

ich habe mir einen 1.19.2 Minecraft-Server auf Windows 10 Home erstellt, die Ports in meiner Fritz!Box freigegeben (Meinen PC ausgewählt wo der Server läuft und TCP + UDP 25565) und zusätzlich die Ports auch in der Windows Firewall freigegeben bei Aus- und Eingehend mit jeweils wieder TCP + UDP 25565. Trotzdem kann man nicht mit meiner öffentlichen IPv4 Adresse joinen bzw. auch nicht mit der angegebenen DynDNS von NO-IP.

Würde mich sehr freuen, wenn mir jemand sagen könnte woran das liegt und ob es vielleicht einfacher ist einen Server über Linux laufen zu lassen.

...zum Beitrag

Meine IP ist gesperrt! um diese zu entsperren soll ich ein paar Einstellungen umändern. Kann mir jemand das hier in einfacher Sprache übersetzen?

Anmerkung: Meinen Router habe ich von Vodafone. An den Voreinstellungen habe ich nichts geändert. Mein PC Betriebssystem ist Windows 11.

Wie mache ich das ? Was muss ich genau tun? Bitte in einfacher Sprache erklären

Vielen Dank, dass Sie Spamhaus CSS Removals kontaktiert haben.

xx.xxx.x.xxx wurde als Teil eines Proxy-Netzwerks klassifiziert. Es gibt eine Art Malware, die diese IP verwendet und einen Drittanbieter-Proxy installiert, der für fast alles verwendet werden kann, einschließlich des Versendens von Spam oder des Stehlens von Kundendaten. Dies sollte besorgniserregender sein als ein Spamhaus-Eintrag, der ein Symptom und nicht das Problem darstellt.

Wichtig: Wenn diese IP als Mailserver fungiert, sollte sie wie ein Mailserver aussehen und sich wie ein Mailserver verhalten. So wie es aussieht, scheint das verwendete HELO dynamisch zu sein. Dieses Verhalten wird häufig in Malware-/Proxy-Netzwerken beobachtet.

(IP, UTC-Zeitstempel, HELO-Wert)

ip-xx.xxx.x.xxx um26.pools.vodafone-ip.de

xx.xxx.x.xxx.um26.pools.vodafone-ip.de

xx.xxx.x.xxx.dynamic.adsl.gvt.net.br

Der Proxy ist auf einem Gerät installiert – normalerweise einem Android-Handy, Firestick, einer intelligenten Türklingel usw., aber auch iPads und Windows-Computern – das Ihre IP verwendet, um Spam DIREKT über Port 25 ins Internet zu senden: Dies ist sehr oft das Ergebnis von „kostenlosen“ Apps von Drittanbietern wie VPNs, Kanal-Freischaltungen, Streaming usw., die auf dem persönlichen Gerät einer Person, normalerweise einem Telefon, installiert werden.

Dies ist eine einfache Erklärung, wie das funktioniert:

Überprüfen Sie zunächst alle Geräte, auf denen „kostenlose“ VPNs, TV-Streaming, Kanalfreischaltung oder Apps von Drittanbietern installiert sind.

Wie dieses Problem gelöst werden kann, hängt davon ab, ob diese IP statisch ist und für die geschäftliche Nutzung mit einem internen Mailserver zugewiesen wird oder ob sie dynamisch für die private Nutzung ist. Wenn Sie sich nicht sicher sind, rufen Sie Ihren ISP an und fragen Sie ihn.

HEIMBENUTZER: Dynamische Einzel-IP für nichtkommerzielle Nutzung. Es gibt eine Reihe von Möglichkeiten:

* Möglicherweise haben Sie ein Problem vom vorherigen Benutzer der IP geerbt. Bitte überprüfen Sie die oben angegebenen Zeitstempel. War diese IP zuletzt Ihre?

* Dynamische IPs sind nicht für den Betrieb von Mailservern gedacht. Wenn Sie dies tun, suchen Sie bitte bei Ihrem Anbieter nach einer Lösung. Eine wirksame NAT-/Firewall-Konfiguration ist erforderlich.

* Für den Fall, dass Sie keinen eigenen Mailserver betreiben – was für die meisten Menschen der Fall sein dürfte – konfigurieren Sie bitte Ihren Router so, dass er jeglichen Zugriff auf Port 25 blockiert, und verwenden Sie SMTP AUTH beim Anbieter Ihrer Wahl. Ihr ISP kann Ihnen dabei helfen und die meisten Router-Benutzerhandbücher sind online verfügbar.

Bitte wenden Sie sich an Ihren ISP oder Ihre IT-Abteilung, um Hilfe bei der korrekten Konfiguration Ihres Routers oder Ihrer Firewall zu erhalten. Sie können die meisten Router-Konfigurationshandbücher auch online finden.

Wenn die IP statisch ist, liegt im Netzwerk ein Malware-Problem vor. Es ist sehr unwahrscheinlich, dass es sich um den eigentlichen Mailserver handelt, aber es handelt sich um etwas, das dieselbe öffentliche IP-Adresse verwenden kann.

Bedenken Sie die Auswirkungen, wenn ein Proxy, der unter der Kontrolle einer anderen Person steht, in Ihrem Netzwerk aktiv ist: Böswillige Betreiber kontrollieren ein Gerät in Ihrem Netzwerk. Für sie ist Spam ein Extra. Ihr Geschäft ist ihr Geschäft.

Wir empfehlen dringend, Ihre Firewall so zu sichern, dass keine ausgehenden Pakete über Port 25 zugelassen werden, außer solchen, die von einem oder mehreren E-Mail-Servern in Ihrem lokalen Netzwerk stammen. Das Remote-Versenden von E-Mails an Server über das Internet sollte weiterhin funktionieren, wenn webbasiert oder ordnungsgemäß für die Verwendung von Port 587 mit SMTP-AUTH konfiguriert. Wir empfehlen auch, alle Gastnetzwerke auf die gleiche Weise zu sichern. WICHTIG: Durch die Begrenzung von Port 25 wird verhindert, dass Verbindungen Ihr Netzwerk verlassen, der Proxy wird jedoch nicht neutralisiert. Es muss gefunden und entfernt werden.

Da wir weder NAT noch die Firewall durchschauen können, liegt die Fehlersuche ausschließlich in der Verantwortung des IT-Managers. Die Protokollierung am Router oder an der Firewall, um zu sehen, was versucht, Port 25 zu verwenden, sollte zu den kompromittierten Geräten führen.

Die einfachere Vorgehensweise wäre, den ausgehenden Port 25 auf Mailserver zu beschränken und so Ihr Netzwerk zu sichern und die Einträge zu stoppen. Anschließend können Sie nach den Geräten suchen.

HINWEIS: Es kann mehr als ein betroffenes Gerät geben. Es kann auch mehr als ein Problem geben. Bitte überprüfen Sie alle Ihre technischen Einstellungen, einschließlich DNS (Forward und Reverse) und HELO-Werte. Auch Gastnetzwerke müssen gesichert werden.

Unsere FAQ :

https://www.spamhaus.org/faq/section/Hacked...%20Here's%20help

...zum Beitrag

NAT reflection?

Ein lokaler Rechner möchte auf einen Server zugreifen, der sich in anderen lokalen Netz befindet aber ruft die Domain über die wan Schnittstelle auf Man benötigt, so steht es ja immer nat Reflection Eine einfache Möglichkeit sehe ich dadurch, dass man an der lan Schnittstelle dafür sorgt, dass man eine Port Weiterleitung durchführt, Wenn die Ziel ip Die wan Schnittstelle ist , dann sorge ich einfach dafür, dass der ziel Port und Ziel ip verändert wird auf die IP des Servers, der sich in einem anderen Lokal Netz befindet. Damit ist das Problem doch gelöst oder sich da was falsch

...zum Beitrag

FritzBox Portfreigabe Problem – Externe Ports werden nicht wie gewünscht gesetzt!?

Hallo zusammen,

ich versuche, auf meiner FritzBox 6660 Cable eine Portweiterleitung einzurichten, stoße aber auf das Problem:

"Für diese Freigabe wurden andere Ports extern vergeben als von Ihnen gewünscht."

Mein Setup:

Gerät: Raspberry Pi
Ziel: Zugriff auf einen Webserver via DuckDNS
Dienste: Caddy als Reverse-Proxy (läuft auf Port 80/443), Flask-Server (läuft auf Port 8000)

Was ich gemacht habe:

1️⃣ Freigabe für Port 80 & 443 auf die interne IP des Raspberry Pi eingerichtet

2️⃣ Port 8000 nur intern genutzt (Caddy leitet an Port 8000 weiter)

3️⃣ IPv6 aktiviert & Firewall für delegierte IPv6-Präfixe geöffnet

4️⃣ Caddy richtig konfiguriert:

XXXX.duckdns.org {
    reverse_proxy localhost:8000
}

5️⃣ Caddy-Dienst neugestartet & überprüft, ob er auf 80/443 lauscht.

Problem:

Wenn ich in der FritzBox Port 8000 → 443 weiterleiten will, kommt die Fehlermeldung:

"Für diese Freigabe wurden andere Ports extern vergeben als von Ihnen gewünscht."

Ich verstehe nicht, warum die FritzBox das blockt. Hat jemand eine Idee, woran das liegt?

Danke für eure Hilfe! 🙏

...zum Beitrag

Ubuntu Traffic auf IPv6 leiten?

Hallo,

ich habe einen virtuellen Server bei Strato mit Ubuntu 20.04 LTS und möchte wohl das der ganze Traffic der auf die IP-Adressen der VPS auf meine öffentliche IPv6-Adresse meiner FritzBox geleitet werden. Die Firewall der FritzBox sollte den Verkehr auf ungebetenen Ports ja blockieren. Ich habe Zuhause keine öffentliche IPv4 und wollte über die eben beschriebene Methode abhilfe schaffen um meine WireGuard verbindung zu nutzen. Da WireGuard aber zufällige Eingangsport wählt, kann ich die nicht alle manuell hinzufügen. Ich habe in der Vergangenheit 6tunnel verwendet z.B für SSH verbindungen etc. Gibt es eine möglichkeit alle Ports bis auf Port 22 auf meine FritzBox umzuleiten?

...zum Beitrag

Firewall unterschied zwischen eingehende und ausgehende Verbindungen?

Moin was ist der Unterschied eingehenden und ausgehenden Verbindungen? Habe gehört , dass sich die Windowsfirewll nur auf eingehende Verbindungen konzentriert... Und was hat es mit diesem "Nach Hause telefonieren" auf sich?

...zum Beitrag

Windows Firewall Eingehende Regel und Ausgehende Regel

Ich möchte Adobe Photoshop CC bei meiner Windows Firewall Blocken aber wo soll ich die Neue Regel hienzufügen? In Eingehende Regel oder in Ausgehende Regel?

...zum Beitrag

OPNsense Minecraft Portforwarding?

Grüßt euch,

ich habe eine OPNsense bei mir im Einsatz. Die FW sitzt hinter eine Modem.

Nun möchte ich gerne den Port 25565 forwarden.

Hierzu habe ich folgendes eingerichtet unter NAT -> Port Forward:

Regel im Detail:

Unter NAT Outbound:

Kurz geprüft ob der Port offen ist:

Allerdings kann sich niemand auf meinen Server verbinden.

Im Log auch nachgesehen, dort wird es nicht geblockt, sondern an den internen Server gepasst:

Wo ist mein Fehler bzw. was habe ich noch vergessen einzurichten?

...zum Beitrag

Malwarebytes eingehende Verbindung?

Hallo,

Ich habe vorhin diese Benachrichtigung unten rechts von Malwarebytes bekommen das anscheinend eine eingehende Verbindung sich versucht hat zu verbinden? Es gibt kein Pfad, noch Domäne wie man unten sieht. Kann es sein das ich eine Backdoor oder so auf mein PC hab?

www.malwarebytes.com


-Protokolldetails-
Datum des Schutzereignisses: 26.08.22
Uhrzeit des Schutzereignisses: 22:34
Protokolldatei: 71a7f41e-257e-11ed-b33d-00d861a3f039.json


-Softwaredaten-
Version: 3.6.1.2711
Komponentenversion: 1.0.482
Version des Aktualisierungspakets: 1.0.27052
Lizenz: Testversion


-Systemdaten-
Betriebssystem: Windows 10 (Build 19041.1889)
CPU: x64
Dateisystem: NTFS
Benutzer: System


-Einzelheiten zu blockierten Websites-
Bösartige Website: 1
, , Blockiert, [-1], [-1],0.0.0


-Website-Daten-
Kategorie: Trojaner
Domäne: 
IP-Adresse: 5.189.188.23
Port: [8]
Typ: Ausgehend
Datei: 






(end)

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen