TwoCom Online-Forum

[Drusus]

Moin,

die Draytek Router (in meinem Fall ein 2930 falls das wichtig sein sollte) supporten von Hause aus eine Reihe von Applikationen die auf mit dem default NAT problemlos funktionieren.
So funktioniert FTP auch im active Mode sofort problemlos, d.h. der Router muss den PORT Befehl im FTP-Protokoll erkennen und automatisch die zugehoerige einkommende TCP-Verbindung erlauben. Das ist natuerlich praktisch fuer den reibungslosen Einsatz einiger Applikationen aber ich wuerde gerne eine Uebersicht finden welche Protokolle denn alle automatisch erkannt (und erlaubt) werden.

Hintergrund sind Tricks wie http://samy.pl/natpin/ womit einkommende TCP Verbindungen relativ problemlos moeglich sind. Daher moechte ich gerne kontrollieren welche Applikationen (z.B. IRC, FTP etc.) diese Automatik nutzen --- und entsprechend abschalten koennen.

Unter Objects Setting >> Protocol Object Profile kann ich zwar FTP und co auswaehlen aber das hilft hier nicht. So will ich ja FTP im passive Mode erlauben (d.h. alle TCP Verbindungen kommen von meinen Systemen nach aussen) aber den automatischen active Mode (eingehende TCP Verbindungen ploetzlich erlaubt) abschalten.

Besonders aergerlich ist dabei auch noch das Logging, dass die von aussen akzeptierte TCP Verbindung (beim Beispiel von active FTP) als "Local User:" loggt und somit nicht erkennbar ist, dass es hier eine TCP-Verbindung von extern nach intern ist.

Also: welche Protkolle in den Draytek Routern (hier 2930) oeffnen automatisch eingehende Verbindungen? Und wie/wo kann man dieses abschalten?

Tschau,
Drusus.

[Petrus]

Nun, du hast vermutlich nur einen falschen Gedankengang...

Die Firewall des Routers hat in den Standard-Regeln drin, dass Alles von Aussen geblockt wird und intern Netbios geblockt wird.

Jegliche Art von Anwendung kann also kommunizieren, wenn sie selbst die Kommunikation startet.
Im Falle eines aktiven FTP hast du also per NAT einen Port für die Umleitung auf den Rechner mit dem FTP-Service gestartet. Dabei wird dann vom Client ein zufälliger Port geöffnet und dem Server dieser Port sowie die eigene IP-Adresse mittels des PORT-Kommandos mitgeteilt.
Bei einem passiven FTP Service sendet der Client ein PASV-Kommando, der Server öffnet einen Port und übermittelt diesen mitsamt IP-Adresse an den Client. Auf der Client-Seite wird nun ein dynamisch generierter Port (oft im Bereich 1024-1500) verwendet und auf der Server-Seite der vorher an den Client übermittelte Port. Dazu müssen diese Ports im NAT geöffnet werden.
Im Server selbst kann der Portbereich für den passiven Modus oft selbst festgelegt werden.

Um zu deiner Frage zurück zu kommen... Generell gibt es keine Vigor "spezifischen" Anwendungen, die nur bei einem DrayTek gehen. Das sind alles Standard-Funktionen, die festgelegt wurden.
Bei einer aktiven Windows-Firewall müsstest du diese Ports auch öffnen, wenn es das Programm nicht bei der Installation selbst gemacht hat.