![[Inhalt]](../../Grundlagen/Firewall/images/toc.gif){kind=small}
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
NNTP ist ein Dienst auf Basis von TCP. NNTP-Server benutzen Port 119. NNTP-Clients (sowie Server, die News zu anderen Servern übertragen), benutzen Portnummern über 1023.
Regel Richtung Protokoll Quellport Zielport Ergänzungen
1 ein TCP >1023 119 SYN/ACK
2 aus TCP 119 >1023 ---/ACK
3 aus TCP >1023 119 SYN/ACK
4 ein TCP 119 >1023 ---/ACK
5 intern TCP >1023 119 SYN/ACK
6 intern TCP 119 >1023 ---/ACK
2: Eingehende News-Antwortworten. ACK gesetzt
3: Ausgehende News. ACK gesetzt, außer im ersten Paket
4: Ausgehende News-Antworten. ACK gesetzt
5: Client zum lesen von News (Newsreader). ACK gesetzt, außer im ersten Paket
6: Server sendet Artikel zu einem News-Reader. ACK gesetzt
Wir betrachten hier das PROXY - Regelwerk zwischen einem NEWS-FEED Server des Providers und dem internen NEWS-Server. Zum Empfang und Senden von NEWS müssen ein und ausgehende Pakete erlaubt sein. Da NEWS-Server komplexe Funktionen besitzen, sollte man folgende Regeln beachten.
Regel Richtung Protokoll Quellport Zielport Kommentar
1 Server TCP >1023 119 Aktion zulassen, ACK beliebig
2 Provider TCP 119 >1023 Aktion zulassen, ACK gesetzt
3 Provider TCP >1023 119 Aktion zulassen, ACK beliebig
4 Server TCP 119 >1023 Aktion zulassen, ACK gesetzt
Zum Empfang von NEWS (Regel 1) muß zum Port 119 SYN/ACK möglich sein. Um NEWS zu senden müssen Verbindungen von Port 119 zu einem unprivilegierten Port möglich sein. In den Firewallregeln bedeutet ACK beliebig also eine bidirektionale Öffnung für Pakete sowohl mit gesetztem SYN als auch nur mit ACK-Bit, daher diese Bezeichnung.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |