Netzwerk oder Subnet weit Ports blockieren

[Riseofdead]

Hallo

Erstmal: Ich hab schon gegoogled aber bis auf "Port 445" und Windows Firewall hab ich nix gefunden.

Ich möchte gerne bestimmte Ports (UDP 6672,61455-61458) Netzwerkweit oder noch besser nur innerhalb eines Subnetzes (hab mehrere VLANs und würde für die Sache auch extra ein VLAN erstellen). Die Ports sollen nur für bestimmte öffentliche IP Adressen (die sich immer wieder ändern da dynamisch) freigegeben werden. Gibt es da eine Methode sowas zu realisieren? Raspberry Pi hätt ich noch paar rumliegen falls man dazu weitere Hardware benötigt.

Router hab ich einen TL-ER6120. Switch hab ich einen Layer 3 (T2600G-28TS). Egal ob ich ACL im Switch oder die Firewall am Router konfiguriere, es funktioniert nicht. Beim Switch passiert einfach nix, beim Router kann ich nur zwischen WAN LAN !LAN und Me auswählen.

 

[leipziger1979]

Die Ports sollen nur für bestimmte öffentliche IP Adressen (die sich immer wieder ändern da dynamisch) freigegeben werden.

Wenn die sich immer dynamisch ändern wie willst dann eine ACL erstellen?
Bei statischen IPs wäre das möglich aber wenn die sich immer wieder ändern, wie soll das die ACL abarbeiten?

 

[Raijin]

Was heißt für dich denn "freigeben"? Redest du von Portweiterleitungen, also außen>>innen oder sprichst du von Zugriffen von innen nach außen?

Am besten schreibst du erstmal konkret welche Ports an welcher Stelle genau geblockt werden sollen. Bei jeder Verbindung sind nämlich immer zwei Ports beteiligt, der Quell- und der Ziel-Port. Je nachdem von welcher Richtung (innen>>außen oder außen>>innen) wir ausgehen, gibt es allein für die Aussage

Die Ports sollen nur für bestimmte öffentliche IP Adressen (die sich immer wieder ändern da dynamisch) freigegeben werden.

4 verschiedene Interpretationen, je nachdem ob nu vom Quell- oder dem Ziel-Port die Rede ist. Davon, dass "freigegeben" auch beliebig ausgelegt werden kann, ganz zu schweigen.

Auch die Ports selbst lassen keinen Rückschluß darauf zu, da die 60000er Ports im Bereich der dynamischen Ports liegen, die üblicherweise als Quell-Ports für ausgehende Verbindungen herangezogen werden, während 6672 nach einem Ziel-Port für eine Anwendung aussieht.

 

[Riseofdead]

ok das ist eine gute Frage.

Es geht um das Spiel GTA (also den Online Part davon.) Blockiert man die UDP Ports 6672,61455-61458 eingehend und ausgehend (weiß nicht ob eingehend oder ausgehend allein schon reicht) so hat man eine Solo Lobby und kann ungestört Missionen machen. Nur können halt meine Freunde meiner Lobby nicht beitreten (deshalb die IP Adressen ausnahmen, die Freunde sollen mir jedes mal auf wieistmeineip oder ähnliches nachschauen und mir die IP geben)

Dass das ganze grundsätzlich funktioniert weiß ich das ganze aktuell über die Windows Firewall und einem netsh advfirewall Script praktiziere.

Wenn die sich immer dynamisch ändern wie willst dann eine ACL erstellen?
Bei statischen IPs wäre das möglich aber wenn die sich immer wieder ändern, wie soll das die ACL abarbeiten?

im Idealfall führe ich ein Script auf dem Raspberry aus wo ich nur die IP Adresse eingeben muss. Wie oben erwähnt. Die Freunde müssen mir natürlich erst die IP Adresse mitteilen.

Lese gerade das man für eine richtige Firewall mindestens 2 Ethernetports braucht. Da ich ein USB auf Ethernet Kabel hab, könnte das mit dem Raspberry theoretisch hinhauen oder?

 

[Raijin]

Hm.. Ich spiele seit Jahren kein GTA mehr, aber wäre VPN hier evtl. eine Lösung? So macht man das beispielsweise, wenn man ältere Spiele mit reinem LAN-Modus online gegen Kumpels zocken will.

Alles was dynamisch ist, ist Gift für eine Firewall.

Ansonsten wären Methoden wie beispielsweise Port Knocking eine Option. Dabei wird eine Firewall-Regel erst dann aktiv, wenn zuvor eine bestimmte Sequenz von Ports getriggert wurde.

 

[h00bi]

Naja, die meisten neumodischen Internetanschlüsse haben ja mittlerweile über eine längere Zeit die gleiche IP Adresse. Bei der Telekom ohne Privacy Optionen 180 Tage, bei Unitymedia auch über 6 Monate (falls die Leitung so lange stabil läuft )
Von daher wäre es ja nicht sooo das Problem.

Der Haken wäre eher dass man dafür halt eine richtige Firewall braucht und keinen Consumer all in one Router.
Von daher wäre der Gedanke über OpenVPN auf einem RasPi schon nicht falsch. Zur genauen umsetzung hab ich jetzt aber auch keine Idee.

 

[Bob.Dig]

Die ganze Idee klingt doch ziemlich overkill... ich meine aber, dass mit einer pfsense zumindest für IPv4 dies mittels Namen möglich ist....

Ergänzung (17. Januar 2020)

Gerade getestet, funzt. 😉
Dafür müsstest Du einen Alias anlegen und die DDNS-Adressen deiner Kumpels dort eintragen.

 

[Raijin]

Normalerweise löst eine Firewall die IP einer Domain genau einmal auf, bei der Erstellung der Regel. Sonst müsste die Firewall bei jedem Paket einen DNS-Lookup machen, was die Performance der Firewall förmlich vernichtet.....

 

[Bob.Dig]

Using Hostnames in Aliases

Hostnames can also be used in aliases. Any hostname can be entered into a host or network alias and it will be periodically resolved and updated by the firewall. If a hostname returns multiple IP addresses, all of the returned IP addresses are added to the alias. This is useful for tracking dynamic DNS entries to allow specific users into services from dynamic IP addresses.

Aliases Hostnames Resolve Interval
Interval, in seconds, that will be used to resolve hostnames configured on aliases.
Note: Leave this blank for the default (300s).

 

[Raijin]

Interessant, dass pfSense das bietet. Ist im Prinzip einfach nur ein cronjob, der da im Hintergrund arbeitet. iptables bzw. netfilter können das nämlich nicht, weil sie nur einmalig die Domain auflösen, wenn die Regel erstellt wird

 

[Evilc22]

Lese gerade das man für eine richtige Firewall mindestens 2 Ethernetports braucht.

Vlan fähiges Switch und 1 Port reicht auch

 

[Riseofdead]

ok, scheinbar kann das openwrt Betriebssystem nicht mit VLANs umgehen bzw. man kann keine erstellen. Kann man mit raspbian da was machen?

Edit: OK der Raspberry kann kein VLAN https://www.reddit.com/r/openwrt/comments/cfacx0/unable_to_find_switchvlan_settings_on_a_raspberry/

 

[t0aster]

Wieso nicht die die GTA5.exe im Ressourcen Monitor kurz anhalten, fortsetzen und dann die "Spiel beitreten - Funktion" des R* Social Club nutzen? OK, dies ist wohl mit etwas Klickerei verbunden, umgeht aber die Notwendigkeit, die IP der Freunde zu brauchen.