Opgelost! Ga naar oplossing.
Jij bent de IT-hulplijn in je straat, de verlichting werkt thuis op commando en je groet de pakketbezorger met de slimme deurbel. Herkenbaar? Dan zijn de Community events echt iets voor jou! Doe mee en sluit je aan.
caesar wrote:
.
Als iemand van buitenaf via poort 443 een verbinding probeert op te bouwen, dan wordt deze door de eerste regel doorverwezen naar poort 80. Immers alle poorten (1 t/m/ 65535) worden doorverwezen naar poort 80.
De tweede regel is compleet zinloos, want alles wordt al via de eerste regel afgehandeld. Waarom de Connectbox die configuratie regel accepteert is mij een raadsel, regel 1 en regel 2 zijn 100% strijdig.
caesar wrote:Hm, staat dat niet gewoon in het pakketje?
Hoe wil je dan ooit vaststellen naar welke destination port dat verkeer naar toe moet, bij jouw redenering?
caesar wrote:Dit klopt dus niet volgens mij, want het is geen forward. Iemand van buiten probeert verbinding met de server te krijgen via 'destination port' 443 en dat wordt doorgelaten door de tweede filter regel (in het 1e screenshot van TS).
Als iemand van buitenaf via poort 443 een verbinding probeert op te bouwen, dan wordt deze door de eerste regel doorverwezen naar poort 80.
Mark Ziggo wrote:caesar wrote:Hm, staat dat niet gewoon in het pakketje?
Hoe wil je dan ooit vaststellen naar welke destination port dat verkeer naar toe moet, bij jouw redenering?
Aangezien dit geen forward is maar een filter wordt er niets gerouteerd. Er wordt alleen een uitzonderingsregel ingesteld in de firewall waarmee bepaald IPv6 verkeer wél doorgelaten wordt.
Dus een pakketje die de webserver wil bereiken via http stuurt een verzoek met 'destination port' 80 en daarbij kan de 'source port' van alles zijn?caesar wrote:Dit klopt dus niet volgens mij, want het is geen forward. Iemand van buiten probeert verbinding met de server te krijgen via 'destination port' 443 en dat wordt doorgelaten door de tweede filter regel (in het 1e screenshot van TS).
Als iemand van buitenaf via poort 443 een verbinding probeert op te bouwen, dan wordt deze door de eerste regel doorverwezen naar poort 80.
Verbeter me alsjeblieft als ik het fout heb.
Mark Ziggo wrote:caesar wrote:Hm, staat dat niet gewoon in het pakketje?
Hoe wil je dan ooit vaststellen naar welke destination port dat verkeer naar toe moet, bij jouw redenering?
Aangezien dit geen forward is maar een filter wordt er niets gerouteerd.
Er wordt alleen een uitzonderingsregel ingesteld in de firewall waarmee bepaald IPv6 verkeer wél doorgelaten wordt.
Dus een pakketje die de webserver wil bereiken via http stuurt een verzoek met 'destination port' 80 en daarbij kan de 'source port' van alles zijn?
caesar wrote:Dit klopt dus niet volgens mij, want het is geen forward. Iemand van buiten probeert verbinding met de server te krijgen via 'destination port' 443 en dat wordt doorgelaten door de tweede filter regel (in het 1e screenshot van TS).
Als iemand van buitenaf via poort 443 een verbinding probeert op te bouwen, dan wordt deze door de eerste regel doorverwezen naar poort 80.
Verbeter me alsjeblieft als ik het fout heb.
caesar wrote:Aangezien dit geen forward is maar een filter wordt er niets gerouteerd.
Dit wordt ook wel IPv6 port forwarding genoemd. Verder is een NAT router ook geen router, hij routeert niet. Wat hij doet is Network Address Translation (en Port Translation), en dat heeft niets met 'echt' roteren te maken.
Dat is inderdaad de bedoeling, maar dat kan alleen als je filtert op destination port, en in jullie voorstelling van zaken wordt er nergens geselecteerd op destination port, alleen op een volstrekt irrelevante source port.
Nee, daar komt de filtering nooit aan toe, tenzij je denkt dat het filter van toepassing is op jullie source port en de destination port gelijktijdig.
Maar waarom wil je in vredesnaam op jullie source port filteren? welke zin heeft dat als het een volstrekt willekeurig port is?
caesar wrote:
Ik wil er nog iets aan toevoegen.
Zelf heb ik een Fritz!box router achter een Cisco router in bridge mode. Aangezien Ziggo nog steeds niet in staat is om achter een router in bridge mode ook IPv6 te leveren, maak ik al vele jaren gebruik van een IPv6 tunnel.
Fritz!box routers hadden al IPv6, toen ze bij Ziggo nog niet eens wisten dat IPv6 bestond, dus ik ben zo vrij om het Fritz OS als referentie te kiezen voor de wijze waarop je IPv6 filtering moet opzetten. En dat is heel eenvoudig, je kiest voor een apparaat op je LAN een poortnummer (of een reeks van nummers), en kiest TCP of UDP als transport protocol, en je zet die poort open. Doodsimpel. Geen source en destination port numbers, of port number reeksen.
Ziggo levert jammer genoeg geen echte DOCSIS modems, waarachter je een eigen IPv4 + IPv6 router kunt opzetten. Dat zou al heel wat beter zijn dan die wrakke opzet van nu waarbij je geen IPv6 kunt krijgen als je een Ziggo router in bridge mode laat zetten (hoe bedenk je het om dergelijk rommel bij je klanten te plaatsen).
Ziggo zou er natuurlijk nog beter aan doen om al die rommelrouters die ze nu uitzetten, in de container te flikkeren, en ook Fritz!box cablerouters te gaan leveren, Al is het tegen bijbetaling, het kan me niet schelen. Ik heb het helemaal gehad met alle rommelrouters die ik in de loop van de jaren heb zien langskomen. Om het maar eens zo te stellen, een Connectbox vergelijken met een Fritz!box, is net zo als een derde hands Lada vergelijken met een nieuwe Rolls Royce.
Sorry dat ik het zo hard breng, maar als Ziggo claimt dat hun routers zo geweldig goed zijn dat het toestaan van 'vreemde' routers hun netwerk in gevaar brengt, omdat hun routers zo geweldig zijn, dan is dat wel een gotspe. Ziggo heeft nog nooit iets anders dan goedkope wrakke rommel uitgezet bij de klanten. Aan de coax kant zal alles wel goed getest geweest zijn, want anders had Ziggo daar zelf veel last van. Aan de LAN kant had iedere router wel ernstige bugs, maar Ziggo had daar nooit enige boodschap aan. Verbeteringen kon je naar fluiten.
Ik meen dus dat ik het recht heb om eens flink uit de slof te schieten.
caesar wrote:Dat mag ook, begrijp ik zelfs en heb er weinig aan toe te voegen.
Ik meen dus dat ik het recht heb om eens flink uit de slof te schieten.
Jbr67 wrote:Ik vermoed dat dit inderdaad klopt (zal het navragen bij de ontwikkelaars). Verder schiet mijn kennis tekort om een voorbeeld te kunnen noemen waarbij een filter op source port (eventueel i.c.m. destination port) wél wenselijk is.
Net zoals je kunt filteren op source address. Bovendien, er zijn vast protocollen (over tcp/udp) waarbij het source poortnummer NIET willekeurig is!
Elke UDP/TCP pakket heeft
a) source address
b) source port
c) destination address
d) destination port
In gangbare scenario's is filteren op a en b naast c en d niet nodig (en kun je beide kolommen leeg laten). Maar als je dat wilt, dan kun je dus ook filteren op a,b,c en d gelijktijdig. Overigens; dit is een op een vergelijkbaar met extended acl's in bijv. cisco en hp routers.
Jbr67 wrote:caesar wrote:Aangezien dit geen forward is maar een filter wordt er niets gerouteerd.
Dit wordt ook wel IPv6 port forwarding genoemd. Verder is een NAT router ook geen router, hij routeert niet. Wat hij doet is Network Address Translation (en Port Translation), en dat heeft niets met 'echt' routeren te maken.
Beetje semantische discussie dit.. nadat de NAT is uitgevoerd moet de router nog steeds kiezen op welk interface het pakket uit te sturen. Volgens mij heet dat routeren.
Dat is inderdaad de bedoeling, maar dat kan alleen als je filtert op destination port, en in jullie voorstelling van zaken wordt er nergens geselecteerd op destination port, alleen op een volstrekt irrelevante source port.
Zekers wel! Op poort 443 en 80 in dat voorbeeld!
Nee, daar komt de filtering nooit aan toe, tenzij je denkt dat het filter van toepassing is op jullie source port en de destination port gelijktijdig.
BINGO!
Maar waarom wil je in vredesnaam op jullie source port filteren? welke zin heeft dat als het een volstrekt willekeurig port is?
Netzoals je kunt filteren op source address. Bovendien, er zijn vast protocollen (over tcp/udp) waarbij het source poortnummer NIET willekeurig is!
Elke UDP/TCP pakket heeft
a) source address
b) source port
c) destination address
d) destination port
In gangbare scenario's is filteren op a en b naast c en d niet nodig (en kun je beide kolommen leeg laten). Maar als je dat wilt, dan kun je dus ook filteren op a,b,c en d gelijktijdig. Overigens; dit is een op een vergelijkbaar met extended acl's in bijv. cisco en hp routers.
Groet,
Jbr67
caesar wrote:
Beetje semantische discussie dit.. nadat de NAT is uitgevoerd moet de router nog steeds kiezen op welk interface het pakket uit te sturen. Volgens mij heet dat routeren.
Absoluut niet. Dat is bridging, en dat is op laag 2 van het OSI referentie model. Routeren is veel complexer, en vindt plaats op laag 3 van het OSI model.
caesar wrote:
En jij denkt echt dat complexe high-tech filtering op een Ziggo rommel router voor consumenten terecht komt, voor consumenten die geen flauw idee hebben van IP? Keep on dreaming.
Mark Ziggo wrote:caesar wrote:Dat mag ook, begrijp ik zelfs en heb er weinig aan toe te voegen.
Ik meen dus dat ik het recht heb om eens flink uit de slof te schieten.Jbr67 wrote:Ik vermoed dat dit inderdaad klopt (zal het navragen bij de ontwikkelaars). Verder schiet mijn kennis tekort om een voorbeeld te kunnen noemen waarbij een filter op source port (eventueel i.c.m. destination port) wél wenselijk is.
Net zoals je kunt filteren op source address. Bovendien, er zijn vast protocollen (over tcp/udp) waarbij het source poortnummer NIET willekeurig is!
Elke UDP/TCP pakket heeft
a) source address
b) source port
c) destination address
d) destination port
In gangbare scenario's is filteren op a en b naast c en d niet nodig (en kun je beide kolommen leeg laten). Maar als je dat wilt, dan kun je dus ook filteren op a,b,c en d gelijktijdig. Overigens; dit is een op een vergelijkbaar met extended acl's in bijv. cisco en hp routers.
Jbr67 wrote:caesar wrote:
Beetje semantische discussie dit.. nadat de NAT is uitgevoerd moet de router nog steeds kiezen op welk interface het pakket uit te sturen. Volgens mij heet dat routeren.
Absoluut niet. Dat is bridging, en dat is op laag 2 van het OSI referentie model. Routeren is veel complexer, en vindt plaats op laag 3 van het OSI model.
No offense, maar het kiezen van de uitgaande interface (met een ander subnet-adres) en het doorsturen op een andere verbinding (met aanpassen van laag 2 MAC-adressen) is toch echt een key-aspect van routering.
caesar wrote:
En jij denkt echt dat complexe high-tech filtering op een Ziggo rommel router voor consumenten terecht komt, voor consumenten die geen flauw idee hebben van IP? Keep on dreaming.
Nou, complex en high-tech wil ik dit niet noemen (want dan moet je forwarding op basis van poorten en adressen dat ook noemen). Het is gewoon filtering.. op basis van 4 parameters (ipv 2). En met de komst van IPv6 is dat nodig. Kortom: dit aspect is gewoon goed in de betreffende router (mijn asus router heeft ook deze 4 parameters). Andere zaken zullen vast minder goed zijn in de betreffende connect-box ....
groet,
Jbr67
caesar wrote:
Even ter verduidelijking:
Een CE router heeft een router module die aan één kant aan de WAN poort hangt, en aan de andere kant met een virtuele poort aan een 4-poorts LAN switch. Naar welke fysieke poort het verkeer uiteindelijk toegaat wordt dus bepaald m.b.v. bridging, niet routering. Anders zouden die poorten onderling ook moeten routeren, en dat doen ze niet.
caesar wrote:
En jij denkt echt dat complexe high-tech filtering op een Ziggo rommel router voor consumenten terecht komt, voor consumenten die geen flauw idee hebben van IP? Keep on dreaming.
caesar wrote:
Ik zie absoluut niet in waarom dit bij IPv6 nodig zou zijn. Het zegt 99,99% van de consumenten helemaal niets, en ze kunnen er ook niets mee. Het is alleen maar verwarrend.
Jbr67 wrote:caesar wrote:
Even ter verduidelijking:
Een CE router heeft een router module die aan één kant aan de WAN poort hangt, en aan de andere kant met een virtuele poort aan een 4-poorts LAN switch. Naar welke fysieke poort het verkeer uiteindelijk toegaat wordt dus bepaald m.b.v. bridging, niet routering. Anders zouden die poorten onderling ook moeten routeren, en dat doen ze niet.
Correct! (Gaat beetje off topic dit, maar toch). Hoe noemt men het overzetten het pakket van ene interface (WAN-interface) naar de andere interface (virtuele LAN interface). Van het ene subnet naar het andere? Juist. Routing (switches weten niets van layer 3 properties). Dat er daarna ook nog switching komt is en logisch en irrelevant.
No offense, maar het kiezen van de uitgaande interface (met een ander subnet-adres) en het doorsturen op een andere verbinding (met aanpassen van laag 2 MAC-adressen) is toch echt een key-aspect van routering.
caesar wrote:
En jij denkt echt dat complexe high-tech filtering op een Ziggo rommel router voor consumenten terecht komt, voor consumenten die geen flauw idee hebben van IP? Keep on dreaming.
Sja... het staat er toch echt...
kan het ook niet anders maken.
caesar wrote:
Ik zie absoluut niet in waarom dit bij IPv6 nodig zou zijn. Het zegt 99,99% van de consumenten helemaal niets, en ze kunnen er ook niets mee. Het is alleen maar verwarrend.
Sja, waarom is er nu portforwarding nodig? Om diensten die op je LAN aanwezig zijn te ontsluiten naar de rest van de wereld. Om precies dezelfde reden is filtering nodig bij IPv6. Je wilt niet dat de hele wereld bij al jou interne devices kan, en al helemaal niet met alle poorten.
Dat portforwarding verwarrend is (en ws. filtering ook) dat blijkt idd wel uit de vele vragen hier in de diverse fora. Wat dat betreft ook een beetje goed niews..... filtering is net wat eenvoudiger dan forwarding. (omdat poortnummers niet veranderen)
Ciao,
Jbr67
caesar wrote:
Jawel, maar jij schreef:No offense, maar het kiezen van de uitgaande interface (met een ander subnet-adres) en het doorsturen op een andere verbinding (met aanpassen van laag 2 MAC-adressen) is toch echt een key-aspect van routering.
Daarmee suggereerde je dat door middel van routering één van de vier LAN poorten gekozen zou worden, en dat is onjuist. Er is geen keuze van interface, want bij slechts één mogelijke uitgaande (virtuele) interface valt er bar weinig te kiezen.
Ik heb ook geen idee wat je bedoeld met aanpassen van laag 2 MAC-adressen. Immers, routeren heeft niets te maken met MAC adressen, dat gaat uitsluitend op basis van IP adressen. Een uitgaande seriële interface bijvoorbeeld, zou helemaal geen MAC adres hebben.
Sja... het staat er toch echt...
kan het ook niet anders maken.
Mogelijk, hebben ze waarschijnlijk bij een andere leverancier gezien, en toen maar over genomen, onder het motto "waar het goed voor is weten we niet, maar het staat heel interessant'.
IPv4 port forwarding is weer zo'n typische lelijke oplossing geboren uit noodzaak. Dat is de ellende in ICT land, we worden bedolven onder de halfbakken klungel oplossingen omdat zaken niet fundamenteel goed opgezet zijn.
Vul de belangrijkste trefwoorden in en vind het topic die past bij je vraag. Onze community zit boordevol kennis.
Start je eigen topic en krijg hulp van anderen. Op de community helpen ervaren klanten je graag op weg.