Generelle Frage zu geblockten Ports / Firewall

Kalle · 7. Juli 2023 um 08:28

Hallo zusammen,

kurz vorab: ich bin neu hier, betreibe aber FF schon seit einiger Zeit und bin seit 20 Jahren in der IT unterwegs. Ich habe das Forum durchsucht, aber keine Hinweise gefunden, die in die Richtung meiner Frage gehen:

Wie sieht es aus mit abgehendem Datenverkehr aus dem FF-Netz, gibt es Einschränkungen (z.B. nur well-known Ports/Dienste sind erlaubt)? Falls es Einschränkungen geben sollte, gibt es eine Liste geblockter Ports?

Und um mal ein konkretes Beispiel zu nennen: Es sieht so aus, als wäre der UDP-Port 443 blockiert: aus dem FF-Netz komme ich nicht auf einem Server an, der auf UDP/443 lauscht (VPN-Server). Benutze ich ein anderes Netzwerk, klappt es.

Schöne Grüße aus Domäne 77

Kalle

wusel · 7. Juli 2023 um 10:23

AFAICS nicht, UDP 443 kommt durch (Zielserver-IP obfuscated) …

root@oelde-testvm:~# traceroute -U -p 443 240.255.000.000
traceroute to 240.255.000.000 (240.255.000.000), 30 hops max, 60 byte packets
 1  10.38.0.2 (10.38.0.2)  0.711 ms  0.687 ms  0.733 ms
 2  185.66.195.1 (185.66.195.1)  14.277 ms  14.268 ms  14.385 ms
 3  myloc.v4.bcix.de (193.178.185.161)  14.153 ms  14.205 ms  14.027 ms
[…]
 8  5.45.181.209 (5.45.181.209)  24.519 ms  24.447 ms  24.451 ms
 9  240.255.000.000 (240.255.000.000)  24.977 ms  24.992 ms  25.070 ms

root@de6:~# tcpdump -n -i net0 port 443
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on net0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:05:16.583219 IP 185.66.195.22.53441 > 240.255.000.000.443: UDP, length 32
10:05:16.583411 IP 185.66.195.22.39726 > 240.255.000.000.443: UDP, length 32
10:05:16.583425 IP 185.66.195.22.58725 > 240.255.000.000.443: UDP, length 32
10:05:16.583431 IP 185.66.195.22.53354 > 240.255.000.000.443: UDP, length 32
10:05:16.607682 IP 185.66.195.22.44012 > 240.255.000.000.443: UDP, length 32
10:05:16.607820 IP 185.66.195.22.37843 > 240.255.000.000.443: UDP, length 32
10:05:16.607832 IP 185.66.195.22.34817 > 240.255.000.000.443: UDP, length 32
10:05:16.608201 IP 185.66.195.22.38831 > 240.255.000.000.443: UDP, length 32
10:05:16.608241 IP 185.66.195.22.58518 > 240.255.000.000.443: UDP, length 32
10:05:16.608395 IP 185.66.195.22.40196 > 240.255.000.000.443: UDP, length 32
^C
10 packets captured
10 packets received by filter
0 packets dropped by kernel

… und nicht einmal Port 25 TCP ausgehend ist gesperrt:

root@oelde-testvm:~# traceroute -T -p 25 240.255.000.000
traceroute to 240.255.000.000 (240.255.000.000), 30 hops max, 60 byte packets
 1  10.38.0.2 (10.38.0.2)  0.525 ms  0.788 ms  0.776 ms
 2  * * *
 3  myloc.v4.bcix.de (193.178.185.161)  14.957 ms  15.098 ms  14.564 ms
[…]
 8  5.45.181.209 (5.45.181.209)  224.001 ms  224.183 ms  206.500 ms
 9  240.255.000.000 (240.255.000.000)  25.147 ms  24.766 ms  24.934 ms

root@de6:~# tcpdump -n -i net0 port 25
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on net0, link-type EN10MB (Ethernet), capture size 262144 bytes
10:06:31.386966 IP 185.66.195.22.49375 > 240.255.000.000.25: Flags [S], seq 2278048403, win 4960, options [mss 1240,sackOK,TS val 2437864492 ecr 0,nop,wscale 2], length 0
10:06:31.387034 IP 240.255.000.000.25 > 185.66.195.22.49375: Flags [R.], seq 0, ack 2278048404, win 0, length 0
10:06:31.387090 IP 185.66.195.22.39159 > 240.255.000.000.25: Flags [S], seq 3313263856, win 4960, options [mss 1240,sackOK,TS val 2437864492 ecr 0,nop,wscale 2], length 0
10:06:31.387096 IP 240.255.000.000.25 > 185.66.195.22.39159: Flags [R.], seq 0, ack 3313263857, win 0, length 0
10:06:31.393666 IP 185.66.195.22.36643 > 240.255.000.000.25: Flags [S], seq 1837313582, win 4960, options [mss 1240,sackOK,TS val 2437864492 ecr 0,nop,wscale 2], length 0
10:06:31.393709 IP 240.255.000.000.25 > 185.66.195.22.36643: Flags [R.], seq 0, ack 1837313583, win 0, length 0
^C
6 packets captured
6 packets received by filter
0 packets dropped by kernel

Könnte es ggf. an der MTU liegen?

root@oelde-testvm:~# tracepath 240.255.000.000
 1?: [LOCALHOST]                      pmtu 1280
 1:  10.38.0.2                                             1.267ms 
 1:  10.38.0.2                                             0.927ms 
 2:  185.66.195.1                                         14.672ms 
 3:  myloc.v4.bcix.de                                     14.467ms 
 […]
 8:  5.45.181.209                                         24.599ms 
 9:  240.255.000.000                                      25.201ms reached
     Resume: pmtu 1280 hops 9 back 9

Kalle · 7. Juli 2023 um 12:03

Hallo @wusel, vielen Dank für deine Unterstützung.

Tatsächlich klappt es gerade (wieder)! Ich habe vor ca. 2 Wochen mal auf dem Server mit tcpdump geschaut, ob etwas ankommt, und damals war das nicht der Fall. Jetzt kommen eindeutig Pakete von einem FF-Server auf UDP/443 an.

Die MTU hatte ich auch in Verdacht, aber das initiale Paket ist gerade einmal 148 Bytes groß, das sollte überall durchgehen

Ist vielleicht bekannt, ob sich etwas in den letzten 2-3 Wochen geändert hat, oder ist das jetzt Zufall?

Wie auch immer, vielen Dank noch mal für deine Bemühungen!

wusel · 7. Juli 2023 um 12:17

Soweit ich sehen kann, sind keine Blockaden in Ansible konfiguriert, dazu müßte z. B. in group_vars/gateways sowas stehen wie blocked_tcp_ports: [25, 111].

corny456 · 9. Juli 2023 um 17:04

Wir blocken weder irgendwelche Ports noch gibt es eine Firewall oder ähnliches.
Geändert hat sich daran in den letzten Wochen eigentlich auch nichts.

Kalle · 10. Juli 2023 um 11:25

Hallo zusammen und vielen Dank noch einmal für die Antworten.

Wie gesagt, es tut jetzt, warum auch immer