Hallo Zusammen,
ein Kunde von uns nutzt eine Frankiermaschine (Pitney Bowes). Diese hat ständig Probleme sich mit Servern zu verbinden um, beispielsweise, Updates zu laden.
Der Hersteller der Maschine gibt folgendes als Vorgabe:
Folgende Ports werden verwendet:
TCP Port 20/21 (FTP) Software und Gebührenupdates – FTP aktiv, temporäre Ports zulassen
UDP Port 53 (DNS) Portophon und Web Services
TCP Port 80 (HTTP) Portophon und Web Services
TCP Port 443 (HTTPS) Portophon
Folgende DNS Server werden verwendet:
Primäre DNS 152.158.2.48
Sekundäre DNS 165.87.201.244
Ziel URL: http://distservp1.pb.com/dstproduct.asp
Folgende Dateiformate werden geladen und müssen über die Firewall Einstellungen
freigegeben sein:
DEC .dcz
EMD .zmd
Grafiken .gar
Gebührenmanager .rmz
CCD .bin
Dateimitschnitt .GAU
Die Konfiguration der Firewall sieht so aus:
Proxy ist inaktiv für die Frankiermaschine.
Regel im Portfilter: Frankiermaschine ->HideNAT-> Internet (any)
Da der Kunde über zwei Internetanschlüsse verfügt, habe ich ein RuleRouting auf einen bestimmten Anschluss eingerichtet, sodass die Maschine immer über den gleichen Anschluss geroutet wird.
Nun bin ich mir unsicher bzgl. weiterer Regeln für aktives FTP. Müssen hier noch Portweiterleitungen eingerichtet werden?
Danke!
Gruß Tobi
aktives FTP - Frankiermaschine
Moderator: Securepoint
Hi,
Portweiterleitungen von Außen nach Innen sind normalerweise unnötig. Wenn du wissen willst, was deine Frankiermaschine so alles treibt, kannst du in deiner Portfilter-Regel das Logging einschalten und siehst dann im Log genau, wo er "hintelefoniert".
Dateiformate im Virenscanner brauchst du in diesem Fall auch nicht eintragen, die Pakete gehen ja nicht über den Proxy.
Gruß
Portweiterleitungen von Außen nach Innen sind normalerweise unnötig. Wenn du wissen willst, was deine Frankiermaschine so alles treibt, kannst du in deiner Portfilter-Regel das Logging einschalten und siehst dann im Log genau, wo er "hintelefoniert".
Dateiformate im Virenscanner brauchst du in diesem Fall auch nicht eintragen, die Pakete gehen ja nicht über den Proxy.
Gruß
aktives FTP und NAT mögen sich nicht. Der Server initiiert dabei Verbindungen zu Clients auf (möglicherweise) zufälligen High-Ports. Diese müsstest du alle an die Frankiermaschine weiterleiten. Du kannst natürlich im Log nachschauen, vielleicht ist der gewählte Bereich der zufälligen Ports nicht so groß...