14. marts 2018 - 12:16Der er
8 kommentarer og 2 løsninger
Åbning af port
Hej alle i kloge mennesker, jeg har brug for hjælp til et lille spørgsmål og jeg håber der er en der kan være behjælpelig med det.
På arbejde, der en kunde der beder om at få åbnet op for udadgående trafik på en UDP port 55556. Han skriver at det kun er nødvendig for udafgående trafik da enheden kommunikerer via Socket Connection. Dvs. at enheden selv kalder ud og derefter åbner en forbindelse.
Mit spørgsmål går på om det godt kan lade sig gøre at man kun åbner op udadgående trafik, at han så stadig kan kommunikerer indad. I min verden er det et nej så længe indadgående trafik er blokeret.
Det er Cisco WS-C2960X-24PS-L der står på lokationen, og det er et ventilationsanlæg der skal kommunikeres med.
Men som det er nu er der lukket for port 55556 i begge retninger, men spørgsmål går mere på om det kan lade sig at kun at åbne for udadgående trafik og så enheden kan åbne en "to-vejs" kommunikation selvom der ikke er åbnet for indadgående trafik.
Hvis ventilationsanlægget starter kommunikationen udadgaående, vil der ikke være noget problem, så længe sessionen er i live. Men droppes sessionen, kan "WAN" dimsen ikke længere snakke med ventilationsanlægget, før dette igen henvender sig.
Det er ventilationsanlæget der starter kommunikationen, men hvordan kan den få lov til at tillade indadgående trafik, når det oprindeligt er lukket i firewall'en?
Og hvordan vil du som bruger beder om information fra anlægget? Skal man så vide at præcis kl. 11 der sender den sin information og så du sidde klar, så du også kan kommunikerer den anden vej??
Indgående traffik tillades, fordi den er båret i en eksisterende session/datastrøm.
Den anden vej, vil ventilationsanlægget nok snakke med en server, hvor der netop er åben for porten. Dermed vil serveren altid være i stand til at lytte og besvare ventilationsanlægget.
Opfat ventilationsanlægget som en telefonsælger der ringer til dig. I det øjeblik sælgeren lægger røret på, har du ingen mulighed for at ringe retur. Men sælger kender dit nummer, og kan derfor til enhver tid nå din IP og port (telefonnummer).
Måske ikke verdens bedste eksempel - men i grove træk sådan det hænger sammen.
Altså... - der skal ikke være åben for den indadgående trafik, fordi det er ventilationsanlægget der ringer op indefra, og dermed kører kommunikationen på en eksisterende "telefonlinje".
Det overvågnings SW jeg kender lidt til, sender kun. Det er en envejs kommunikation. Og ja, det kører på secure socket.
Enheden sender events og ID når der er nogen. Nogle sender heart beats, og configuration, scheduleret. Og modtager man ikke et HB i den anden ende, på det forventede tidspunkt, kontakter man kunden.
Håber du læser dette Ole? Har nemlig et lille spørgsmål mere.
Hvis datastrømmen skal være aktiv for at kommunikerer indad, hvordan vil du som teknisk personale, så tilgå ventilationsanlægget når du ikke er på adressen. Anlægget kan jo ikke vide hvornår du vil snakke med det? Eller forbliver datastrømmen åbnet, så snart der har været forbindelse én gang?
Ex. Du sidder som teknker og vil tilgå noget information hjemmefra, kl. 21.00. Du tænder din pc, logger på serveren via en hjemmeside. Hvordan skal enheden vide at du gerne vil snakke med den, når der kun er tilladt trafik den anden vej? Eller sender man et "bip" fx ligesom WakeOnLAN?
Det er jo et rigtig godt spørgsmål, som jeg ikke kan svare på :-) - jeg kender nemlig ikke udstyret - det gør kun dem der har sat det op.
Men hvis nogen påstår det kan lade sig gøre, kan det kun være ved at ventilationsanlægget kontinuerligt holder forbindelsen aktiv. Mistes forbindelsen (internettet går ned) vil ventilationsanlægget af sig selv genoprette forbindelsen.
Dermed vil teknikeren altid kunne logge på serveren og få forbindelse til ventilationsanlægget.
Man vil ikke kunne nå ind til ventilationsanlægget, uden at dette holder en aktiv forbindelse. I så fald skulle der nemlig åbnes en port, og en portforward sættes op til ventilationsanlægget.
Synes godt om
1 synes godt om dette
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.