Leuke discussie dit. Ik meng me er ongevraagd ook maar even in
.
Het hele doel van een DMZ is om 'onveilige' diensten op een apparaat gescheiden van het interne LAN beschikbaar te maken aan het internet. Bij mijn weten is het zo dat de ps4 zelf nooit actief diensten zoals (voice)chat of host van een game, 'aanbied' op het internet maar dat dit altijd via servers van Sony op het PSN loopt. Volgens mij is het dus zo dat de ps4 altijd zelf een connectie maakt
van het interne LAN (of DMZ)
naar de PSN servers. Dit is bij mijn weten ook zo als je een game host of een party host of iets dergelijks.
Het klopt dat je PS4 nooit rechtstreeks diensten aanbiedt. Je PS4 biedt wel onrechtstreeks diensten aan. Als je een party start, of je start een multiplayer game zal je Playstation naar de PSN servers communiceren op welke poorten je party of game draait zodat andere spelers met je kunnen connecteren. Je vrienden zien immers in welke parties hun vrienden zitten, of kunnen jouw gamesessies joinen. Eenmaal je coördinaten (IP adres en poort) voor een bepaalde dienst gekend zijn komen die PSN servers niet meer tussen. Trouwens, moest alle netwerkverkeer langs Sony servers verkopen, dan zou je pas weten wat lag is. Alle chat en gamecommunicatie verloopt peer-to-peer, for speed's sake.
Het is dus ook niet nodig om poorten van
buiten naar
binnen toe te NAT'ten. Upnp wordt in dit geval alleen gebruikt om poorten van
binnen naar
buiten dynamisch open te zetten. Op zich niets mis mee maar daarmee wordt upnp verantwoordelijk gemaakt om de poorten op je firewall/router open te zetten. De systeemsoftware van je PS4 doet dat prima maar of de software van Activision of EA dat ook doet is maar de vraag
, eerst de games maar eens bugvrij maken denk ik
.
Dat klopt niet. Voor de duidelijkheid: Poorten van binnen naar buiten configureren is NAT. Poorten van buiten naar binnen openzetten heet port forwarding.
NAT gaat automatisch. Daar is geen UPnP voor nodig. Je router krijgt een IP pakket van een interne computer, en kan automatisch de mapping opzetten, zowel voor TCP als voor UDP. Je router stuurt vervolgens het pakket door naar buiten. Antwoorden van buiten worden tegen de mappingtabel gelegd en doorsgestuurd naar binnen als er een mapping bestaat.
Port forwarding moet geconfigureerd worden. In dat geval ben jij de server, en je hebt nog totaal geen idee wie er naar je gaat connecteren. Je router kan dat niet zomaar automatisch configureren. Je router weet niet dat je PS4 zegt tegen PSN: "Becat heeft een party draaien op publiek IP 'zus' en poort 'zo'.", en dat je router dus alle verkeer die plots binnenkomt op je router op poort 'zo' moet doorsturen naar je PS4. Je router heeft dus hulp nodig van het apparaat in je intern netwerk, en daar komt UPnP in het spel.
Je PS4 vraagt aan je router een port forwarding configuratie aan. Dit is zoveel als zeggen, "Ik, Becat's PS4 heb dit intern IP adres. Ik wil dat Bert's party, die bij mij lokaal bereikbaar is op poort X, publiek beschikbaar is". De router antwoordt met een configuratie: "Ok, dan moet je mijn publiek IP adres doorgeven aan PSN, en ik heb poort Y gereserveerd voor je. Alle verkeer die op die poort aankomt zal ik doorsturen naar jouw intern IP adres, naar poort X". Je PS4 geeft je publiek IP adres en poort Y door aan PSN. Je vrienden krijgen die coördinaten door via PSN en dus is je party en game sessie plots bereikbaar.
Als je router geen UPnP ondersteunt zul je dat doorgaans niet meteen merken. Je wil bv. een party joinen die je vriend gestart heeft. Je PS4 krijgt van PSN de coördinaten van die party door (IP adres van je vriend, en poort nummer op de router van je vriend die geforwardet wordt naar zijn PS4). Je maakt vervolgens verbinding van jouw PS4 naar die van je vriend. Jij bent initiator, je router doet NAT, geen probleem. Hetzelfde als je een gamesessie wil joinen.
Als je echter zelf een party start, en je router ondersteunt geen UPnP, dan kunnen je vrienden geen verbinding met je maken. Dan kan je PS4 wel zeggen tegen de PSN servers dat je bereikbaar bent op een ip adres en poort, maar als je router de inkomende verbindingen niet doorstuurt naar je PS4, dan krijg je de beruchte NAT fouten. Als je zelf manueel port forwarding gaat opzetten kan het weer wel natuurlijk, maar dat is uiteraard niet zo robuust dan UPnP.
Ter illustratie. Mijn PS4 heeft intern blijkbaar IP adres 192.168.1.225 (kom je te weten via Instellingen -> Netwerk -> Verbindingsstatus weergeven). Ik heb even gecheckt welke port forwarding mijn PS4 d.m.v. UPnP configureert op mijn router met
Portmapper. Dit kreeg ik te zien:
UDP :9307 -> 192.168.1.225:9307 enabled 192.168.1.225:9307 to 9307 (UDP)
UDP :9306 -> 192.168.1.225:9306 enabled 192.168.1.225:9306 to 9306 (UDP)
UDP :3658 -> 192.168.1.225:3658 enabled Ubisoft 709e2947909b
UDP :4646 -> 192.168.1.225:4646 enabled Ubisoft 709e2947909b
De eerste regel werd toegevoegd op het moment dat ik een party maakte op mijn PS4. De router forwardde UDP poort 9307 naar mijn PS4, naar dezelfde poort. Vanwaar de tweede entry komt weet ik niet.
De derde entry werd gemaakt als ik mijn Watch Dogs savegame ingeladen had. Watch Dogs laat toe dat een arbitraire speler je hackt, dus ik ben bereikbaar voor andere spelers op poort 3658. Ubisoft wordt zelfs vermeld in de beschrijving van de port forwarding regel. De vierde entry werd toegevoegd van 't moment dat ik de multiplayer mode van Assassin's Creed Black Flag opstartte. Opnieuw wordt Ubisoft vermeld. Wat het "magic number" achter "Ubisoft" betekent weet ik niet.
In het geval van de PS4 kan het geen kwaad om, voor alleen de PS4, alle verkeer van
binnen (LAN) naar
buiten (lees:PSN) teo te staan. Ik denk niet dat een hacker snel je PS4 lid maakt van een botnet ofzo dus het paranoia level mag in dit geval naar defcon 3
.
Afhankelijk wat voor router/firewall je hebt zou het het mooist zijn om je PS4 een vast ip adres te geven en in de firewall alle verkeer van dat ip adres naar buiten toe te staan, dan heb je niet meer van doen met upnp waardoor je een NAT TYPE 2 verbinding hebt, ook in je games. Ik heb zelf nog nooit meegemaakt dat iets het dan niet doet. Upnp zou je, wat de PS4 betreft, dan uit kunnen zetten, is weer een security dingetje minder denk ik dan maar. Je wil per slot van rekening toch niet dat een apparaat gaat bepalen wat wel en niet door de firewall mag toch?
Uiteraard, je kunt op je router beperken dat trafiek van binnen naar bepaalde diensten buiten niet kan. Ik zou me eerder zorgen maken dat ze van buiten niet naar binnen kunnen, want eenmaal men binnen is, is 't toch te laat. Gezien het standaard gedrag van een router alle binnenkomende trafiek te droppen maak ik me persoonlijk niet teveel zorgen.
Verkeer van binnen naar buiten wordt standaard door een huis-tuin en keuken router nooit gelimiteerd. Men gaat er van uit als jij een verbinding start van binnen naar buiten dat je toch wel het antwoord wil krijgen. Je router gaat responses op netwerkverkeer dat jij hebt gestart (surfen naar een website, connecteren met PSN, ...) altijd doorlaten: dat is standaard NAT. Alle andere verkeer die binnen komt op je router wordt gedropt, met uitzondering van verkeer dat voldoet aan je port forwarding vereisten en DMZ instellingen.
Let op, voor al je andere apparaten (iphones, androids, windows laptops) moet je wel degelijk op defcon 5 blijven hoor! Zo onveilig als wat! Zorg ook altijd voor goede, up-to-date virus en malware scanners en niet op rare linkjes in emails klikken enzo
. Maar ja, ik ben dan ook behoorlijk paranoia
Inderdaad, ik zou me meer zorgen maken over malware en virussen... en dat is meestal een gevolg van je eigen surfgedrag, niet van je router instellingen.
Heb jij op je router limitaties staan die bepalen welke internet diensten je computers (en dus gebruikers) in je intern netwerk mogen consumeren? Mag ik eens weten welke? Als je dat doet is de kans trouwens reëel dat je PlayStation NAT Type 3 rapporteert.
