Pagina's: 1 2 3 [4]
  E-mail dit topic  |  Print  

Auteur Topic: poort forwarding of dmz  (gelezen 8270 keer)
0 geregistreerde leden en 1 gast bekijken dit topic.
2 Juli 2016, 12:45:00
Chielo36
GeZeLLiGhEiD MbG fAmiLiE
Super Member
*

Karma: 41
Offline Offline

PSN/SEN ID: Chielo36
Berichten: 813

MBG Events:
Georganiseerd: 10
Ingeschreven: 29


M'n middelste zoon


« Antwoord #30 Gepost op: 2 Juli 2016, 12:45:00 »



Afhankelijk wat voor router/firewall je hebt zou het het mooist zijn om je PS4 een vast ip adres te geven en in de firewall alle verkeer van dat ip adres naar buiten toe te staan, dan heb je niet meer van doen met upnp waardoor je een NAT TYPE 2 verbinding hebt, ook in je games. Ik heb zelf nog nooit meegemaakt dat iets het dan niet doet. Upnp zou je, wat de PS4 betreft, dan uit kunnen zetten, is weer een security dingetje minder denk ik dan maar. Je wil per slot van rekening toch niet dat een apparaat gaat bepalen wat wel en niet door de firewall mag toch?

Inderdaad, je PS4 (bekabeld) en misschien je laptop (WIFI) een vast ip-adres geven is goede optie. Had ik met de Ps3, nu niet. Toch maar eens doen ......... Rollende ogen
Gelogd

2 Juli 2016, 15:36:16
Afekx
MBG Team
Senior Member
*

Karma: 56
Offline Offline

PSN/SEN ID: Afekx
Berichten: 465

MBG Events:
Georganiseerd: 28
Ingeschreven: 38


لا شيء واقع مطلق بل كل ممكن


« Antwoord #31 Gepost op: 2 Juli 2016, 15:36:16 »

Leuke discussie dit. Ik meng me er ongevraagd ook maar even in Smiley.

Het hele doel van een DMZ is om 'onveilige' diensten op een apparaat gescheiden van het interne LAN beschikbaar te maken aan het internet. Bij mijn weten is het zo dat de ps4 zelf nooit actief diensten zoals (voice)chat of host van een game, 'aanbied' op het internet maar dat dit altijd via servers van Sony op het PSN loopt. Volgens mij is het dus zo dat de ps4 altijd zelf een connectie maakt van het interne LAN (of DMZ) naar de PSN servers. Dit is bij mijn weten ook zo als je een game host of een party host of iets dergelijks.

Het klopt dat je PS4 nooit rechtstreeks diensten aanbiedt.  Je PS4 biedt wel onrechtstreeks diensten aan.  Als je een party start, of je start een multiplayer game zal je Playstation naar de PSN servers communiceren op welke poorten je party of game draait zodat andere spelers met je kunnen connecteren.  Je vrienden zien immers in welke parties hun vrienden zitten, of kunnen jouw gamesessies joinen.  Eenmaal je co÷rdinaten (IP adres en poort) voor een bepaalde dienst gekend zijn komen die PSN servers niet meer tussen.  Trouwens, moest alle netwerkverkeer langs Sony servers verkopen, dan zou je pas weten wat lag is.  Alle chat en gamecommunicatie verloopt peer-to-peer, for speed's sake.

Het is dus ook niet nodig om poorten van buiten naar binnen toe te NAT'ten. Upnp wordt in dit geval alleen gebruikt om poorten van binnen naar buiten dynamisch open te zetten. Op zich niets mis mee maar daarmee wordt upnp verantwoordelijk gemaakt om de poorten op je firewall/router open te zetten. De systeemsoftware van je PS4 doet dat prima maar of de software van Activision of EA dat ook doet is maar de vraag Smiley, eerst de games maar eens bugvrij maken denk ik Smiley.

Dat klopt niet.  Voor de duidelijkheid: Poorten van binnen naar buiten configureren is NAT.  Poorten van buiten naar binnen openzetten heet port forwarding.    

NAT gaat automatisch.  Daar is geen UPnP voor nodig.  Je router krijgt een IP pakket van een interne computer, en kan automatisch de mapping opzetten, zowel voor TCP als voor UDP.  Je router stuurt vervolgens het pakket door naar buiten.  Antwoorden van buiten worden tegen de mappingtabel gelegd en doorsgestuurd naar binnen als er een mapping bestaat.

Port forwarding moet geconfigureerd worden.  In dat geval ben jij de server, en je hebt nog totaal geen idee wie er naar je gaat connecteren.  Je router kan dat niet zomaar automatisch configureren.  Je router weet niet dat je PS4 zegt tegen PSN:  "Becat heeft een party draaien op publiek IP 'zus' en poort 'zo'.", en dat je router dus alle verkeer die plots binnenkomt op je router op poort 'zo' moet doorsturen naar je PS4.  Je router heeft dus hulp nodig van het apparaat in je intern netwerk, en daar komt UPnP in het spel.

Je PS4 vraagt aan je router een port forwarding configuratie aan.  Dit is zoveel als zeggen, "Ik, Becat's PS4 heb dit intern IP adres.  Ik wil dat Bert's party, die bij mij lokaal bereikbaar is op poort X, publiek beschikbaar is".  De router antwoordt met een configuratie:  "Ok, dan moet je mijn publiek IP adres doorgeven aan PSN, en ik heb poort Y gereserveerd voor je.  Alle verkeer die op die poort aankomt zal ik doorsturen naar jouw intern IP adres, naar poort X".  Je PS4 geeft je publiek IP adres en poort Y door aan PSN. Je vrienden krijgen die co÷rdinaten door via PSN en dus is je party en game sessie plots bereikbaar.  

Als je router geen UPnP ondersteunt zul je dat doorgaans niet meteen merken.  Je wil bv. een party joinen die je vriend gestart heeft.  Je PS4 krijgt van PSN de co÷rdinaten van die party door (IP adres van je vriend, en poort nummer op de router van je vriend die geforwardet wordt naar zijn PS4).  Je maakt vervolgens verbinding van jouw PS4 naar die van je vriend.  Jij bent initiator, je router doet NAT, geen probleem.  Hetzelfde als je een gamesessie wil joinen.

Als je echter zelf een party start, en je router ondersteunt geen UPnP, dan kunnen je vrienden geen verbinding met je maken.  Dan kan je PS4 wel zeggen tegen de PSN servers dat je bereikbaar bent op een ip adres en poort, maar als je router de inkomende verbindingen niet doorstuurt naar je PS4, dan krijg je de beruchte NAT fouten.  Als je zelf manueel port forwarding gaat opzetten kan het weer wel natuurlijk, maar dat is uiteraard niet zo robuust dan UPnP.

Ter illustratie.  Mijn PS4 heeft intern blijkbaar IP adres 192.168.1.225 (kom je te weten via Instellingen -> Netwerk -> Verbindingsstatus weergeven).  Ik heb even gecheckt welke port forwarding mijn PS4 d.m.v. UPnP configureert op mijn router met Portmapper.  Dit kreeg ik te zien:

UDP :9307 -> 192.168.1.225:9307 enabled 192.168.1.225:9307 to 9307 (UDP)
UDP :9306 -> 192.168.1.225:9306 enabled 192.168.1.225:9306 to 9306 (UDP)
UDP :3658 -> 192.168.1.225:3658 enabled Ubisoft 709e2947909b
UDP :4646 -> 192.168.1.225:4646 enabled Ubisoft 709e2947909b

De eerste regel werd toegevoegd op het moment dat ik een party maakte op mijn PS4.  De router forwardde UDP poort 9307 naar mijn PS4, naar dezelfde poort.  Vanwaar de tweede entry komt weet ik niet.

De derde entry werd gemaakt als ik mijn Watch Dogs savegame ingeladen had.  Watch Dogs laat toe dat een arbitraire speler je hackt, dus ik ben bereikbaar voor andere spelers op poort 3658.   Ubisoft wordt zelfs vermeld in de beschrijving van de port forwarding regel.  De vierde entry werd toegevoegd van 't moment dat ik de multiplayer mode van Assassin's Creed Black Flag opstartte.  Opnieuw wordt Ubisoft vermeld.  Wat het "magic number" achter "Ubisoft" betekent weet ik niet.  

In het geval van de PS4 kan het geen kwaad om, voor alleen de PS4, alle verkeer van binnen (LAN) naar buiten (lees:PSN) teo te staan. Ik denk niet dat een hacker snel je PS4 lid maakt van een botnet ofzo dus het paranoia level mag in dit geval naar defcon 3 Smiley.

Afhankelijk wat voor router/firewall je hebt zou het het mooist zijn om je PS4 een vast ip adres te geven en in de firewall alle verkeer van dat ip adres naar buiten toe te staan, dan heb je niet meer van doen met upnp waardoor je een NAT TYPE 2 verbinding hebt, ook in je games. Ik heb zelf nog nooit meegemaakt dat iets het dan niet doet. Upnp zou je, wat de PS4 betreft, dan uit kunnen zetten, is weer een security dingetje minder denk ik dan maar. Je wil per slot van rekening toch niet dat een apparaat gaat bepalen wat wel en niet door de firewall mag toch?

Uiteraard, je kunt op je router beperken dat trafiek van binnen naar bepaalde diensten buiten niet kan.  Ik zou me eerder zorgen maken dat ze van buiten niet naar binnen kunnen, want eenmaal men binnen is, is 't toch te laat.  Gezien het standaard gedrag van een router alle binnenkomende trafiek te droppen maak ik me persoonlijk niet teveel zorgen.  

Verkeer van binnen naar buiten wordt standaard door een huis-tuin en keuken router nooit gelimiteerd.  Men gaat er van uit als jij een verbinding start van binnen naar buiten dat je toch wel het antwoord wil krijgen.  Je router gaat responses op netwerkverkeer dat jij hebt gestart (surfen naar een website, connecteren met PSN, ...) altijd doorlaten:  dat is standaard NAT.   Alle andere verkeer die binnen komt op je router wordt gedropt, met uitzondering van verkeer dat voldoet aan je port forwarding vereisten en DMZ instellingen.

Let op, voor al je andere apparaten (iphones, androids, windows laptops) moet je wel degelijk op defcon 5 blijven hoor! Zo onveilig als wat! Zorg ook altijd voor goede, up-to-date virus en malware scanners en niet op rare linkjes in emails klikken enzo Smiley. Maar ja, ik ben dan ook behoorlijk paranoia  Brede lach

Inderdaad, ik zou me meer zorgen maken over malware en virussen... en dat is meestal een gevolg van je eigen surfgedrag, niet van je router instellingen.

Heb jij op je router limitaties staan die bepalen welke internet diensten je computers (en dus gebruikers) in je intern netwerk mogen consumeren?  Mag ik eens weten welke?  Als je dat doet is de kans trouwens reŰel dat je PlayStation NAT Type 3 rapporteert.

« Laatste verandering: 2 Juli 2016, 15:54:58 door Afekx » Gelogd


لا شيء واقع مطلق بل كل ممكن
Alta´r Ibn-La'Ahad, Assassin's Creed
letterlijk: nothing is absolutely real, but everything is possible
2 Juli 2016, 21:38:30
Becat72
Junior Member
*

Karma: 24
Offline Offline

PSN/SEN ID: becat72
Berichten: 87

MBG Events:
Georganiseerd: 6
Ingeschreven: 19



WWW
« Antwoord #32 Gepost op: 2 Juli 2016, 21:38:30 »

Ja hele leuke discussie dit  Smiley.

Ik vraag me nu toch af hoe PSN dat doet Tom. Ik heb me eens wat ingelezen op upnp en het is een nogal brede set met protocollen waaronder idd de mogelijkheid om dynamisch port forwarding regels aan te maken op een router. Dat had ik dus niet helemaal goed.

Maar toch is het gek. Het kan zijn dat PSN een reverse proxy rol op zich neemt in het geval van b.v. een party die je zelf start. Het is namelijk zo dat ik in mijn cisco ASA firewall (een ASA5505) alleen maar verkeer van binnen naar buiten toe sta.

Mijn ruleset ziet er eigenlijk als volgt uit:

- Van de ip's van de ps3 en 4 (vaste ip's) mag alle verkeer van binnen naar buiten, er wordt geen port address translation van buiten naar binnen gedaan, alles wordt geblocked.
- Van de dhcp adressen (lees, pc's, laptops, tables, mobieltjes) mag het volgende:
   - http (tcp poort 80)
   - https (tcp poort 443)
   - dns (upd en tcp 53. Ik weet, je hebt eigenlijk allen udp 53 nodig omdat tcp 53 alleen tussen dns servers gebruikt wordt om zone transfers te doen maar ik het toch wel eens gekke dns issues gezien als je tcp blocked)
   - naar het ip van mijn werk udp 1701, 4500, 5500, isakmp (weet de poort zo niet) en esp/ipsec verkeer voor VPN client
   - ntp (udp poort 123)
   - imap(s) en smtp (tcp poort 465, 587, 993, 143 en 25)
   - ftp (tcp poort 20 en 21)
   - irc  (tcp poort 194, 6660-6669 en 7000)
   - een paar specifieke poorten voor steam games die ik op de mac speel
   - nog een obscuur poortje voor de officiele F1 app op mijn tablet

Daarnaast heb ik nog wel NAT regels naar binnen toe (dat wordt toch ook wel NAT genoemd Tom) voor mijn NAS maar niet naar de ps4.

En daar komt dan mijn verwarring, ik doe geen upnp en ook geen port mapping (of nat...) naar binnen toe naar mijn ps3 of 4 en al mijn party's, chats en b.v. ook watchdogs werkt prima. Ik kon ook prima gehacked worden in watchdogs  Grijns.
Ik vermoed dat PSN kijkt naar je NAT type en afhankelijk daarvan zijn diensten aanpast, anders kan ik de upnp regels in jou router en de 'ik-blok-alles-maar-het-werkt-toch' configuratie in mijn firewall niet verklaren... Heb jij nog ideeen?

Wel ben ik geen fan van upnp. Ik vind niet dat mijn devices zelf moeten gaan bepalen wat wel en niet mag op mijn netwerk. Maar ja, ik ben dan ook nogal parano´de Smiley
Gelogd

3 Juli 2016, 20:58:50
Afekx
MBG Team
Senior Member
*

Karma: 56
Offline Offline

PSN/SEN ID: Afekx
Berichten: 465

MBG Events:
Georganiseerd: 28
Ingeschreven: 38


لا شيء واقع مطلق بل كل ممكن


« Antwoord #33 Gepost op: 3 Juli 2016, 20:58:50 »

Als je Reverse Proxy in de brede zin van 't woord ziet misschien wel.  Het zou echter betekenen dat PSN verbindingen naar jou PS4 kan opzetten, wat het ook niet kan als jij geen port forwarding en UPnP toelaat.  Hoe het m.i. werkt is dat uw PS4 connectie maakt met PSN (voor chat, games, ...). PSN functioneert daarbij als een soort lookup service.  Je parties en game sessie worden erdoor discoverable.  Van het moment dat je verbinding maakt met een PSN server weet die server wellicht ook wat je mogelijkheden en beperkingen zijn:  welk NAT Type heb je, ben je bereikbaar (via UPnP, of omdat je manueel poorten hebt opengezet) of niet. 

Als je gehackt kan worden op Watch Dogs terwijl jouw firewall dicht staat kan dat 2 dingen betekenen:
  • De tegenpartij wil verbinding met jou maken.  Maar gezien dat niet kan krijgt jouw PS4 via PSN instructie om met de tegenpartij verbinding te maken.  Dat kan wel want jij blokkeert uitgaand verkeer niet.  Idem voor parties.  Het netto resultaat is hetzelfde:  jullie hebben verbinding en kunnen een hacksessie starten of hij kan je party joinen.
  • Als hij ook geen port forwarding toelaat heb je een probleem:  hij kan niet met jou een verbinding opzetten, en hij kan niet met jou een verbinding opzetten.  Dan kan een PSN server tussenkomen die alles regelt.  Jullie maken beiden verbinding met te server (want die laat wel verbindingen toe) en de server stuurt alles door.  Volgens mij gebeurt dat dus niet... of niet altijd.

Je zou kunnen claimen dat PSN altijd het tweede geval implementeert.  Maar ik heb sterke vermoedens dat dat niet het geval is.  Het varieert wellicht afhankelijk van game tot game, van service tot service; the developer beslist hoe hij 't implementeert.  Weer een Watch Dogs voorbeeldje ('t is een interessante case study precies).  Als je Online Decryption speelt kun je plots in een host migration situatie terecht komen.  Dat gebeurt doorgaans als een speler het spel verlaat.  Het spel blokkeert op dat moment met het bericht: host migration in progress.  Dat betekent eigenlijk zoveel als:  1 speler is de server en als die beslist van ermee op te houden moet iemand anders het overnemen: de server migreert van 1 speler naar een andere die het vervolg van het spel moet hosten.

Spelers zelf server laten spelen is een mooi voorbeeld van scalability, maar het werkt toch niet zo goed... Ubisoft servers hebben de beruchte reputatie van slecht te zijn... M.i. ligt dat niet aan de Ubisoft servers, maar aan het feit dat ze game sessies niet zelf hosten.  't Verklaart ook meteen dat ze ook niet beter worden.  Zolang er mensen zijn met een flutinternetverbinding zal de situatie slecht zijn.

Om terug te komen op je UPnP paranoia.  Ik was vroeger ook best parano´de.  Ik had een Linux firewall staan die ongeveer zo geconfigureerd was zoals de jouwe nu.  Mijn Wireless network was naast WPA2 ook beschermd met MAC adres filtering, enz. enz.

Ik heb op een bepaald moment die linux server buitengegooid, en de firewall vervangen door een standaard router (Mac Airport, en later gewoon de router die ik van mijn internet provider kreeg).  Teveel gezeik om mijn gemoedsrust te verzekeren (de paar specifieke poorten voor team games en dat obscuur poortje zijn voorbeelden:  je moet dus gaan uitvlooien waarom iets niet werkt, en dat zien uit te vissen hoe je uw firewall moet gaan aanpassen.

Voel ik me er nu minder veilig voor?  Nee.  Een router heeft nog steeds een 'default deny policy'.  Niks kan verbinding maken met apparaten op mijn intern netwerk.   Als dat toch nodig is stelde ik manueel een port forwarding rule in (bv. voor BitTorrent).  Tegenwoordig laat ik 't gewoon aan UPnP over.  Ik vertrouw dat omdat het apparaten zijn op mijn intern netwerk die poorten openzetten (UPnP is immers een LAN protocol).  Doorgaans voor diensten die ik effectief gebruik.  Die diensten zetten ook cherry-picking-gewijs een bepaalde poort open, naar 1 bepaald device.  't Is niet dat die uw firewall wagenwijd open zetten.   Die portmapper tool uit mijn vorige post laat me trouwens toe om na te kijken dat er niks onverwachts open staat.
Gelogd


لا شيء واقع مطلق بل كل ممكن
Alta´r Ibn-La'Ahad, Assassin's Creed
letterlijk: nothing is absolutely real, but everything is possible
4 Juli 2016, 11:54:35
Becat72
Junior Member
*

Karma: 24
Offline Offline

PSN/SEN ID: becat72
Berichten: 87

MBG Events:
Georganiseerd: 6
Ingeschreven: 19



WWW
« Antwoord #34 Gepost op: 4 Juli 2016, 11:54:35 »

Het blijft inderdaad een beetje gokwerk hoe het precies gaat op PSN en hang naar mijn gevoel ook af van welke game gespeeld wordt. Lijkt er idd op dat het per developer verschild. Ik heb iig nog niet meegemaakt dat iets niet werkte zoals verwacht mag worden.
Het geeft maar weer eens aan dat we als gebruikers (lees: gamers) soms best snel klagen over dat serveres of diensten niet doen wat we er van verwachten maar voor mensen die in IT werken die weten hoe moeilijk het soms is om alles in de lucht te houden. Neem daar nog eens mee dat Sony en de ontwikkelaars rekening moeten houden met veel verschillende situaties bij mensen thuis en dan alles nog, naar mijn mening, redelijk vlekkeloos te laten werken dan is dat best knap. Ga maar eens na hoeveel mensen alleen al op een playstation platform online diensten gebruiken...

Ja en mijn paranoia... In het verleden is het linux servertje wat ik toen had draaien eens gehacked geweest (eigen schuld, geen veilige diensten...) en een poosje lid geweest van een botnet. Door van binnen naar buiten strakke policies te hanteren kan je dat gevaar verder terug dringen. En het is mijn werk en beetje hobby.

Maar ik ben wel met je eens dat het soms een heel gevogel is om alles aan de praat te krijgen. Upnp is idd een LAN protocol, hangt er een beetje vanaf hoe je er in staat denk ik.
Gelogd

MBGclan: Playstation community voor Minder Bedreven Gamers
   

Neem contact met ons op!
 Gelogd

Pagina's: 1 2 3 [4]
  E-mail dit topic  |  Print  
 

Ga naar: