"Incoming connections" trotz (Soft-)Router?

#1 Hi,

seit kurzer Zeit habe ich die Kerio3 beta sowie eine Kaspersky-Trial auf meinem Rechner. Dieser "sitzt" als Client hinter einem Soft-Router (WinRoute).
Beim Kaspersky-Update von einem FTP-Server passiert nun etwas (für mich) unverständliches:
Der Verbindungsstart von meinem Rechner läuft ganz normal (TCP outgoing, Ziel-port: 21). Kurz darauf meldet Kerio aber eine "incoming connection" ( ) mit Ziel-Port 20 auf meinem Rechner, nach dessen Erlaubnis die Verbindung zum Update-Server "steht" und der Download beginnt.

Ich dachte bisher, "incomings" auf einen Router-Client könnten nur durch port-mapping realisiert werden!?

Ist das einfach eine Besonderheit von FTP (vielleicht irgendwas mit "aktiv/passiv"... ihr seht, dass ich unheimlich viel Ahnung davon hab... )?

Bei der alten Kerio hatte ich sowas (glaube ich) nie, allerdings hatte ich da auch noch kein KAV... ich bin jedenfalls ein wenig verunsichert.

Besten Dank für Antworten!

Ciao
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?

#2 Hallo,

normalerweise ist es so, dass bei aktivem FTP der Client die Anfrage über Port 21 an den Server sendet. Dieser eröffnet daraufhin (oder auch nicht) seinerseits eine Verbindung zum Client über den Port 20, über den die Daten fließen.
Beim passiven FTP wird die Datenverbindung über Port 20 aber ebenfalls vom Client zum Server (also outgoing) aufgebaut, gerade um Clients die hinter einem Router sitzen das FTP zu ermöglichen. Leider unterstützen aber nicht alle FTP-Server den passiven Modus.

In deinem Fall müsste es sich ja um den aktiven Modus handeln (Verbindung vom Server zum Client über Port 20, incoming am Client). Warum diese Verbindung jetzt zustandekommt leuchtet mir gerade auch nicht ganz ein, aber ich mach mir mal Gedanken drüber.

Bis dann
mrMR
__________
Es irrt der Mensch, solang' er strebt. (Goethe)

#3 Es ist doch prinzipiell logisch. Eine Verbindung wird vom Rechner zu einem Server aufgebaut. Der Router merkt von welchem Client zu welchem Server und welches Protokoll. Nun antwortet der Server und der Router weiß an welchen Rechner er das weiterleiten muss. Somit ist auch die "incomming connection" logisch.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#4 Auch wenn das ganze dan über einen anderen Port läuft?
__________
Es irrt der Mensch, solang' er strebt. (Goethe)

#5 IMHO ja. 1. gehört Port 20 zum FTP Protokoll und ist in der RFC so vorgesehen, also muss es so sein. 2. bekommst du die Anfragen von einem Server eigentlich immer auf einem andern Port zurück.

R.
__________
powered by http://different-thinking.de - Netze, Protokolle, Sicherheit, ...

#6 so sehe ich das auch man könnte zwar dieses incoming verbieten könnte dann
aber nicht mehr im internet spielen wahrscheinlich würde gerad noch der webbrowser
gehen mehr nicht also ist es viel sinnvoller es so zu machen
__________
°<- Vorsicht Trollköder und Trollfalle -> {_}

#7 Erstmal danke!

OK, aktiv/passiv habe ich jetzt auch verstanden.
Demnach scheint der Ablauf einer aktiven ftp-Verbindung so, nun ja, "einzigartig" zu sein, dass (Soft-)Router in diesem speziellen Fall automatisch eine "incomig-connection" weiterleiten.
Es kann natürlich auch ganz vom verwendeten Router abhängen, ob das funktioniert. Bei ICS wäre ich mir da z.B. nicht so sicher...

Zitat

2. bekommst du die Anfragen von einem Server eigentlich immer auf einem andern Port zurück.

Das versteh ich jetzt nicht so ganz... meinst du vom Server "ausgehende" Verbindungen? Die stellt ein Server doch normalerweise gar nicht her (offensichtlich abgesehen von FTP). Und Antworten an den Client müssen doch an den Ursprungsport der Anfrage gerichtet sein!?

@spunki
Geblockt werden soll hier ja nichts; ich habe nur nicht verstanden, wie bei mir eingehende Verbindungen OHNE port-mapping weitergeleitet werden konnten.
__________
"Scheinsicherheit" - wie leicht lassen sich Viren- und Trojanerscanner austricksen?