Conntrack Modules

GMN2503 · December 21, 2024 at 10:12 AM

Kann mir jemand sagen was der Punkt "Conntrack Modules" bewirkt oder auf sich hat?

Hier ist alles standardmässig bis auf SIP angehakt.

Bedeutet? Was wäre wenn hier ein Punkt nicht angehakt bzw. SIP auch angehakt - was bewirkt das?

Danke.

**gierig** · December 22, 2024 at 4:46 PM

ConnectionTracking allgemein ist die Funktion das das system sich merkt wer mit wem verbunden ist.

Das ist z.B erforderlich um nur den Rücktraffic einer Verbindungen auch zuzulassen bzw. zu ermöglichen

damit das NAT weis wohin mit den Paketen.

Conntrack Module sind nun Helfer um bei bestimmten Protokollen zu helfen.

So gibt es bei Aktiven FTP einen Kanal der von Server zum Client aufgebaut wird.

Ohne das Modul macht die Firewall üblicherweise dich, oder wüste nicht wohin mit der anfrage von außen

Das Modul macht nun ne Dynamische Weiterleitung aufgrund Daten aus der Uhrsprünglichen Verbindung.

Obst Auswirkung für sich habt kommt drauf an ob du die Protokolle nutzt

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Das SIP Modul wird aber üblicherweise nicht gebraucht.

GMN2503 · December 23, 2024 at 9:04 AM

Danke für deine Rückmeldung!

Heisst also grob, wenn alles funktioniert dann kann ich ruhig alles ausschalten - sprich a) die Hacker raus geben und b) damit ist die Firewall noch ein bisschen besser als in aktiviertem Zustand?

**Networker** · December 23, 2024 at 9:38 AM

Wenn der böse Hacker bei Dir Verbindungen von innen nach außen aufbauen kann, demnach bereits in Deinem Netz ist, werden Dich abgeschaltete ConnTrack-Module nicht mehr vor weiterem Schaden beschützen.

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

GMN2503 · December 23, 2024 at 10:21 AM

Damit hab ich fast gerechnet 😉

Aber vom Prinzip her ist meine Überlegung also richtig?

**gierig** · December 23, 2024 at 12:12 PM

Quote from GMN2503

Aber vom Prinzip her ist meine Überlegung also richtig?

Nein zu sagen währe genauso falsch wie Ja zu sagen

External Content beta.ubiquiti-networks-forum.de

Content embedded from external sources will not be displayed without your consent.

Also was in der Mitte...

Schau die "Helfer" Module sind allgemein dazu da Kommunikation zu ermöglichen und auf Besonderheiten

von Protokollen einzugehen die selber IN den Protokollen andere Verbindungen benötigen oder Wege

aufmachen müssen uns so nicht anhand von IP und port zu erkennen sind.

Nen wirklichen Sicherheitsgewinn durch abschalten der Helfer ist eher als sehr sehr sehr gering einzuschätzen

und würde ich persönlich als "Nicht über den Placebo Effekt hinaus" bewerten.

und auch der Performance gewinn wird sich eher in ein paar Promille weniger CPU/Speicher auf dem Router

bemerkbar machen.

Mach es aus fürs gute Gefühl, schaden kann es nicht...

GMN2503 · December 23, 2024 at 1:51 PM

Ich wollte nur sicher gehen, wenn ich ausschalte, das ich nicht damit die Firewall erst recht damit öffne weil irgendwelche Regeln von Werk her darauf zugreifen und die diese Module benötigen um überhaupt aktiv zu sein.

Aber wenn ich das richtig verstanden habe, ist dies kein Problem und ich kann ausschalten.

Danke!

Participate now!