Ok jetzt bin ich vollends verwirrt, ihr habt es geschafft
Zuerst einmal zu einem Post, der schon ein wenig zurück liegt:
[QUOTE=cmrudolph]
Die sind komplett falsch. Für den ausgehenden Verkehr musst du auch den Destination Port verwenden. Also die Angaben aus dem Source Port jeweils in Destination Port verschieben, aus dem Source Port any machen (komplett richtig wäre > 1023, ist aber kein großes Sicherheitsrisiko, wenn man dort any einträgt). Und bei der dns-Regel udp statt tcp oder die Regel für tcp / udp machen. Dann sollte das funktionieren.
Die eingehenden Ports brauchst du aller Wahrscheinlichkeit nach nur für deine eigenen Dienste zu konfigurieren. Die „Rückrichtungsregeln“ brauchst du wie in meinem ersten Post gesagt normalerweise nicht mehr.[/QUOTE]
Warum sind meine Regeln falsch? Ausgehend ist mit source port doch eigentlich der vom server sleber gemeint, oder nicht? Wenn jemand von Ausßen sich zu meinem Server verbinden möchte, kann er doch auch über einen anderen Port kommen als den, den ich nutze. Deswegen dachte ich, dass nur die Pakete raus dürfen, die bei mir vom source port ausgehen, der dem protokoll gehört (z.B. hat ein http-paket von mir den Source port 80, kann aber auch an port 124356 gesendet werden). Verstehe ich das so richtig?
Eingehend habe ich es genau anders herum konfiguriert und lasse nur pakete zu, die bei mir am jeweiligen destination port eingehen (z.B. wir ein paket vom clienten von port 123456 an mich als server an port 80 gesendet => destination port = 80). Ist das hier dann auch genau anders herum?
Da einer für und der andere gegen die VPS-FW ist, weiß ich jetzt selber nicht, was genau gegen sie spricht. Ich habe mit einem portscan gesehen, dass offene ports, wenn kein dienst dahinter ist, die selbe nachricht zurückgeben (keine) wie als wenn ich die FW auf drop eingestellt ist. Benötige ich in diesem Fall die FW überhaupt, was eingehende Verbindugnen angeht?
Was ausgehende Verbindungen angeht dachte ich, es würde mehr sicherheit geben, wenn ich nciht alles vom server aus raus lasse. Deswegen hatte ich da hauptsächlich die FW als sinnvol erachtet.
Sehe ich ich das richtig oder falsch oder inwieweit ist eine FW bei einem Server sinnvoll, wenn eh alle nicht interpretierten Pakete gedropt werden?
Wie muss ich jetzt ausgehen die Portregeln definieren, um mit TLS (siehe oberen Link, 1. Beispiel: Mail senden über TLS; lokal funktioniert es; Serverseitig noch nicht getestet, aber sollte mit allen Ports auch gehen und der DNS fehler wird wohl nicht weg sein; werd ich im Verlaufe des Tages testen) mails senden zu können?
mfg
BH16