obey-robots.txt
Onderwerp bekijken
Info en vragen over de verschillende Ziggo modems en WiFi, poorten, portforwarding en de firewall instellingen. Modems: Horizon Mediabox GW-7400, Cisco EPC 3925 WiFi, Cisco EPC 3928 WiFi ,Ubee EVM 3200, Ubee EVW 3200 Wifi (Ambit EVW320B), Ubee EVW 321B Wifi, Ubee EVW 3226 Wifi. En de oudere modems: Motorola SBV 5100e, SBV 5101e, SBV 5120e, SBV 5121e, Arris CM450B, TM401B, TM501B, TM702B, Ubee EVM 320B, Cisco EPC 3212.
 Onderwerp afdrukken
Bug in Ubee firewall?
Black Tiger
Vandaag liep ik tegen een bijzonder probleem aan met iemand.
Ik kon via imap op onze server inloggen, hij niet.

In eerste instantie werd het zoeken, want desbetreffende kon wel van Gmail en bij een ander account gebruik maken van imap, zei het met SSL.

Aangezien imap normaliter op poort 143 werkt voor inkomende mail ben ik gaan kijken in de Ubee, die zijn firewall op "highest" had staan.
Daarin stond als toegestaan poort 25, 110, 143, 465, 587 en 993.

Bij het testen bleek echter continue het mailprogramma aangeven, eerst dat hij de instellingen niet kon vinden, later continue usernaam of password error.
Dat was niet van toepassing, want webmail werkte met exact diezelfde gegevens, en ik had ook nog een testaccount aangemaakt met hele simpele login. Ook dat werkte bij hem niet.
Uit de logfiles van de server bleek dat er niet eens een verbinding werd opgezet naar de server toe.

Nadat de firewall in de Ubee uitgezet werd, werkte het wel, gegevens klopten dus. Het werkt ook met de firewall op medium.
Waarom het niet werkt met de firewall op high, terwijl poort 143 verkeer wel is toegestaan, lijkt ij een raadsel, ik heb dus het idee dat het om een bug gaat in de Ubee firewall.
Greetings, Black Tiger
 
briolet
Als ik de firewall op high zet en dan in het verbindingslog met Ziggo kijk, zie ik:

Quote

WROTE Dec 20 23:38:13.241 [kCFStreamSocketSecurityLevelTLSv1_0] -- host:smtp.ziggo.nl -- port:587 -- socket:0x600001aadd40 -- thread:0x60000347ec00
AUTH PLAIN (*** 64 bytes hidden ***)

READ Dec 20 23:38:13.286 [kCFStreamSocketSecurityLevelTLSv1_0] -- host:smtp.ziggo.nl -- port:587 -- socket:0x600001aadd40 -- thread:0x60000347ec00
235 Authentication succeeded

READ Dec 20 23:41:35.925 [kCFStreamSocketSecurityLevelTLSv1_0] -- host:imap.ziggo.nl -- port:993 -- socket:0x6080016a6c00 -- thread:0x60000326f840
* OK Still here


In elk geval geen gekke zaken. Ik heb 3 externe IMAP accounts en 1 intern. Geen van de 4 gaat gek doen met de firewall op high. Maar IMAP loopt bij mij via poort 993 en geen 143.
 
briolet
Toevoeging:

Hoe kom je erbij dat poort 143 bij de toegestane poorten hoort. Als ik in het Ubee-lijstje kijk, dan wordt alleen poort 933 voor IMAP toegestaan en staat 143 er niet bij.

Op zich terecht omdat 143 niet voor een beveiligde verbinding bedoeld is, dus in een High stand moet je die ook blokkeren.

Nu gebruikte één van mijn mailproviders wel een ssl verbinding over poort 143. En toen dat certificaat afliep en ik ze erop aansprak, bleken ze niet eens te weten dat hun pakket een generiek certificaat voor die poort kon gebruiken.
24 uur later hebben ze poort 993 geopend met een eigen certificaat.
 
Black Tiger

Quote

In elk geval geen gekke zaken.

Er stond ook duidelijk in mijn verhaal dat andere imap providers met poort 993 wel werkten. Wink

Quote

Op zich terecht omdat 143 niet voor een beveiligde verbinding bedoeld is, dus in een High stand moet je die ook blokkeren.

Nee dat lijkt me niet, ook in hoge beveiliging zet je geen default veel gebruikte poorten dicht.
Dan zou je o.a. ook poort 110 moet je dan dicht zetten want dat is onbeveiligd pop3 en 587 draait ook vaan onbeveiligd.
Imap draait standaard op poort 143 en hoort dus ook gewoon open te staan.

Maarja als jij hem niet er tussen hebt staan als jij de firewall op high hebt staan....
Misschien zat er dan verschil in firmware tussen jouw Ubee en die wat ik gezien heb want ik heb echt poort 143 gezien, TCP 143 stond erbij, heb er speciaal twee keer specifiek naar gekeken.

Of er moet een hickup zijn geweest, waardoor het wel getoond werd, maar dat het feitelijk niet aanwezig was en dan is het een bug.
Greetings, Black Tiger
 
briolet

Quote

Black Tiger schreef:

Dan zou je o.a. ook poort 110 moet je dan dicht zetten want dat is onbeveiligd pop3 en 587 draait ook vaan onbeveiligd.


Blijkbaar was dat ook de oorspronkelijke mening van ziggo. De oorspronkelijke firewall instelling toen deze High setting in firmware 9.9.5007 ingevoerd werd zag er zo uit:

Firewall_Basic_Detaill_zps7b88563b

Met 9.9.5011 is er toch poort 587 toegevoegd en pas met 9.9.5012 is poort 110 toegevoegd aan de high instelling. Dus blijkbaar is men steeds toleranter geworden met de 'high' beveiliging. En sommige mail providers zetten ook via poort 110 een ssl beveiligde verbinding op.

Dus het kan zijn dat poort 143 er toch bijgekomen is. Alleen staat hij niet in mijn lijstje op de Ubee 3200. (Firmware 9.9.6004, volgens mij is dat de laatste). Wel vreemd dat jij hem wel in de lijst ziet. Was dat in de Ubee 3210?

Eigenlijk moeten poorten 110 en 143 niet standaard geblokkeerd worden, maar alleen als er gewoon verkeer overheen gaan en ssl verkeer moet blijven kunnen. Dat is dan een intelligente firewall. De Ubee heeft wel meer van die 'NAT ALG' instellingen bij gateway opties, dus dit had er ook bij gemoeten.
Gewijzigd door briolet op 21-12-2014 10:02
 
Black Tiger
Ik heb nog geen ssl gezien op poort 110, maar het zou best kunnen wat je zegt. Er verandert zoveel op dat gebied en niet iedereen houdt zich aan RFC's.

Als er in 9.i9.5012 pas poort 110 is toegevoegd, dan zou je toch nog gelijk hebben met dat "high" beleid. Misschien hebben ze deze toegevoegd omdat ze teveel klachten kregen dat mensen hun mail niet konden ophalen.

Om eerlijk te zijn, ik heb er niet meer op gelet welke Ubee het was, volgens mij geen 3210 maar een andere versie, helaas ben ik vergeten welke.

Overigens is het wel apart dat die Ubee modems zo'n firewall er in hebben zitten. De Cisco's hebben dat niet. Wel iets van beveiliging maar geen firewall op deze manier. Er wordt bij Ubee in elk geval wel over nagedacht.
Greetings, Black Tiger
 
briolet
Alleen erger ik me aan deze "Prefixed" beveiliging. Als je één poort nodig hebt, zoals ik poort 5000 voor mijn nas, dan blijft er niets anders over dan de low setting te gebruiken.

Ik had liever een checklist gehad waar je veelgebruikte poorten kunt openen en de rest op slot laten.

De Ubee heeft ook een 'port-filter' optie. Daar kun je in principe hetzelfde mee bereiken. Met dien verstande dat je 10 poort ranges op slot kunt zetten. Alleen dat zijn te weinig ranges om zinvol een paar poorten op open te houden. Ik had daar liever gehad: alles op slot en alleen de aangegeven poorten open.
 
Black Tiger
Ja exact, dat miste ik ook. Was al aan het zoeken naar zo'n optie en kon hem niet vinden.
Inderdaad een gemis. Het is beter wat jij zegt, of custom aanpassingen kunnen maken, ofwel een optie om alles dicht te knallen en dan custom via port ranges poorten open zetten.

Maar staat dan standaard alles open als je die firewall op low hebt? Bij de Cisco staat bij mijn weten alles dicht, behalve wat je forward.
Da's echter alleen van buiten naar binnen.

Als ik naar Ubee's high setting kijkt lijkt dat meer op uitgaand verkeer wat toegestaan wordt. Of mis ik iets?
Greetings, Black Tiger
 
briolet
Uitgaand staat alles inderdaad open bij mij. Alleen de NAT firewall houdt het ingaande verkeer tegen.

Daarom heb ik via de port-filter optie ook nog veel lage ranges dicht gezet. Maar, met slecht 10 ranges te blokkeren, kom je niet ver als je ook het nodige open wilt houden.

Maar niet getreurd, alle apparaten die er toe doen hebben nog een eigen firewall.
 
Black Tiger
Nee oke, maar ik vraag me dan het nut af van die high setting in die firewall, juist omdat het hoofdzakelijk om poorten gaat die je uitgaand gebruikt.
Alhoewel je ze ook inkomend zou kunnen gebruiken, maar dan moet je in de Ubee ook alsnog een forward maken of niet?
Greetings, Black Tiger
 
Deze website gebruikt Awin affiliate links en Google advertenties, om deze service voor iedereen gratis te houden.
Spring naar forum:
Nieuw onderwerp Antwoorden
Gebruik BBcode of HTML om naar; 'Bug in Ubee firewall?', te verwijzen!
BBcode:
HTML:
Vergelijkbare onderwerpen
Onderwerp Forum         Laatste bericht
Ubee EV|M3200 of 3226 wifi? Ziggo kabel modems: Ubee, Cisco, Motorola, Arris, etc. : 2 19-10-2017
Ubee modem icm ip camera probleem Ziggo kabel modems: Ubee, Cisco, Motorola, Arris, etc. : 23 30-08-2017
Ziggo ubee 3200 Ziggo kabel modems: Ubee, Cisco, Motorola, Arris, etc. : 5 22-10-2016
Automatische reset van Ubee EVW321B Klacht over Ziggo : 8 01-10-2016
Ubee modem gebruiken als router Ziggo kabel modems: Ubee, Cisco, Motorola, Arris, etc. : 17 03-06-2016
Advertentie