Gelöst: Ports für DVB-C

[ThisGuyIsAHero]

Hallo zusammen

Ich habe eine Fritzbox 6660 Cable von Vodafone, noch mit dem OS 7.29 darauf. Gerade richte ich meinen Medienserver neu ein, auf dem Kodi installiert ist. Weil ich ganz sicher gehen will, habe ich auch eine Firewall installiert. Den Zugang zum Gerät möchte ich auf das Minimum beschränken. DVB-C soll aber natürlich funktionieren. Port 554 per tcp ist natürlich für die FB freigegeben. Das genügt aber nicht für DVB-C. Die vier Tuner streamen per UDP auf den Ports 5001-5008. Darüber hinaus werden Ports im Bereich zwischen 30000 - 60000 benötigt. Welche genau, habe ich nicht ermittelt, darum musste ich alle für die Box freigeben. Es sind einfach zu viele, das Risiko sollte sich minimieren lassen.

Unter Diagnose -> Heimnetz/FRITZ!Box-Dienste sind jede Menge Ports angegeben, die dafür in Frage kommen. Genauere Informationen über die Verwendung finden sich da aber nicht. Vermutlich wechseln die auch mal, bei einem Neustart, ich weiß es nicht. Was ich wissen will, ist, welche davon für DVB-C verwendet werden. Und wenn möglich auch die Richtung (rein/raus). Weiß das zufällig jemand oder kennt wer ein im Netz zugängliches Dokument, in dem diese Information zu finden ist?

 

[carsten_h]

Befindet sich der Medienserver (Kodi ist aber gar kein Server) innerhalb Deines Heimnetzes?
Dann mußt Du doch an der Fritzbox überhaupt nichts einstellen.

Oder willst Du von außen darauf zugreifen?

 

[ThisGuyIsAHero]

Auch, ja. Aber in lokalen Netzwerken kann es immer einen Sicherheitsbruch geben. Der Server dient auch als NAS, da liegen auch private Dateien. Ich will so wenig Angriffsfläche bieten wie möglich.

Und ich möchte einfach auch wissen, wo welche Daten fließen, ohne den Datenverkehr mitzuschneiden zu müssen. Die Portbelegung muss doch irgendwo zu finden sein. Ich kann dazu aber nichts finden.

 

[carsten_h]

Innerhalb des lokalen Netzes kannst Du mit der Fritzbox überhaupt nichts beschränken.
Dabei geht es immer nur um Verkehr von aussen nach innen.

 

[ThisGuyIsAHero]

Innerhalb des lokalen Netzes kannst Du mit der Fritzbox überhaupt nichts beschränken.
Dabei geht es immer nur um Verkehr von aussen nach innen.

Das habe ich auch gar nicht vor. Ich will den Zugang im lokalen Netzwerk auf den Medienserver beschränken. Allerdings nur soweit, dass die Fritzbox-Tuner noch herein kommen.

 

[carsten_h]

Das frage ich doch oben.
Die Tuner sind doch im lokalen Netz und jeder im lokalen Netz kann darauf zugreifen.
Im lokalen Netz kannst Du den Zugang nicht beschränken. Sollen die einzelnen Geräte in Deinem lokalen Netz nur auf den Medienserver (auch wenn Kodi nur ein Player ist ) zugreifen können und nicht auf andere Geräte?

Oder geht es Dir doch um den Zugang von aussen nach innen?

Vielleicht hat es ja jemand anderes hier verstanden, mir ist es nicht klar, was Du möchtest.

 

[ThisGuyIsAHero]

Also carsten_h, ich möchte das nicht mit dir diskutieren. Kennst du die Ports, oder nicht? Falls nicht, danke für deine Anregungen.

 

[the other]

Moinsen,
Wo hast du eine firewall installiert?
Sind die Geräte in unterschiedlichen Netzen? Vermutlich nicht, wenn dein Router die fritzbox ist.
Wenn nein, spielen Router oder Firewall keine Rolle, damit auch keine Ports in deinem Setting. Du kannst den Zugriff dann nur über den Medien Server selbst regulieren, zb Anmeldedaten. Wenn aber zb dnla streming, dann keine Anmeldedaten...

 

[ThisGuyIsAHero]

Du kannst den Zugriff dann nur über den Medien Server selbst regulieren..

Das ist richtig.

Kennst du die nötigen Ports für die DVB-C-Streams, oder weißt du, wo das vermerkt ist?

 

[the other]

Moinsen,
Aus Mangel an Kabel TV keine Ahnung zu den benötigten Ports...
Aber nochmal: dein Netzwerkaufbau ist mir noch unklar. So wie du es bisher beschrieben hast, ist die Frage nach den Ports für den rein internen Bereich völlig unnötig. Innerhalb eines einzigen Netzwerbereiches (dein LAN) wird nix geroutet, greift keine Firewall, müssen keine Ports geöffnet werden.

 

[ThisGuyIsAHero]

Moinsen,
Aus Mangel an Kabel TV keine Ahnung zu den benötigten Ports...

Schade.

Aber nochmal: dein Netzwerkaufbau ist mir noch unklar. So wie du es bisher beschrieben hast, ist die Frage nach den Ports für den rein internen Bereich völlig unnötig. Innerhalb eines einzigen Netzwerbereiches (dein LAN) wird nix geroutet, greift keine Firewall, müssen keine Ports geöffnet werden.

Doch. Nftables blockiert im Idealfall alles, was nicht explizit gestattet ist, sofern man ein bisschen Ahnung davon hat, wie eine Firewall funktioniert und wie man sie einrichtet. Das kann ich, danke, aber dazu brauche ich keine Auskunft.

Falls du nicht verstehst, warum man eine Firewall auf einem Rechner installiert, oder wie Firewalls funktionieren, eröffne doch bitte ein eigenes Thema. Dankeschön.

 

[carsten_h]

Ach jetzt habe ich das verstanden. Das hatte ich irgendwie überlesen, dass Du die Firewall wohl auf Deinem Server installiert hast.
Wenn man auf einem Server durch die gestarteten Services aber nur bestimmte Ports nach aussen freigibt, muss man dann zusätzlich andere, die ja gar nicht vom Server bedient werden, sperren? Als Beispiel ist nur Apache mit dem Port 443 gestartet. Muss man dann den Port 80 sperren, obwohl der Server ja gar nicht darauf reagiert?

 

[blurrrr]

Ich hab zwar von (Cable-)TV keien Ahnung, aber ich werfe einfach mal 2 Dinge in den Raum:

1) Paketmitschnitt direkt unter Kodi
... und falls das nicht drin sein sollte (warum auch immer) ...
2) Paketmitschnitt am Rechner (Portmirror am managed Switch, sofern vorhanden)

Alternativ dazu, ggf. einfach mal ein Ticket bei AVM aufmachen. Denke aber, dass Du über den Paketmitschnitt auch in der Lage sein wirst, die Bereiche selbst heraus zu finden (wobei es via AVM-Ticket wohl verbindlicher sein dürfte)

 

[the other]

Moinsen,
danke für deine Antwort @ThisGuyIsAHero!

Ich fragte, weil nicht klar war, welche Art von Firewall du meintest. Das war mit

habe ich auch eine Firewall installiert

nicht ganz klar für mich. Ist ja jetzt nach einem 2. Nachfragen von dir beantwortet worden und erklärt auch dein Thema...

Zu

Falls du nicht verstehst, warum man eine Firewall auf einem Rechner installiert, oder wie Firewalls funktionieren, eröffne doch bitte ein eigenes Thema. Dankeschön.

fällt mir nun leider keine konstruktive Antwort ein. Ich vermerke deine IMHO durchaus zwischen den Zeilen versteckte Mitteilung aber gerne und denke, dass ich dir bei einer solchen Attitüde auch nicht wirklich zukünftig helfen möchte. Aus meiner Sicht (und wir kennen uns ja nicht) war meine Rückfrage durchaus sinnvoll. Daraus dann o.g. zu schließen, finde ich doch etwas...naja.
Viel Erfolg noch!

 

[ThisGuyIsAHero]

Ich vermerke deine IMHO durchaus zwischen den Zeilen versteckte Mitteilung aber gerne und denke, dass ich dir bei einer solchen Attitüde auch nicht wirklich zukünftig helfen möchte.

Diese Attitüde ist vielleicht nicht angemessen gewesen. Ich hätte entspannter reagieren können. Persönliche Dinge, es war einfach ein schlechter Tag. Dazu kommen negative Erfahrungen in anderen Foren, wo dir eben auf deine Hilfeanfragen auch nicht geantwortet wird, dein Anliegen aber ständig hinterfragt wird, und man dir am Ende das Gefühl gibt, dass man Hilfe nur dann bekommen darf, wenn man sie gar nicht braucht. Dieses Gefühl hatte ich. Immerhin hatte ich nach den Ports gefragt und weder du noch carsten_h konnten mir diesbezüglich weiterhelfen. Dass du vermutlich nur neugierig warst, kam mir nicht in den Sinn.

Wir haben einfach einen schlechten Zeitpunkt erwischt und sollten damit wie Erwachsene umgehen, finde ich. Ich schlage vor, dass ich mich für die Attitüde entschuldige und du mir noch eine Chance gibst. Was meinst du?

 

[ThisGuyIsAHero]

Ich hab zwar von (Cable-)TV keien Ahnung, aber ich werfe einfach mal 2 Dinge in den Raum:

1) Paketmitschnitt direkt unter Kodi
... und falls das nicht drin sein sollte (warum auch immer) ...
2) Paketmitschnitt am Rechner (Portmirror am managed Switch, sofern vorhanden)

Das wollte ich eigentlich vermeiden. Die Ports könnten sich auch z. B. nach einem Neustart ändern. Ich müsste längere Zeit monitoren, hatte gehofft, hier könnte man mir helfen.

Alternativ dazu, ggf. einfach mal ein Ticket bei AVM aufmachen.

Das habe ich vor zwei Wochen wegen einer anderen Sache getan. Da wollte/konnte man mir wegen des älteren OS nicht helfen und riet mir zu einem Update. Das Update kann ich als Kunde von Vodafone aber nicht selbst initiieren, bin zum Warten verdammt. Weil ich AVM nicht schon wieder vergeblich bemühen wollte, habe ich es erstmal hier versucht.

Ich denke, dass mir nur bleibt, AVM nochmal zu kontaktieren. Zumindest sollten die wissen, wo ich die Information nachlesen kann.

 

[Boxenluder]

Vielleicht helfen dir die Angaben eines anderen Server-Beispiels in Verbindung mit den AVM-DVB-C Tunern.

 

[ThisGuyIsAHero]

Vielleicht helfen dir die Angaben eines anderen Server-Beispiels in Verbindung mit den AVM-DVB-C Tunern.

Ich denke nicht. Kurzzeitig lief es mit den Ports 554 (tcp) und 5001-5008 + 47700-47800 (udp). Dann aber brachen die Streams ab, irgendein nötiger Datenverkehr wurde blockiert. Der muss zwischen 30000 und 60000 (udp) liegen. Das wurde so in anderen Foren schon erwähnt. Aber eben nie ganz genau, um welche Ports es sich handelt.

Da in dem Screenshot sehe ich nur das GDM-Network in dem Portbereich. Das kann es nicht sein.

 

[blurrrr]

Dreh doch einfach das Konstrukt um...

Alles verboten, was nicht explizit erlaubt ist -> Alles erlaubt, was nicht explizit verboten ist.

Die Kommunikation - wenn ich das richtig verstehe - läuft diesbezüglich ja eh nur zwischen Fritzbox und Kodi (für alles andere kannst Du ja noch andere Regeln erstellen), von daher... einfach Schotten dicht für die wichtigen (und ggf. unwichtigen) Dinge, bei den meisten anderen Ports wird eh kein Dienst dahinter sitzen und so haste halt ein bisschen "Freilauf" (wenn man das so nennen möchte), aber die wichtigen Dinge noch immer zu.

Ja, ich weiss, ist nicht schön (hätte ich auch keine Lust drauf), aber wäre zumindestens eine Möglichkeit (inkl. der Abschottung div. Dienste).

Ich denke, dass mir nur bleibt, AVM nochmal zu kontaktieren. Zumindest sollten die wissen, wo ich die Information nachlesen kann.

Das wäre meiner Meinung nach das sinnvollste und selbst WENN es unterschiedliche Ports zu Version(alt) und Version(neu) gibt, dann kann man Dir das ja auch einfach sagen (und da würde ich auch drauf bestehen).

Btw...

Dann aber brachen die Streams ab, irgendein nötiger Datenverkehr wurde blockiert. Der muss zwischen 30000 und 60000 (udp) liegen.

... warum gibst Du nicht einfach das komplette Segment frei? Hast Du da noch irgendwas anderes "wichtiges" laufen, dass Du das nicht machen möchtest? (und nein, die Frage soll jetzt nicht komisch kommen, die ist schon ernst gemeint )

 

[Boxenluder]

Unter Diagnose -> Heimnetz/FRITZ!Box-Dienste sind jede Menge Ports angegeben, die dafür in Frage kommen.

Dem folgend könnte das Erstellen von einer Supportdatei ggfs. erweitert und der Suche darin nach den Ports Aufschluss über den internen Dienst bzw. Ziel<->Quelle ergeben. Just my 2 Cent als Laie.