Was bedeuten diese „ALG“-Einstellungen auf meinem Router und was ist „ALG“?

Question

„ALG“ steht hierbei für „Application-layer Gateway“. Gemeint sind damit Firewall-Module, die mit einigen Eigenheiten dieser Protokolle zurechtkommen.

Bei einer Stateful Firewall ist der „Status“ normalerweise nur an Adressen und Portnummern gebunden. Das heißt, Sie senden ein Paket von Port X an Port Y des Servers und die Firewall lässt automatisch den Rückweg zu. Einige Protokolle verwenden jedochzusätzlichVerbindungen – FTP im „aktiven“ Modus sorgt beispielsweise dafür, dass der Server eine Verbindung zurück herstelltZuSie auf einem separaten Port. Die Firewall benötigt also ein ALG-Modul, das FTP-Befehle überwacht und automatisch die erforderlichen Regeln hinzufügt. (Dazu gehört auch die automatische Portweiterleitung, wenn NAT verwendet wird.)
Firewalls mit aktiviertem NAT übersetzen IP-Adressen und TCP/UDP-Ports in den entsprechenden Headern. Einige Protokolle senden jedoch auch die Adresse des Clients oder ServersinnenPakete selbst – ja, das macht beispielsweise dasselbe FTP (im aktiven Modus sendet der Client seine eigene Adresse, im passiven Modus der Server). Ein ALG versucht, diese FTP-Befehle entsprechend umzuschreiben.

Wenn das entsprechende ALG nicht vorhanden ist, kommt es normalerweise dazu, dass bestimmte Verbindungen einfach hängen bleiben. Sie können sich beispielsweise beim FTP-Server anmelden, aber beim Versuch, die Dateiliste abzurufen, tritt eine Zeitüberschreitung auf.

(Ja, die meisten davon funktionieren nicht mehr, wenn die Verschlüsselung aktiviert wird, da das ALG nicht mehr hineinschauen kann. Man könnte sagen, ALGs sind Werkzeuge zum Verschleiern von Problemen.)

Was Sie deaktivieren können: Das hängt wirklich davon ab, welche Protokolle Sie verwenden und ob das ALG Ihres Routers eine akzeptable Qualität hat. (Es gab einige Modelle, die Verbindungen komplett unterbrachen, anstatt sie zu „reparieren“ …) Das Deaktivieren der H.323-Unterstützung (ein altes VoIP-Protokoll) sollte beispielsweise kein Problem darstellen.

Answer 1

„ALG“ steht hierbei für „Application-layer Gateway“. Gemeint sind damit Firewall-Module, die mit einigen Eigenheiten dieser Protokolle zurechtkommen.

Bei einer Stateful Firewall ist der „Status“ normalerweise nur an Adressen und Portnummern gebunden. Das heißt, Sie senden ein Paket von Port X an Port Y des Servers und die Firewall lässt automatisch den Rückweg zu. Einige Protokolle verwenden jedochzusätzlichVerbindungen – FTP im „aktiven“ Modus sorgt beispielsweise dafür, dass der Server eine Verbindung zurück herstelltZuSie auf einem separaten Port. Die Firewall benötigt also ein ALG-Modul, das FTP-Befehle überwacht und automatisch die erforderlichen Regeln hinzufügt. (Dazu gehört auch die automatische Portweiterleitung, wenn NAT verwendet wird.)
Firewalls mit aktiviertem NAT übersetzen IP-Adressen und TCP/UDP-Ports in den entsprechenden Headern. Einige Protokolle senden jedoch auch die Adresse des Clients oder ServersinnenPakete selbst – ja, das macht beispielsweise dasselbe FTP (im aktiven Modus sendet der Client seine eigene Adresse, im passiven Modus der Server). Ein ALG versucht, diese FTP-Befehle entsprechend umzuschreiben.

Wenn das entsprechende ALG nicht vorhanden ist, kommt es normalerweise dazu, dass bestimmte Verbindungen einfach hängen bleiben. Sie können sich beispielsweise beim FTP-Server anmelden, aber beim Versuch, die Dateiliste abzurufen, tritt eine Zeitüberschreitung auf.

(Ja, die meisten davon funktionieren nicht mehr, wenn die Verschlüsselung aktiviert wird, da das ALG nicht mehr hineinschauen kann. Man könnte sagen, ALGs sind Werkzeuge zum Verschleiern von Problemen.)

Was Sie deaktivieren können: Das hängt wirklich davon ab, welche Protokolle Sie verwenden und ob das ALG Ihres Routers eine akzeptable Qualität hat. (Es gab einige Modelle, die Verbindungen komplett unterbrachen, anstatt sie zu „reparieren“ …) Das Deaktivieren der H.323-Unterstützung (ein altes VoIP-Protokoll) sollte beispielsweise kein Problem darstellen.

Was bedeuten diese „ALG“-Einstellungen auf meinem Router und was ist „ALG“?

Antwort1

verwandte Informationen