[OT] smerovani UDP paketu

Pavel Kořenský pavel.korensky na dator3.cz
Úterý Březen 11 22:21:57 CET 2025 

Zdravím,

možná budu opakovat notoricky známou věc, ale přesto.

1. Switch je zařízení, které pracuje na 2. vrstvě. Určující věcí pro to 
co a kam switch posílá je MAC adresa.
2. UDP je protokol pracující na třetí vrstvě a určující věcí pro to co a 
kam se posílá je IP adresa.

Ergo, buď ten velký switch není jenom switch, ale i router (3. vrstva) a 
může být problém tam. Nebo je ten switch pouze switch a v tom případě 
nerozlišuje mezi TCP a UDP.
Pokud UDP někde nechodí, tak podle mých celoživotních zkušeností je 
problém někde na firewallu. Zejména tedy ve velkých sítích. Často to 
vzniká tím, že v soupisu pravidel má network admin na konci "Deny All" a 
v pravidlech před tím povoluje jen TCP. Nebo má nějakou službu 
definovanou jako "TCP only". Nebo napíše pravidlo tak, že sice zahrnuje 
UDP i TCP, ale platí jen jedním směrem a zapomíná na to, že zrovna UDP 
je "connection-less" takže firewall si fakt nedá dohromady to, že když 
pravidlo platí jedním směrem, tak má platit i opačně. V tom se u moderní 
"statefull" firewallů často chybuje. Admin napíše pravidlo, správně 
nastaví povolení TCP i UDP, pomocí telnetu na cílovou adresu ověří, že 
pravidlo funguje. Jenže už mu nedocvakne, že pro TCP si ten firewall sám 
doplní, že komunikaci má povolit obousměrně, ale pro UDP nikoli.
Tahle chyba se dá celkem snadno odhalit podle logu na firewallu, když 
zapneme logování zařezávaných packetů.Pokud tam vidíme, že firewall 
pustil UDP jedním směrem, ale nepustil odpověď zpět, tak jsou špatně 
pravidla. Pokud to firewall pouští z obou stran, bývá chyba na koncovém 
bodu, což je u Windows ten jejich interní firewall a u Linuxu iptables 
nebo nějaký ekvivalent.

Zdraví PavelK

Dne 11.03.2025 v 16:20 Jaroslav Buchta napsal(a):
> Narazil jsem zase na problem s UDP, do switche (velkeho, asi 
> managovatelneho, typ mohu zjistit) v jedne velke firme je pripojena 
> kamera a PC s Win11. Kdyz tam jsem, pripojuju se notebookem, vsechno 
> ma pevne adresy, zadne DHCP (to muze byt 1. pricina problemu? )
>
> UDP nekdy prochazi, nekdy ne, jedna se o prenos nejakych malych dat z 
> kamery do PC. Treba do notebooku mi to chodilo cely pulden vzorove, do 
> PC pak nic, zkousel jsem to i hercules terminalem, z PC do NTB to 
> chodilo spolehlive, obracene jen nekdy, mozna kdyz jsem neco odeslal 
> obracene.
>
> Skoro se mi zda, ze to nejak blokuje ten switch, je to mozne? Jak 
> vlastne urci, kam to posilat? Firewall jsem zkousel nakonfigurovat i 
> vypnout, tim to asi nebude. Nebo je nejaka skryta zakernost ve Win11 ? 
> Jinde tam ty aplickace chodi na Win10 a nebyl s tim problem.
>
> _______________________________________________
> HW-list mailing list  -  sponsored by www.HW.cz
> Hw-list na list.hw.cz
> http://list.hw.cz/mailman/listinfo/hw-list

Další informace o konferenci Hw-list