Hintergründe zur Clinentseitigen Konfiguration der Firewall und zu CGN (Carrier Grade Nat, CG-NAT).

Eine Firewall dient zum Schutz des Gerätes und des hinterliegenden Netzwerkes.

Prinzipiell sollten alle eingehenden Ports (Verbindungen) geblockt werden und nur tatsächlich benötigte Verbindungen freigeschaltet werden. Jedenfalls müssen related und established Pakete eingehend angenommen bzw. weitergeleitet werden.

Ausgehend können theoretisch alle Ports offen sein. Praktisch macht es jedoch Sinn bestimmte Ports und IP Adressen auch ausgehend zu sperren um bestimmte Pakete nicht nach Aussen durchzulassen (z.B. rein interner Traffic).

Hierbei handelt es sich um ein sehr komplexes Verfahren um IPv4 Adressen einzusparen (bei grossen Providern mittlerweile ein Engpass), bei dem ein verschachtelter Übersetzungsmechanismus zwischen IP Paketen und Ports zum Einsatz kommt.

Ein korrekt konfiguriertes CGN sollte recht wenig Probleme machen. Jedoch kann es in bestimmten Fällen (WebRTC Protokoll) zu Verbindungsfehlern kommen. In diesem Fall ist die einfachste Lösung das CGN zu deaktivieren.

Beim Auftreten von Problemen im Zusammenhang mit WebRTC funktioniert oft IPv6 nicht korrekt, da die Pakete nicht richtig geroutet bzw. übersetzt werden.