Firewall instellingen voor WinIBW

Applies to
Answer

Om via WinIBW het CBS te kunnen benaderen moet er netwerkverkeer mogelijk zijn tussen het netwerk van de klant en het netwerk van OCLC. Op beide netwerken is er meestal sprake van een of andere vorm van filtering om het eigen interne netwerk te beveiligen. Het is daarom van belang dat beide partijen weten hoe het dataverkeer tussen WinIBW en CBS verloopt en dat de eigen firewall en eigen proxy goed ingesteld worden.

Er zijn 2 scenario's mogelijk in deze:

  1. Directe verbinding tussen WinIBW en CBS
  2. Indirecte verbinding via LBS naar CBS

WinIBW-firewall.png 

Algemene werking TCP/IP netwerkverkeer

Allereerst een klein stukje over de algemene werking van TCP/IP client connecties. Applicaties (zo ook WinIBW) zullen eerst een willekeurige lokale TCP poort hoger dan 1024 uitkiezen om daarmee een verbinding op te kunnen zetten naar een ander systeem. Dit kan dus naar het CBS direct zijn maar ook indirect via het eigen LBS systeem of via een eigen interne proxy naar het CBS. Uiteindelijk zal als alles goed geconfigureerd is het dataverkeer aankomen en zal het CBS het verkeer terugsturen naar de versturende partij. Dit wordt in firewall jargon ook wel RELATED en/of ESTABLISHED verkeer genoemd en vind in de regel dus plaats op poorten hoger dan 1024.

Scenario 1: Directe verbinding tussen WinIBW en CBS

Instellen firewall
Indien men een directe verbinding tussen WinIBW en het CBS wil toestaan zal op de eigen firewall uitgaand verkeer naar cbs-nl.oclc.org met poortrange 1028-1049 toegestaan moeten worden. Indien gewenst kan men dit naar eigen inzicht limiteren tot bepaalde werkstations. Wij zullen dit proberen te vertalen naar een soort pseudo firewall code.

Pseudo firewall code voor scenario 1

Direction Protocol Source Source port(s) Destination Destination port(s) State Action
Outbound TCP Intern netwerk/WinIBW client IP's >1024 cbs-nl.oclc.org 1028-1049 Establishing ALLOW
Inbound TCP cbs-nl.oclc.org 1028-1049 Intern netwerk/WinIBW client IP's >1024 Related/Established ALLOW


Scenario 2: Indirecte verbinding via LBS naar CBS

Instellen firewall
Voor de indirecte verbinding is het van belang de firewall zo open te zetten dat verkeer van het LBS systeem richting CBS mogelijk is.

 Pseudo firewall code voor scenario 2

Direction Protocol Source Source port(s) Destination Destination port(s) State Action
Outbound TCP LBS systeem >1024 cbs-nl.oclc.org 1028-1049 Establishing ALLOW
Inbound TCP cbs-nl.oclc.org >1024 LBS machine >1024 Related/Established ALLOW

Als de firewall goed ingesteld is kan ingelogd worden in het eigen LBS systeem en kan men via SYS -> GGC doorloggen naar het CBS systeem.

 

 

Page ID
18968