Neben ICMP-Meldungen verrät auch das Verhalten bei TCP- und UDP-Verbindungen, ob sich an der angesprochenen Adresse ein Rechner befindet. Je nach umgebendem Netzwerk kann es sinnvoll sein, wenn TCP- und UDP-Pakete einfach verworfen werden, anstatt mit einem TCP-Reset bzw. einer ICMP-Meldung (port unreachable) zu antworten, wenn kein Listener für den jeweiligen Port existiert. Das jeweils gewünschte Verhalten kann im Gerät eingestellt werden.
Anmerkung: Werden Ports ohne Listener versteckt, so ergibt sich auf maskierten Verbindungen das Problem, dass der “authenticate”- bzw. “ident”-Dienst nicht mehr funktioniert (bzw. nicht mehr korrekt abgelehnt wird). Der entsprechende Port kann daher gesondert behandelt werden (Authentifizierungs-Port tarnen).
Mögliche Einstellungen sind:
- aus: Alle Ports sind geschlossen und TCP-Pakete werden mit einem TCP-Reset beantwortet
- immer: Alle Ports sind versteckt und TCP-Pakete werden stillschweigend verworfen.
- WAN: Auf der WAN-Seite sind alle Ports versteckt und auf der LAN-Seite geschlossen
- Default-Route: Die Ports sind auf der Default-Route (i.d.R. Internet) versteckt und auf allen anderen Routen geschlossen
Anmerkung: Für die Auswahl der “Default-Routen” gelten hier die gleichen Hinweise wie bei Sitzungswiederherstellung.