Ich habe hier ein lokales Netz, in dem läuft ein RaspberryPi mit Debian Bookworm.
Auf dem Pi sind Nextcloud, eine Monitoring-Software und Gerbera als DLNA-Server.

Folgende Regeln habe ich in UFW:

[ 1] SSH ALLOW IN lokalesnetz/24 # Local SSH
[ 2] 443 ALLOW IN Anywhere # HTTPS for Nextcloud
[ 3] 80/tcp ALLOW IN Anywhere # HTTP for Nextcloud
[ 4] 8888 ALLOW IN lokalesnetz/24 # Local RpiMonitor
[ 5] 49152 ALLOW IN lokalesnetz/24 # Local Gerbera GUI

Port 49152 ist die Weboberfläche von Gerbera, 8888 von der Monitoring-Software.

Default ist:
outgoing allow all, incoming deny all

Und jetzt meine Frage:
Warum kann ich im netzwerk auf den DLNA zugreifen? VLC findet ihn (ok... das ist outgoing, weil der DLNA sich announced) und ich kann auf die Inhalte zugreifen (spätestens das Abspielen/Anzeigen einer Datei sollte dann doch incoming sein, oder?).
Weiterhin kann ich über die FritzBox auf das Kabelfernsehen zugreifen.

Ich bin etwas verwirrt, dass hier gerade DLNA ohne Port 1900/udp funktioniert.

EDIT: Die beiden v6 Regeln brauche ich auch nicht und habe ich entfernt... ändert nichts am meiner Verwunderung.

ufw überhaupt aktiv? Was sagt denn
sudo ufw status?

Ansonsten mit
sudo ufw enable
aktivieren.

Ja, ufw ist aktiv.

# ufw status
Status: active

# systemctl status ufw
active (exited)

Wenn ufw nicht aktiv ist kriegt man die Regeln auch nicht aufgelistet, oder?

Ich kann mir nur vorstellen, dass es daran liegt, dass outgoing default auf allow steht und "die Streamanfrage" dann als rensponse auf das Announcing auf 1900/udp erlaubt wird.
Aber ich weiß es nicht. Vielleicht kann das jemand bestätigen oder widerlegen?

ist normal weil broadcast (outgoing). https://www.cherryservers.com/blog/how-to-configure-ubuntu-firewall-with-ufw#ufw-default-firewall-policies
startet denn der stream?

Ja, der Stream startet. Der DLNA ist voll funktionsfähig.

Was soll ich mit deinem Link?

der link war für deine geforderte bestätigung.
ich behaupte jetzt einfach mal die firewall lässt den kram rein weil der zielport im header des udp paketes steht.
https://de.wikipedia.org/wiki/User_Datagram_Protocol#UDP-Datagramm
incoming wird durchgelassen weil die anfrage von deinem pi kam.
das gehört zu den grundlagen meiner ausbildung und ich musste es erst googlen :redface:

Hmm danke.
Ich habe inzwischen auch raus, dass Gerbera sich für die weitere Kommunikation einen freien Port >= 41592 wählt. Da auf 41592 ja des Webfrontend ist müsste ich dann entsprechend Traffic auf 41593 oder höher sehen, oder?

Naja. Prinzipiell ist es ja nicht verwerflich. Ich bin zwar am überlegen, ob ich noch default deny outgoing mache und dann noch einen Port nach oben öffne, aber einen Sicherheitsgewinn dürfte das ja nicht darstellen.

laut deren howto kannst du einen festen port definieren:
https://docs.gerbera.io/en/stable/run.html#network-setup

Ja, der Port, den Gerbera (auch?) für das Frontend benutzt.

hast du das ganze proxy und nginx gedöns auch installiert?
wenn ja wie ist nginx konfiguriert?

Es läuft ein Apache, ein PHP, ein MariaDB für die Nextcloud, Gerbera und rpimonitor (auf 8888...). Ich glaube, die letzten beiden kommen ohne Apache aus. Dazu Docker mit Imaginary. Kein Nginx. Und Reverse Proxy... Da muss ich passen. Ich kann mich nicht erinnern, Apache als solchen konfiguriert zu haben. Aber die autodiscover Dinge funktionieren... Keine Ahnung, ob das dafür spricht.
Achja und redis und APCu laufen, aber das sind ja PHP-Module(?).

So wie ich das lese, läuft bei Gerbera alles über Standard-HTTP, d. h. wenn dein UI und der Mediatransport über einen Port gekämmt werden (und sich z. B. über die Pfade unterscheiden), dann ist doch mit der Regel alles erklärt.

Ja. Ich vermute auch. Das musste mir erstmal bewusst werden :). Ich war halt verwirrt.