• Hallo liebe Userinnen und User,

    nach bereits längeren Planungen und Vorbereitungen sind wir nun von vBulletin auf Xenforo umgestiegen. Die Umstellung musste leider aufgrund der Serverprobleme der letzten Tage notgedrungen vorverlegt werden. Das neue Forum ist soweit voll funktionsfähig, allerdings sind noch nicht alle der gewohnten Funktionen vorhanden. Nach Möglichkeit werden wir sie in den nächsten Wochen nachrüsten. Dafür sollte es nun einige der Probleme lösen, die wir in den letzten Tagen, Wochen und Monaten hatten. Auch der Server ist nun potenter als bei unserem alten Hoster, wodurch wir nun langfristig den Tank mit Bytes vollgetankt haben.

    Anfangs mag die neue Boardsoftware etwas ungewohnt sein, aber man findet sich recht schnell ein. Wir wissen, dass ihr alle Gewohnheitstiere seid, aber gebt dem neuen Board eine Chance.
    Sollte etwas der neuen oder auch gewohnten Funktionen unklar sein, könnt ihr den "Wo issn da der Button zu"-Thread im Feedback nutzen. Bugs meldet ihr bitte im Bugtracker, es wird sicher welche geben die uns noch nicht aufgefallen sind. Ich werde das dann versuchen, halbwegs im Startbeitrag übersichtlich zu halten, was an Arbeit noch aussteht.

    Neu ist, dass die Boardsoftware deutlich besser für Mobiltelefone und diverse Endgeräte geeignet ist und nun auch im mobilen Style alle Funktionen verfügbar sind. Am Desktop findet ihr oben rechts sowohl den Umschalter zwischen hellem und dunklem Style. Am Handy ist der Hell-/Dunkelschalter am Ende der Seite. Damit sollte zukünftig jeder sein Board so konfigurieren können, wie es ihm am liebsten ist.


    Die restlichen Funktionen sollten eigentlich soweit wie gewohnt funktionieren. Einfach mal ein wenig damit spielen oder bei Unklarheiten im Thread nachfragen. Viel Spaß im ngb 2.0.

Frage zu Ports

Hartman

gesperrt

Registriert
18 Feb. 2018
Beiträge
63
  • Thread Starter Thread Starter
  • #61
Etwas verwirrt mich momentan:

Wenn ich eine Mail schreibe im Browser, dann geht doch das nicht durch Port 80/443 sodern 25?

Ich habe gelesen, dass man FTP Protokoll tunneln kann mit Port 80/http. Das hat mich wieder aus dem Konzept gebracht..
https://de.wikipedia.org/wiki/Tunnel_(Rechnernetz)

Noch was anderes: Wenn ich einen Proxy benutze, dann hat der immer neben der IP noch die Port angabe. Heisst das, wenn ich einen Proxy verwenden will f;r eine Applikations-protokoll bspw FTP muss ich dann einen Proxy nehemen mit Port 21 und muss man dann allen Protokollen einen Proxy seperat des jeweilligen Ports zuordnen?

Dann gibt es Proxies mit komischen Ports wie bspw mit 25000...Das verstehe ich nicht.

Wie unterscheidet sich die Handhabung, wenn man einen Proxy auf einem Client einstellt oder auf dem Browser (firefox)?
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Wenn ich eine Mail schreibe im Browser, dann geht doch das nicht durch Port 80/443 sodern 25?
Nein, außer dein Browser ist ein Mail-Client. Webmail geht über Port 80 und die Software, die auf dem Server läuft, schickt das dann an Port 25.

Ich habe gelesen, dass man FTP Protokoll tunneln kann mit Port 80/http. Das hat mich wieder aus dem Konzept gebracht..
https://de.wikipedia.org/wiki/Tunnel_(Rechnernetz)
Du kannst jeden beliebigen Service auf jeden beliebigen Port legen. Und du kannst natürlich auch einen Proxy auf Port 80 legen und darüber dann tunneln.

Noch was anderes: Wenn ich einen Proxy benutze, dann hat der immer neben der IP noch die Port angabe. Heisst das, wenn ich einen Proxy verwenden will f;r eine Applikations-protokoll bspw FTP muss ich dann einen Proxy nehemen mit Port 21 und muss man dann allen Protokollen einen Proxy seperat des jeweilligen Ports zuordnen?
Was du da gerade meinst, ist Port Forwarding. Und ja, man kann reverse proxies oder port forwarding für jeden Port einrichten.

Dann gibt es Proxies mit komischen Ports wie bspw mit 25000...Das verstehe ich nicht.
Von welchen Proxies reden wir hier?

Wie unterscheidet sich die Handhabung, wenn man einen Proxy auf einem Client einstellt oder auf dem Browser (firefox)?
Verstehe die Frage nicht. Im Browser kannst du halt SOCKS oder HTTP Proxies einstellen, über die dann der HTTP Traffic getunnelt wird. Im Betriebssystem stellt man dann halt einen Tunnel für jedweden Traffic ein.

Allgemein drückst du dich nicht sehr präzise aus, änder das mal ;)
 

Hartman

gesperrt

Registriert
18 Feb. 2018
Beiträge
63
  • Thread Starter Thread Starter
  • #63
Nein, außer dein Browser ist ein Mail-Client.
Okay und firefox hat keinen, nehme ich an.
Webmail geht über Port 80 und die Software, die auf dem Server läuft, schickt das dann an Port 25.
Alles klar. Gilt das auch bei "Outlook Web apps"?
Wenn ich Outlook zbsp. nutze ist doch dann dieser doch der Mailclient (Process). Spricht der dann direkt mit Port 25?

Du kannst jeden beliebigen Service auf jeden beliebigen Port legen. Und du kannst natürlich auch einen Proxy auf Port 80 legen und darüber dann tunneln.
Hmm..also dann kann ich auf dem Port 25 auch http legen? Macht doch keinen Sinn, da es doch bei Ports UDP/TCP unterschiede gibt? Warum sind die dann fast standart?
Was du da gerade meinst, ist Port Forwarding. Und ja, man kann reverse proxies oder port forwarding für jeden Port einrichten.
Ich will keinen einrichten. Wenn ich zbsp. eine Datei hochladen will und gleichzeitig http-surfen will und beides mittels Proxy, muss man dann einen Proxy mit Port 21 und einen mit Port 80 nehmen? In dem Falle meine ich weiterleitende proxies.

Diese Proxies zbsp: https://proxy-list.org/english/index.php

Mir ist der Unterschied von Socks und Irgendwas-Proxiy nicht klar. Ist Socks einer der alles weiterleiten kann und ein iwas-Proxy nur ein bestimmtes Protokoll?

Mir ist nicht klar, wo die Unterschiede sind, wenn ich zbsp. einen service-Proxy mit einem Client wie "proxychains" eingebe oder mit dem Browser.

Bin etwas durcheinander...
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Gilt das auch bei "Outlook Web apps"?
Wenn ich Outlook zbsp. nutze ist doch dann dieser doch der Mailclient. Spricht der dann direkt mit Port 25?
Wenn Outlook auf deinem PC läuft, verbindet sich dein PC mit dem SMTP-Server über Port 25 (oder 587 oder einen der anderen Ports). Wenn Outlook im Browser läuft, ist der tatsächliche Mail-Client auf einem Server und du siehst nur das Interface (auf Port 80). Das Outlook auf dem Server verbindet sich somit wieder über einen anderen Port mit dem SMTP-Server.

Hmm..also dann kann ich auf dem Port 25 auch http legen?
Klar! Dann funktioniert das Aufrufen der Seite im Browser allerdings nur, wenn du example.com:25 eingibst oder einen Redirect durchführst, da der Browser standardmäßig auf Port 80 verbindet.

Macht doch keinen Sinn, da es doch bei Ports UDP/TCP unterschiede gibt?
Noch mal: Das Protokoll und der Service sind vom Port unabhängig.

Warum sind die dann fast standart?
Weiter oben habe ich die IANA well-known ports verlinkt. Dein Browser nutzt halt Port 80/443 standardmäßig, dein FTP Port 21 etc. – allerdings ist das von der Implementierung im Client-Programm abhängig. Man könnte beispielsweise einen 1337-Browser entwickeln, der sämtliche Websites über Port 1337 ansteuert. Mit dem würdest du die "normalen" Webserver dann nicht finden.

Ich will keinen einrichten. Wenn ich zbsp. eine Datei hochladen will und gleichzeitig http-surfen will und beides mittels Proxy, muss man dann einen Proxy mit Port 21 und einen mit Port 80 nehmen?
Nein. Der Proxy tunnelt und wird immer über den Proxy-Port angesprochen.

Das sind alles HTTP-Proxies. Ich glaube nicht, dass darüber was anderes als HTTP laufen wird.

Mir ist der Unterschied von Socks und Irgendwas-Proxiy nicht klar. Ist Socks einer der alles weiterleiten kann und ein iwas-Proxy nur ein bestimmtes Protokoll?
Prinzipiell kann jeder Proxy alles weiterleiten. Vielleicht solltest du dir durchlesen, was ein Proxy bzw Tunnel ist.

SOCKS ist ein Protokoll für Proxy-Anwendungen. Es gibt auch noch andere Protokolle, die Proxying erlauben.

Mir ist nicht klar, wo die Unterschiede sind, wenn ich zbsp. einen service-Proxy mit einem Client wie "proxychains" eingebe oder mit dem Browser.
Das Funktionsprinzip ist dasselbe. Proxychains ist einfach nur ein Tool, um mehrere Proxies hintereinander zu hängen.

ha_haJXUM9E.jpg
 
Zuletzt bearbeitet:

Hartman

gesperrt

Registriert
18 Feb. 2018
Beiträge
63
  • Thread Starter Thread Starter
  • #65
Noch mal: Das Protokoll und der Service sind vom Port unabhängig.
Dann kann ich theoretisch auch auf port 53 (DNS) eine Website betreiben? Geht da nicht das ganze System dahinter kaputt?

Weiter oben habe ich die IANA well-known ports verlinkt. Dein Browser nutzt halt Port 80/443 standardmäßig, dein FTP Port 21 etc. – allerdings ist das von der Implementierung im Client-Programm abhängig. Man könnte beispielsweise einen 1337-Browser entwickeln, der sämtliche Websites über Port 1337 ansteuert. Mit dem würdest du die "normalen" Webserver dann nicht finden.
Wie findet man diese Sites mit "komischen" Ports? Gibt google solche Site's auch an bei der Suche?

Jetzt hast duch doch gesagt, dass der Proxy tunnelt aber dann:

Das sind alles HTTP-Proxies. Ich glaube nicht, dass darüber was anderes als HTTP laufen wird.

Wenn ich auf dem Browser einen Proxy und auf einem client einen eingegeben habe, woher soll dann der client und der browser wissen welcher nun von beiden angesprochen werden soll?

Oder:
Ich gehe mit dem Browser auf einen IRC. Dann wird alles mit http an den Server getragen und dort intern an deren IRC-Server weitergesendet? Muss man dann einen http proxy oder einen proxy mit Port 6667 nehmen, wenn man nicht direkt verbinden will?

Aus den Wiki Artikeln werde ich nicht ganz schlau. Die wiedersprechen sich auch oft.
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Dann kann ich theoretisch auch auf port 53 (DNS) eine Website betreiben? Geht da nicht das ganze System dahinter kaputt?
Ja, das kannst du. Welches "System dahinter"? Wenn jemand eine DNS-Anfrage stellt, wird diese halt nicht beantwortet.

Wie findet man diese Sites mit "komischen" Ports? Gibt google solche Site's auch an bei der Suche?
Ich gehe davon aus, dass der Google-Crawler die Seite nicht findet, wenn nicht mit Redirects gearbeitet wird.

Wenn ich auf dem Browser einen Proxy und auf einem client einen eingegeben habe, woher soll dann der client und der browser wissen welcher nun von beiden angesprochen werden soll?
Wenn ich deine Frage richtig verstanden habe, hast du in diesem Szenario einfach mehrere Proxies hintereinander. Der Browser versucht, den Browser-Proxy anzusprechen, diese Anfrage wird dann durch den System-Proxy getunnelt.

Ich gehe mit dem Browser auf einen IRC.
Verrückt, ich nutze dazu einen IRC-Client.

Dann wird alles mit http an den Server getragen und dort intern an deren IRC-Server weitergesendet?
Wenn auf dem Server, auf dem der IRC läuft, nicht auch noch ein Webserver auf Port 80 läuft, geht die Anfrage des Browsers ins Leere und es kommt eine Fehlermeldung á la "Unable to connect".

Siehe auch: Understanding listen ports and addresses to effectively troubleshoot Fusion Applications (Oracle A-Team Chronicles)

Auszug:

To communicate with any process, you need to know at least 3 things about it – IP address, port number and protocol. Fusion Applications comprises many running processes. End users communicate directly with only a handful of them, but all processes communicate with other processes to provide necessary services. Understanding various IP addresses and listen ports is very important to effectively troubleshoot communication between various components and identifying where the problem lies.

Muss man dann einen http proxy oder einen proxy mit Port 6667 nehmen, wenn man nicht direkt verbinden will?
Noch einmal: Du kannst mit einem Browser nicht zu einem IRC verbinden, wenn er keine IRC-Funktionalität eingebaut hat. Dazu würde man dann einen Webclient nutzen.

Aus den Wiki Artikeln werde ich nicht ganz schlau. Die wiedersprechen sich auch oft.
Wo widersprechen die sich genau? Vielleicht können wir das ja klären.
 
Zuletzt bearbeitet:

Hartman

gesperrt

Registriert
18 Feb. 2018
Beiträge
63
  • Thread Starter Thread Starter
  • #67
Welches "System dahinter"?

Wie hol ich mir dann als Betreiber die IP anderer Websites wenn meiner mit Port 53 blockiert ist? Ein Port kann doch nur einmal belegt werden, oder nicht?

Wenn ich deine Frage richtig verstanden habe, hast du in diesem Szenario einfach mehrere Proxies hintereinander. Der Browser versucht, den Browser-Proxy anzusprechen, diese Anfrage wird dann durch den System-Proxy getunnelt.

Mein Hauptproblem ist, dass ich nicht verstehe wie man alle diese Verbindungen quasi "kontrolliert"/verwaltet. Ich kann schlecht beschreiben was ich meine, versuche es trotzdem und zwar weiss ich nicht oder kann ich nur schwer verstehen, welcher Client wie welche Verbindung handelt und wie man die Verbindungen managen kann.

Mir ist der Threeway Handshake klar, wie die Portscans funktionieren und die funktionen einiger Applikationsprotokollen, wie man mit Wireshark das auslesen kann und wie mathematisch die Zerlegung ist bspw. CIDR (Subnetting), Hex, binary etc. Aber mir geht einfach nicht in den Kopf, wie man die "strippen" zieht wie bei einer Puppe bzgl. Verbindungen.

Das ganze privoxy, polipo, DNS proxy, Client-Proxies, Tor, VPN (und da gibts noch mehrer + unterscheidung in Layer) und co Geschichten verwirren mich einfach weil die Grundkonzepte darauf nie ganz eingehen. Also wie man das alles verwaltet. Ich will es ncht nur einrichten und nutzen sondern das Gefuhl dafur bekommen wie man es "kontrolliert".


Schnell was anderes: Wenn man bspw. ein AP ansteuert mit der 192.168.*.*, muss doch Port 80 offen sein sonst kann ich doch gar nicht das login im Browser sehen? Wenn ich das schliesse, dann kann ich mich nicht mehr mit dem Browser da einloggen?

Wenn man in /etc/resolv.conf einen DNS Server einstellt, woher weiss ich dann, dass der Browser diesen anzielt und nicht den des ISPs? Wenn man Tor nutzt ist das auf port 9050 idR. Wie kann ich wissen, das nicht nur die http Anfragen sondern auch FTP Uploads mit Tor laufen?

Mir ist ausserdem nicht klar, wie Clients und System config untereinander arbeiten wenn man fuer beide Proxies eingerichtet hat. Bspw. VPN/Socks zbsp. zusammenspielen..

Kann man zbsp. einen Port auf dem Router 'ffnen wenn man das router PW nicht hat? Sollte man alle Ports auf dem Router schliessen von Anfang bis Ende ausserns DNS? Ich weiss auch nicht wo ich das nachschlagen kann. Ich habe einen Knoten und weiss nicht wie ich den aufbekomme.

Ich les mich noch durch, bei dem allem war du mir geschickt hast. Das evtl. beantwortet es das alles. Meisstens steht schon viel informatives drin.

Dazu noch gefunden: http://www.yolinux.com/TUTORIALS/LinuxTutorialNetworking.html
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
Wie hol ich mir dann als Betreiber die IP anderer Websites wenn meiner mit Port 53 blockiert ist? Ein Port kann doch nur einmal belegt werden, oder nicht?
Wofür brauchst du als Serverbetreiber eine DNS-Auflösung?

Wenn man in /etc/resolv.conf einen DNS Server einstellt, woher weiss ich dann, dass der Browser diesen anzielt und nicht den des ISPs?
Ein Browser nutzt in der Regel die DNS-Funktionen des Betriebssystems. Wenn nicht, dann nicht.

Wenn man bspw. ein AP ansteuert mit der 192.168.*.*, muss doch Port 80 offen sein sonst kann ich doch gar nicht das login im Browser sehen?
Port 80 muss beim Zielsystem (Server) offen sein, die Rückantwort läuft ja über einen der "(Ephemeral) Dynamic and/or Private Ports (49152-65535)" (s.o.).

Wenn ich das schliesse, dann kann ich mich nicht mehr mit dem Browser da einloggen?
Wenn du in der Firewall des Gateways den Destination Port 80 schließt, kannst du von innerhalb des Netzwerks auf keinen externen Computer mit dem Zielport 80 verbinden.

Wenn du den Source Port 80 schließt, kann kein Außenstehender mit Port 80 in deinem Netzwerk verbinden. Das ändert aber überhaupt nichts daran, dass du noch auf Port 80 nach außen zugreifen kannst.

Abgesehen davon ist dein AP mit "192.168.*.*" vermutlich im selben Subnetz, das geht in der Regel nicht mal an einer Firewall im Gateway vorbei. Was hier eine Rolle spielt sind die Firewalls von Client (dein PC) und Server (der AP) sowie das Listening-Interface bzw. die IP und Port des Serverdienstes. Wenn dein AP mehrere Interfaces hat und auf dem Interface, das von dir erreichbar ist, nicht lauscht, kommst du nicht drauf. Oftmals lässt man Serverdienste auch nicht auf 0.0.0.0 lauschen, sondern beispielsweise auf einer lokalen IP, die dann nur innerhalb des Netzwerks erreichbar ist.

Kann man zbsp. einen Port auf dem Router 'ffnen wenn man das router PW nicht hat?
Wenn der Router das ohne Authentifizierung zulässt, schon. Das ist in der Regel nicht der Fall. EDIT: Metal_Warrior gibt richtigerweise UPNP an. Das ist böse, aber oft aktiv :p

Sollte man alle Ports auf dem Router schliessen von Anfang bis Ende ausserns DNS?
Bist du dir sicher, dass du dein internes DNS nach außen propagieren willst?

Ich weiss auch nicht wo ich das nachschlagen kann. Ich habe einen Knoten und weiss nicht wie ich den aufbekomme.
Stell' doch einfach noch ein paar Fragen. Ich glaube, du vermischst nach wie vor Port, Protokoll, Client und Server.
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Wie hol ich mir dann als Betreiber die IP anderer Websites wenn meiner mit Port 53 blockiert ist? Ein Port kann doch nur einmal belegt werden, oder nicht?
DNS ist, wenn ich mich recht erinnere, einer der wenigen Dienste, die ihren Lausche-Port auch als Ausgangsport für Anfragen verwenden. In diesem Fall hast du Pech gehabt - du wolltest den Port ja unbedingt für den Webserver reservieren...

Mein Hauptproblem ist, dass ich nicht verstehe wie man alle diese Verbindungen quasi "kontrolliert"/verwaltet.
Firewalling? Ganz einfach: Du guckst nach, welchen Zielport das Paket hat, und wirfst es weg bzw. lässt es durch, wenn dir der Port ungeheuer/geheuer ist.

Ich will es ncht nur einrichten und nutzen sondern das Gefuhl dafur bekommen wie man es "kontrolliert".
Per Config-File und Firewall. Entweder du lässt den Dienst auf der 45 horchen, oder auf der 44 etc. Das ist Config-Sache. Entweder du lässt den Dienst Anfragen von IP XY annehmen, oder eben nicht. Auch das ist (oft) Config-Sache. Willst du nicht, dass einzelne IP-Adressen überhaupt irgendwas auf deinem Server sehen können und vertraust dem Serverdienst nicht, dass er das zu 100% so umsetzt, sperrst du die Ranges/IPs einfach aus. Das geht auch nur für bestimmte Ports (z. B.: den Webserver darf jeder weltweit ansprechen, den SSH-Server nur deutsche IPs der Telekom), und ist Sache der Firewall. Mehr kontrollierst du nicht. Musst du ja auch nicht.

Wenn ich das schliesse, dann kann ich mich nicht mehr mit dem Browser da einloggen?
Korrekt, es sei denn, du lässt 443 offen, der Apache2 drauf lauscht auf dem Port und du sagst deinem Browser, er muss HTTPS verwenden.

Wenn man in /etc/resolv.conf einen DNS Server einstellt, woher weiss ich dann, dass der Browser diesen anzielt und nicht den des ISPs?
dig ist dein Freund. Kommandozeile auf, dig www.google.de, dort steht der antwortende DNS-Server. Der ist systemweit fest, d. h. dein Browser macht auch nix anderes.

Wenn man Tor nutzt ist das auf port 9050 idR. Wie kann ich wissen, das nicht nur die http Anfragen sondern auch FTP Uploads mit Tor laufen?
Indem du dir die Routingtabelle ansiehst.

Mir ist ausserdem nicht klar, wie Clients und System config untereinander arbeiten
Was ist denn der Unterschied zwischen Client und System?

Du wirfst schon wieder mit viel zu vielen Spezialgeschichten durch den Raum. Lass mal die Finger weg von Proxies (und Routern/NATs), wenn du schon nicht verstehst, wie Server und Client ohne Proxy miteinander kommunizieren. Wenn dir jemand die Kommunikation über Schall erklärt, fängt er doch auch erstmal an, nur mit Stimmbändern, Luft und Ohr zu arbeiten, und schaltet nicht gleich nen Mikrofon, nen Telefon, nen Telefonanbieter, ne Kabelverlegefirma, nen Stromkonzern, Bodenstationen, Cape Canaveral und Satelliten dazwischen.

Kann man zbsp. einen Port auf dem Router 'ffnen wenn man das router PW nicht hat?
Dafür gibts NAT und UPnP. Wieder zwei Steine im Weg zum Verständnis, wie eine Verbindung wirklich läuft.

Ich habe einen Knoten und weiss nicht wie ich den aufbekomme.
Falsch. Du hast nicht einen Knoten. Du hast einen Knoten und 30 Tonnen Seil drauf, das tausende weiterer Knoten enthält. Wenn du das Seil erstmal wegnimmst, kommst du auch an den einen Knoten und kannst ihn öffnen. Also: Erst Basics verstehen, einfache Server-Client-Kommunikation, nicht gleich mit Proxies, NAT, Routing und Zeroconf um dich werfen.

Mein Tipp: Zwei Raspis, nur durch ein Kabel verbunden. Einer davon als Webserver konfiguriert, der Andere mit Browser. Dann spielst du dich erstmal. Ganz ohne DNS, nur mit IPs. Danach kannst du langsam anfangen, mal DNS einzubauen, und dem Webserver einen Domainnamen zu geben. Dafür brauchst du dann z. B. dnsmasq. Da lernst du dann schon ein bisschen. Anschließend guckst du dir iptables an, und firewallst mal ein bisschen rum. Nur zwischen zwei Geräten, keine Zwischenstellen. Dann verstehst du nämlich auch, was da genau passiert.

--- [2018-03-05 22:41 CET] Automatisch zusammengeführter Beitrag ---

Wenn der Router das ohne Authentifizierung zulässt, schon. Das ist in der Regel nicht der Fall.

Einspruch, Euer Ehren, das ist mittlerweile mit UPnP (Subprotokoll: IGD) ganz normal (und auch NAT macht das natürlich, aber eben nur für ausgehende Kommunikation).
 

Hartman

gesperrt

Registriert
18 Feb. 2018
Beiträge
63
  • Thread Starter Thread Starter
  • #70
DNS ist, wenn ich mich recht erinnere, einer der wenigen Dienste, die ihren Lausche-Port auch als Ausgangsport für Anfragen verwenden. In diesem Fall hast du Pech gehabt - du wolltest den Port ja unbedingt für den Webserver reservieren...
Ich will nichts hosten. Ich will wissen, wenn man angeblich http service auf DNS legen kann, ob das nicht ein Problem gibt. Wenn ich die IP nicht kenne und diese mittels DNS (UDP) abgerufen werden muss, dann wird doch das zum Konflikt?


Firewalling? Ganz einfach: Du guckst nach, welchen Zielport das Paket hat, und wirfst es weg bzw. lässt es durch, wenn dir der Port ungeheuer/geheuer ist.
Schon klar. Ich will aber nicht eingehende Verbindungen sondern ausgehende Verbindungen verwalten. Ich Frage verbindungen als erster an.

Per Config-File und Firewall.
Wo, wie?


dig ist dein Freund. Kommandozeile auf, dig www.google.de, dort steht der antwortende DNS-Server. Der ist systemweit fest, d. h. dein Browser macht auch nix anderes.
Schon klar. Aber wie weiss ich, dass der Router nicht zwischen /etc/resolv.config auf meinem Host und der vom ISP hin und her springt. Wie stelle ich sicher, dass NUR der DNS welchen ich in /etc/resolv.config festlege genutzt wird? Wenn man 100% sicher gehen will, muss man das auf dem Router festlegen?


Indem du dir die Routingtabelle ansiehst.
iptables?

Abgesehen davon ist dein AP mit "192.168.*.*" vermutlich im selben Subnetz, das geht in der Regel nicht mal an einer Firewall im Gateway vorbei.
Man kann darauf Ports festlegen. Verstehe nicht was du gerade meinst. Klar ist es im Subnetz, ist ja wifi.

Bist du dir sicher, dass du dein internes DNS nach außen propagieren willst?
Klar, warum nicht? OpenDNS, nicht gut? Betrifft ja nur den einen PC und nicht alle?


ahh..Ich glaube ich habe das Problem gefunden und zwar uPnP noch nicht gelesen. Das ist doch, wenn der Port nur offen geht mit dem Dienst und dann wieder geschlossen? Dachte immer ein Port ist entweder geschlossen oder offen, 1 oder 0. Das man sich muss entscheiden zwischen beiden und das "dynamisch" gar keine option ist? Mrogen mal genauer nachlesen...
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
Ich will nichts hosten. Ich will wissen, wenn man angeblich http service auf DNS legen kann, ob das nicht ein Problem gibt.
Klar kann man, und klar gibt es dann Probleme, nämlich die von dir beschriebenen - dein Server will DNS abfragen, darf den Port ausgehend aber nicht verwenden, weil Apache2 die Hand drauf hat - doofe Sache. Frägt ein anderer Client den Port für DNS an, zuckt der Apache mit den Achseln und sagt nur "Ich nix Deutsch, ich nix kapisch!" und danach Aufwiedertschüss. Da guckt dann zwar der anfragende Client recht blöd, aber das ist nicht das Problem des HTTP-Indianers.

Schon klar. Ich will aber nicht eingehende Verbindungen sondern ausgehende Verbindungen verwalten. Ich Frage verbindungen als erster an.
Firewall ist nicht nur für eingehende, sondern auch für ausgehende Verbindungen und solche, die nur durchgeschliffen werden (deshalb die Chains INPUT, FORWARD und OUTPUT). Aber bitte, mach erstmal ganz einfach Traffic, bevor du jetzt da das nächste Fass aufmachst, das du wieder nicht leertrinken kannst.

config: In /etc/dienstname/dienstname.conf (meistens)
Firewall: iptables

Aber wie weiss ich, dass der Router nicht zwischen /etc/resolv.config auf meinem Host und der vom ISP hin und her springt.
Fehler: Der Router springt gar nicht, der hat seine eigene /etc/resolv.conf bzw. sein eigenes resolvconf-Package. Dein Host ist ihm scheißwurst.
Dein Rechner ist aber wie dein Router: Er nimmt die ersten drei konfigurierten Upstream-Server her und fragt alle parallel an. Die erste plausible Antwort wird genommen. Wie du das sicherstellst, dass nicht andere Server angefragt werden? Weil der Rechner immer das gleiche macht. Mach ein Dig und stell die Verbosity hoch, dann solltest du auch alle ausgehenden Anfragen protokolliert bekommen. Ist keine davon dein Router oder dein ISP, wird der auch nie hergenommen (der Router nimmt standardmäßig den vom ISP, kann aber ebenfalls umgestellt werden).

Nein, Routen kann man sich (man möge mich korrigieren, wenn ich falsch liege) via "ip route show" nachschlagen.

Klar, warum nicht? OpenDNS, nicht gut? Betrifft ja nur den einen PC und nicht alle?
Als Upstream-Server (also von außerhalb deines LANs erreichbar) betrifft es jeden, der ihn anfrägt. Potentiell also das komplette Internet. Und ja, das ist ganz große Scheiße.

ahh..Ich glaube ich habe das PRoblem gefunden und zwar uPnP noch nicht gelesen.
NEIN! Dein Problem ist, dass du es gleich lesen wirst und damit noch ein Puzzle auf deinen unüberblickten Haufen Teile aus 20 verschiedenen Puzzlen schüttest.
DER EINZIGE GRUND, DIR UPNP ZU NENNEN, WAR DIR ZU ZEIGEN, DASS ALLES NOCH VIEL KOMPLIZIERTER IST, ALS DU DERZEIT DENKST!

Und du hast nichtmal die Basics verstanden - wie zum Teufel willst du dann die richtig komplexen Protokolle verstehen, bei denen selbst wir zum großen Teil mit den Schultern zucken und sagen "mei, ist halt da, wenn wirs brauchen, nutzen wirs, wenn nicht, Firewall und Deconfigurieren und aus die Maus." Deshalb sagt auch phre4k im Edit, dass UPnP böse ist. Und ja, das ist es, aus Adminsicht, weil unüberschaubar komplex und damit potentiell ein riesiges Loch in der eigenen Sicherheit, wenn ihm nicht Einhalt geboten wird.

Das ist doch, wenn der Port nur offen geht mit dem Dienst und dann wieder geschlossen?
Dem ist auch so, im Normalfall. Ganz ohne UPnP. Lass das mal gut sein, das Protokoll ist dafür da, Rechner hinter Routern zu Servern zu machen, indem es dynamisch Portforwarding am Router einstellt. Wenn du nicht verstehst, was ich damit gesagt habe, lass es erstmal so stehen. Wie gesagt, fang mit zwei Raspis an, dann kannst du SICHER die Basics verstehen, bevor du dich mit Routing und Gateway-Security rumschlägst.

Um dir das nochmal klar zu machen, wo du ungefähr stehst und was noch auf dich zukommt: Du hast gerade deinen ersten Korb mit einem Basketball geworfen und willst jetzt in der NBA allein gegen das Siegerteam des letzten Jahres antreten, indem du dir einfach ganz schnell ganz viele Biographien von berühmten Basketballern durchliest. Macht wenig Sinn, oder? Das versuchen wir dir auch schon seit zwei Seiten zu erklären...

Dachte immer ein Port ist entweder geschlossen oder offen, 1 oder 0. Das man sich muss entscheiden zwischen beiden und das "dynamisch" gar keine option ist.
Das ist auch so, entweder offen oder zu. Aber wer hat behauptet, dass du nicht wild Ports öffnen und schließen kannst, wenn du welche brauchst? Das ist doch dynamisch, oder? Und wir sagen dir die ganze Zeit, dass Ports dynamisch bei Bedarf geöffnet und nach Kommunikation wieder geschlossen werden, zumindest ist das der Standard bei den Ephemeral Ports.
 
Zuletzt bearbeitet:

sia

gesperrt

Registriert
26 März 2015
Beiträge
5.931
Ort
FFM (NSFW)
@Hartman: Vielleicht wäre es gut, wenn du die Ressourcen, die wir dir geliefert haben, auch einfach mal durchliest und verstehst.

Die Idee mit dem Raspberry Pi finde ich gut.

Hausaufgabe: Installier' Fedora auf dem Raspberry Pi. Dann installierst du Cockpit und machst dieses unter http://cockpit.raspberry.lan auf Port 80 im Netzwerk verfügbar. Gleichzeitig soll über http://raspberry.lan/ ein Webserver erreichbar sein, der DokuWiki bereitstellt. Auf der Hauptseite erstellst du dann einen Link zu Cockpit.

Pakete/Binaries, die du dazu benutzen könntest: cockpit, dokuwiki, nginx, php-fpm, semanage, man, firewallctl, info

Viel Spaß. Sobald du die Logfiles des Webservers bei einem Zugriff auf cockpit und dokuwiki hier gepostet hast, können wir ja weiterdiskutieren. Bei Fragen zur Umsetzung helfe ich dennoch weiter, aber Fragen theoretischer Natur werde ich nicht mehr ITT beantworten. Was Metal_Warrior macht, bleibt natürlich ihm überlassen.

Nein, Routen kann man sich (man möge mich korrigieren, wenn ich falsch liege) via "ip route show" nachschlagen.
alles falsch, es ist ip r s :D

Nur der Vollständigkeit halber: Mit iptables kann man prinzipiell auch routen, das war hier ja aber nicht gefragt.

DER EINZIGE GRUND, DIR UPNP ZU NENNEN, WAR DIR ZU ZEIGEN, DASS ALLES NOCH VIEL KOMPLIZIERTER IST, ALS DU DERZEIT DENKST!
Ruuuuhig, Brauner. Ich hab' auch schon eine Tastatur kaputtgebissen, hatte aber glücklicherweise noch eine im Schrank.

Das ist auch so, entweder offen oder zu. Aber wer hat behauptet, dass du nicht wild Ports öffnen und schließen kannst, wenn du welche brauchst? Das ist doch dynamisch, oder? Und wir sagen dir die ganze Zeit, dass Ports dynamisch bei Bedarf geöffnet und nach Kommunikation wieder geschlossen werden, zumindest ist das der Standard bei den Ephemeral Ports.
Süß, du denkst immer noch, er würde lesen und verstehen, was wir ihm an Material geben ;)
 

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
alles falsch, es ist ip r s :D
:D
Du wirst lachen: Ich war mir echt nicht sicher, weil ausm Kopf kurz hingeschrieben und ip einfach so verdammt viele Funktionen hat (und teilweise Fehler ohne Rückmeldung ignoriert), dass ich mit der Syntax grad leicht unschlüssig war ;)

Süß, du denkst immer noch, er würde lesen und verstehen, was wir ihm an Material geben ;)
Ich glaub tatsächlich, dass er das liest und auch versucht zu verstehen, weil ich genau so einen Azubi schon hatte. Der ist auch mit vollem Galopp in die Theorie eingestiegen und danach vor dem Server gesessen und hat alles durcheinandergewürfelt, weil er eben nie verstanden hat. Den musste ich auch erst ordentlich einbremsen.
 

Hartman

gesperrt

Registriert
18 Feb. 2018
Beiträge
63
  • Thread Starter Thread Starter
  • #74
Diese Funktion trägt den Namen DNS ALG. Ist beispielsweise ein internes Netzwerk mit einem DNS Server über einen Router mit dem Internet verbunden (Ich nehme an hier ist der DNS des ISPs default auf dem Router konfiguriert und es kommt eine externe Anfrage für einen Host aus dem internen Netzwerk (eine solche Anfrage macht doch nur dann Sinn, wenn ich eine Domain betreibe? Oder werden Zonetransfers auch da abgewickelt?), so würde der DNS Server des internen Netzwerkes auch eine interne IP-Adresse angeben Dachte eben nicht? Kann der Anfrager dann sehen, welche private IP die Domain liegt? Ich dachte die wird noch IM subnetz gewandelt bevor es ganz raus geht? Wenn nicht, kann jmd doch damit mein Subnetz mappen? (mir ist klar das privat IP keine Public IPs sind.). Für den die Adresse anfragenden Client ist der Host über diese Adresse jedoch nicht erreichbarWeil private IP, ist klar. Er muss Public IP haben, da sie unter Umständen in einem privaten IP-Adressbereich liegt, welche im Internet nicht geroutet werden. Sendet nun der DNS Server ein Datenpaket mit der internen IP-Adresse an den anfragenden Client jetzt hiess es dich gerade vor diesem Satz, wird nicht geroutet?, so ändert das DNS ALG auf dem Router das Datensegment so ab, dass eine aus dem Internet erreichbare Adresse aus dem Adressbereich, welchen auch das NAT verwendet, für den angefragten Host eingetragen ist. Des Weiteren initialisiert das DNS ALG, dass der entsprechende Host für eine bestimmte Zeit auch über die ihm zugewiesene externe Adresse geroutet wird, sowie den dazugehörigen Timer.Also eben doch...
Source: https://de.wikipedia.org/wiki/Application_Layer_Gateway

Außerdem wird der Quellport des internen Clients durch einen freien Port des Routers ersetzt, der dadurch belegt wird. Diese Zuordnung wird in der NAT-Table des Routers gespeichert.
Source: https://de.wikipedia.org/wiki/Netzwerkadressübersetzung

mit "ss" oder "netstat -ntp oder netstat -tpnau" (bei differenzierung nach "states") sehe ich: "localhost:Clientport". Bis jetzt immer so verstanden, dass dieser direkt so an den Adressanten weitergegeben wird. Der Router vergiebt aber wiederum einen neuen Clientport und in NAT-Tables gespeichert.

Ergänzung: Linuxsysteme halten sich sehr oft nicht an diesen Standard und vergeben die Clientports im Bereich zwischen 32768 und 61000. Ursprünglich waren von der IANA die Ports ab 1024 für Clientprogramme vorgesehen. Bei der Umstellung des Portbereiches gab es jedoch einige Diskussionen bis sich die heutige Einteilung durchsetzte. Die Umstellung wurde in Linux allerdings während der Diskussionszeit vorgenommen und nicht auf den endgültigen Standard umgesetzt. Als Begründung hierfür wird auch immer wieder angeführt, dass der Bereich der Dynamic Ports zu klein ist. Einige NAT-Router verwenden sogar noch niedrigere Ports.
Source: https://de.wikipedia.org/wiki/Port_(Protokoll)
 
Zuletzt bearbeitet:

Metal_Warrior

Defender of Freedom
Teammitglied

Registriert
10 Aug. 2013
Beiträge
6.830
Ort
/dev/mapper/home
@Hartman: Was glaubst du, warum ich dir explizit gesagt habe, du sollst NAT mal in Ruhe lassen, bis du die Basics verstanden hast? Ich denke mir schon was dabei, wenn ich dir sage, du sollst nicht noch ein Puzzle auf deinen sowieso schon unübersichtlichen Haufen werfen...
 
Oben