Multiple Port Forwarding

Mitglied: easy4breezy

easy4breezy (Level 1) - Jetzt verbinden

26.02.2016, aktualisiert 10:52 Uhr, 2630 Aufrufe, 17 Kommentare

Hi Leute,
ich beschäftige mich schon eine Weile mit den Ports und wie das Forwarding läuft etc.
Nun möchte ich eigene Ports freigeben und das sowieso unsichere UpnP in die Rente schicken.
Problem hierbei ist, dass sich mehrere Geräte im LAN befinden.
Da stellt sich meine Frage, wie Firmen das regeln.
Da man Ports ja nur für eine IP freigeben kann, muss es ja eventuell über eine Server-Client Verbindung funktionieren?
Sagen wir ich öffne alle Ports, die ich eben offen habe möchte für den Server und alle weiteren Geräte in LAN routen über den Server.
Ist so etwas überhaupt möglich?
Oder wie kann man das am besten umsetzen?

Liebe Grüße
Easy4Breezy
Mitglied: maretz
26.02.2016 um 07:49 Uhr
Uff - dafür das du dich schon "eine Weile" damit beschäftigst ist das aber noch ausbaufähig...

Also erstmal ist die Frage was du möchtest... Von aussen (internet) auf einen Server weiterleiten geht eh nur per Port-Forward (uPnP übers Internet wäre ... merkwürdig...). Jetzt sagst du deinem Router also alles was auf Port 80 ankommt geht halt auf IP xyz - auch auf Port 80 (portnummern sind beides mal variabel).

Von innen nach aussen hast du normal kein Port-Forwarding sondern ein reines NAT -> d.h. du öffnest eine Verbindung (z.B. rufst du http://www.meinelieblingsseite.de auf -> also Port 80). Jetzt sagt dein Router (sofern du keine Firewall hast oder der Port erlaubt ist) "alles klar, geht durch". Du sendest also das erste Paket (sozusagen ein "Hallo, hier bin ich") an den Webserver. Wenn der dir jetzt antworten möchte hat sich dein Router gemerkt das deine IP 123.123.123.123 an die IP 124.124.124.124 auf Port 80 was geschickt hat, dies in der Network-Adress-Translation-Table abgelegt und routet die Antwort direkt wieder zu dir. Als nächstes handelst du mit dem Server eh einen anderen Port aus auf dem du kommunizierst - da der Server Port 80 gerne wieder für andere Anfragen frei haben will und ja vermutlich nicht nur mit dir sprechen mag. Also kickt ihr euer Gespräch in die sog. "High-Ports" (1023+) - und auch dies merkt sich der Router. Der weiss jetzt dass das Gespräch von 123.123.123.123:32226 mit 124.124.124.124:32323 zwischen euch stattfindet und verteilt das ganze (hierfür gibt es im IP-Protokoll div. Flags wie SYN, ACK, RST, FIN,....).

Gehst du jetzt bei und machst ein statisches Port-Forward von innen nach aussen (for whatever reason) geht das natürlich auch (je nach Firewall-/Porteinstellmöglichkeiten). Du kannst natürlich auch sagen das von IP 123.123.123.123 jede Anfrage auf deine Router-IP x an Port 80 auf eine beliebige IP im Web auf einen beliebigen Port gehen soll. Mir persönlich würde jetzt ad hoc kein sinnvoller Einsatzzweck dafür einfallen - aber natürlich ist das technisch trotzdem möglich. Dies wären dann aber eher Dinge die ein Load-Balancer machen würde - die generelle Arbeitsweise bleibt aber ähnlich.
Bitte warten ..
Mitglied: easy4breezy
26.02.2016 um 08:24 Uhr
Ich habe nicht meines ganzes Wissen über Port-Forwarding hier niedergeschrieben, aber naja..

Ich möchte folgendes:
Im LAN sind verschiedene Konsolen im Einsatz, sowie ausschließlich iPhones, die für Facetime etc. extra Ports benötigen, die PS4 benötigt auch extra Ports für den Partychat und einige Spiele.
Ich kann aber schlecht für mehrere Geräte einen speziellen Port freigeben, da jedes Gerät natürlich eine IP hat.
DHCP ist trotz statischer IP- Vergabe mit MAC-Adress Verknüpfung an, da manche Geräte trotz manueller Eingabe der Settings trotzdem rausfliegen, warum auch immer.
Von daher kann ich auch ziemlich eindeutig einem Gerät einen Port zuweisen, aber wie gesagt immer nur einen.
Ich suche aber nach einer Lösung um einen Port an mehrere Geräte freizugeben, daher war meine Frage, ob ich einfach alle benötigten Ports für einen Server freigeben kann und alle anderen Geräten dann über diesen routen lassen kann.
Ich bin doch sicher nicht der einzige Mensch auf dieser Welt, der mehrere Kinder im Haushalt mit einer Konsole hat? ;)
Bitte warten ..
Mitglied: maretz
26.02.2016 um 08:32 Uhr
nein - du bist nicht der einzige - aber was du willst ist auch nat.
Wenn du ein Port-Forward haben willst weil eine SW das auch von innen nach aussen braucht (mir wäre da nix bekannt) dann musst du halt verschiedene Ports nehmen oder uPNP nutzen (wobei uPNP auch eigentlich von aussen nach innen konfiguriert).
Bitte warten ..
Mitglied: easy4breezy
26.02.2016 um 08:56 Uhr
Naja, der Playstation Party Chat braucht Ports, Facetime auch.. und das sind nicht die einzigsten.
Bitte warten ..
Mitglied: 127132
127132 (Level 2)
26.02.2016 um 08:57 Uhr
Ich suche aber nach einer Lösung um einen Port an mehrere Geräte freizugeben
Wieso willst du das eigentlich machen?
Bitte warten ..
Mitglied: Deepsys
26.02.2016 um 09:21 Uhr
Moin,

Zitat von @easy4breezy:

Naja, der Playstation Party Chat braucht Ports, Facetime auch.. und das sind nicht die einzigsten.
Facetime braucht eingehende Ports?
Das wäre mir aber neu, und ja uPNP habe ich zu Hause deaktiviert und es klappt auch ohne offene eingehende Ports.
Und vor allem brauchst du dann, bei dynamischen IP, noch einen DNS-Dienst.
Genau wie TeamViewer, braucht auch keine eingehenden Ports.

Die meisten Programme bauen heute Verbindungen nach außen auf und sagen dann z.B. über die Apple Server das sie erreichbar sind.

Kann es sein das du evtl. auf dem falschen Weg unterwegs bist?
Bitte warten ..
Mitglied: aqui
26.02.2016 um 09:27 Uhr
Da stellt sich meine Frage, wie Firmen das regeln.
Klassische Freitagsfrage....
Die arbeiten logischerweise mit VPNs !! Da stellt sich das Problem gar nicht erst.
Mal abgesehen davon das bei Port Forwarding die Firewall durchlöchert wird und viel schlimmer die ganze Welt diese Daten mitlesen kann da unverschlüsselt übertragen.
Eigentlich ist PFW ein NoGo heutzutage wem seine Daten lieb sind !
Bitte warten ..
Mitglied: easy4breezy
26.02.2016 um 10:21 Uhr
Ja eventuell missverstehe ich da etwas.. kann gut sein :) face-smile
Also kann ich ohne Bedenken alle Ports blocken?
Ich steh grade irgendwie auf dem Schlauch glaube ich ..
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
26.02.2016, aktualisiert um 10:52 Uhr
Zitat von @easy4breezy:
Ja eventuell missverstehe ich da etwas.. kann gut sein :) face-smile
Ja das sieht leider sehr danach aus ...
Also kann ich ohne Bedenken alle Ports blocken?
Ich steh grade irgendwie auf dem Schlauch glaube ich ..
Ziemlicher langer Schlauch ist das ;-) face-wink

Du solltest mal etwas mehr über die Funktionsweise eines Routers und NAT lesen. Für jede Anwendung/Gerät was von deinem internen Netz eine Verbindung nach außen aufbaut wird in der NAT-Tabelle des Routers ein Eintrag mit der Quell-Adresse und Quellport hinterlegt. D.h. das der Router Pakete die zu der laufenden Verbindung gehören auch automatisch wieder zurück ins Netz lässt. Verbindungen die von extern auf die IP des Routers auflaufen und nicht zu einer existierenden Verbindung gehören die von intern aufgebaut wurde werden natürlich geblockt

Du brauchst also für eine normales simples Netz und Otto-Normalrouter auf deiner Firewall keinerlei Ports auf dem WAN explizit öffnen. Die funktionieren out of-the-box.

Professionelle Firewalls (nicht die von Fritte und Co.!!) können Traffic natürlich über die Forwarding-Table von intern nach extern filtern, erst dann musst du explizit definieren welche Anwendungen du von intern nach extern kommunizieren dürfen.

Gruß jodel32
Bitte warten ..
Mitglied: easy4breezy
26.02.2016 um 11:00 Uhr
Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird? Dann ist das ja eigentlich nicht notwendig, denn ich rufe ja von intern den Port auf und will nach außen.
Aber ist es sinnvoll Ports von innen zu blocken?
Außer ich möchte nicht, dass jemand etwas bestimmtes macht, oder?

Ich habe das irgendwie umgedreht verstanden, dass man Portforwarding von innen nach außen benötigt, das erklärt auch meinen langen, langen Schlauch ;)

Also kann ich UpNp bedenkenlos ausschalten? Bzw ich tue es allein der Sicherheit wegen :) face-smile

Ich habe einen OpenWrt TP-Link und einen Asus AC87U mit der Merlin WRT Software im zur Verfügung, der Asus ist aber im Moment im Einsatz.
Von der fritzbox halte ich selbst auch recht wenig..
Bitte warten ..
Mitglied: 114757
114757 (Level 4)
26.02.2016, aktualisiert um 11:09 Uhr
Zitat von @easy4breezy:

Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird? Dann ist das ja eigentlich nicht notwendig, denn ich rufe ja von intern den Port auf und will nach außen.
Sicher es gibt vereinzelte Anwendungen die bestimmte Ports angewiesen sind wie z.B. VoIP etc. Das ist aber nicht die Regel.
Aber ist es sinnvoll Ports von innen zu blocken?
Logisch, in Firmennetzen und Hotspots ist das gang und gebe ...
Außer ich möchte nicht, dass jemand etwas bestimmtes macht, oder?
Eben.
Ich habe das irgendwie umgedreht verstanden, dass man Portforwarding von innen nach außen benötigt, das erklärt auch meinen langen, langen Schlauch ;)
Nee, deswegen sage ich ja lesen die Unterlagen zu NAT (SRC-NAT und DST-NAT) dann wäre der Thread hier auch obsolet gewesen
https://de.wikipedia.org/wiki/Network_Address_Translation#Funktionsweise

Also kann ich UpNp bedenkenlos ausschalten? Bzw ich tue es allein der Sicherheit wegen :) face-smile
Ein vernünftiger Admin macht das immer, uPnP aktivierte Portöffnung ist ein absolutes NO-GO für ein sicheres Netz und ein Einfallstor für Viren und Trojaner!

Ich habe einen OpenWrt TP-Link und einen Asus AC87U mit der Merlin WRT Software im zur Verfügung, der Asus ist aber im Moment im Einsatz.
Naja auch alles nur China-Büchsen ;-) face-wink
Bitte warten ..
Mitglied: maretz
26.02.2016 um 11:09 Uhr
Moin,

das wird nicht gehen mit deinem uPNP. Nochmal - das was das macht ist das dein Gerät INNEN sagt das es gewisse Port-Forwards von aussen nach innen gerne hätte (da der Entwickler ja weiss welche Ports er alle möchte). Es konfiguriert sozusagen deine Firewall "für dich" um.

Schaltest du jetzt also uPNP aus dann musst du selbst dafür sorgen das die Ports von aussen nach Innen passend weitergeleitet werden. Wenn du das kannst ist das kein Problem - wenn du das nicht machst gehen halt einige Dinge nicht. Z.B. möchtest du via Skype eine Datei geschickt bekommen - mit uPNP sorgt dein Skype (wenn es uPNP unterstützt, k.a.) dafür das die passenden Ports in der Firewall freigeschaltet und weitergeleitet werden. Ohne uPNP musst du diese Sachen halt dann manuell und statisch schalten - selbst wenn Skype nicht läuft sind die Forwards dann aktiv.

Ob das ganze jetzt eine Sicherheitslücke ist oder nicht liegt an deinem Setup - so pauschal lässt sich das auch nicht beantworten. Es ist nicht sicherer wenn du uPNP abschaltest aber dafür eh alles weiterleitest was fragt. Wenn du das dagegen überlegt machst und z.B. für BitTorrent die Forwards nicht einträgst während deine PSx dann eingetragen wird kann es die Sicherheit erhöhen...
Bitte warten ..
Mitglied: Valexus
26.02.2016 um 11:28 Uhr
Moin,

hab mich auch schon immer gefragt, warum immer auf die Xbox oder Playstation Ports weitergeleitet werden sollen...
Bei meinem MikroTik Router ist von außen alles dicht und die aktuelle Playstation funktioniert wie gewünscht.
Eine aktuelle Firewall funktioniert ja immer "statefull", dadurch können deine Geräte nach außen und die Gegenseite kann darauf reagieren.

Also kann ich UpNp bedenkenlos ausschalten?
Ja sicher! Ich hätte da eher so meine Bedenken wenn ich es an hätte...

VG
Val
Bitte warten ..
Mitglied: easy4breezy
26.02.2016 um 11:52 Uhr
Okay dann habe ich einfach alles was das Thema betrifft irgendwie falsch verstanden. Dann lasse ich uPnP aus und trage auch keine extra Ports ein.
Thema erledigt. Ein Heimnetz sicherer.

Danke allen für die schnelle Hilfe und die guten Erklärungen! :) face-smile
Bitte warten ..
Mitglied: aqui
26.02.2016, aktualisiert um 17:16 Uhr
Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird?
Das ist für Otto Dummuser gedacht. Ansonsten können Solche Dienste doch von außen die Router Firewall nicht überwinden und das auch aus gutem Grund wie du dir denken kannst !
Du musst also wissentlich ein Loch in deine Firewall bohren und dem Router sagen:
"Hey, wenn von außen Party Dummchat und Call of Duty reinkommt, dann bitte keine Firewall dafür und forwarde mir das direkt auf mein internes LAN und dort bitte Rechner mit der IP xyz "
Das sowas gefährlich sein kann liegt auf der Hand, denn wenn nun einer den Call of Duty Port missbraucht um mit einem Amgriffstool zuzuschlagen landet der direkt auf dem Call of Duty Rechner.....
Man sollte sich also sehr gut überlegen was man da freigibt.
Abgesehen davon ist der Chat, Call of Duty oder sonstwas nicht geschützt und für jedermann abhörbar im Internet. Auch da sollte man sich gut überlegen WAS man da spricht...
Mit einem VPN hat man solche Probleme nicht !
P.S.: Ist der Thread jetzt gelöst oder warum hast du ihn auf gelöst geklickt ?!
Bitte warten ..
Mitglied: easy4breezy
26.02.2016 um 17:56 Uhr
Ja das geöffnete Ports unsicher sind von außen ist mir bewusst, daher habe ich lieber mal hier nachgefragt.
Und ja es ist gelöst, ich hab ja gedacht bzw. verwechselt das Portforwarding von innen nach außen ist und nicht wie es wirklich ist von außen nach innen, was eben genau das Sicherheitsproblem ist.
Daher schalte ich einfach uPnP aus und öffne auch keine Ports.
Sollte ja klappen?
Damit ist meine Frage sozusagen gelöst, ich habe es einfach falsch verstanden.
Bitte warten ..
Mitglied: Vision2015
27.02.2016 um 21:26 Uhr
Zitat von @maretz:

Uff - dafür das du dich schon "eine Weile" damit beschäftigst ist das aber noch ausbaufähig...

das hast du schön gesagt....
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic50 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware14 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Server-Hardware
HPE ProLiant MicroServer Gen10 Plus - Wo wird das OS installiert?
mayho33Vor 1 TagFrageServer-Hardware13 Kommentare

Hallo @ All, Ich liebäugle mit einem neuem Server (siehe Überschrift). Mein alter Gen8 ist zwar immer noch am laufen, aber es gibt einiges ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 16 StundenFrageFestplatten, SSD, Raid10 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

LAN, WAN, Wireless
100m GBit-Richtfunk im Freien - Produktempfehlungen?
mstrd308Vor 1 TagFrageLAN, WAN, Wireless9 Kommentare

Hallo zusammen, ich bin auf der Suche nach Produktempfehlungen um einen Richtfunk von einem Gebäude zu einen weiteren zu realisieren. Die Peripherie soll draußen ...

Exchange Server
Transparente Mail-Archivierung Exch. 2016 m. direktem Outlook-Zugriff
departure69Vor 1 TagFrageExchange Server17 Kommentare

Hallo. - Windows 2016 AD-Domäne, 2 DCs unter W2K16 Std. (1 x physisch, 1 x virtuell unter Hyper-V), Funktionsebene 2016 - Exchange 2016 unter ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...