easy4breezy
Goto Top

Multiple Port Forwarding

Hi Leute,
ich beschäftige mich schon eine Weile mit den Ports und wie das Forwarding läuft etc.
Nun möchte ich eigene Ports freigeben und das sowieso unsichere UpnP in die Rente schicken.
Problem hierbei ist, dass sich mehrere Geräte im LAN befinden.
Da stellt sich meine Frage, wie Firmen das regeln.
Da man Ports ja nur für eine IP freigeben kann, muss es ja eventuell über eine Server-Client Verbindung funktionieren?
Sagen wir ich öffne alle Ports, die ich eben offen habe möchte für den Server und alle weiteren Geräte in LAN routen über den Server.
Ist so etwas überhaupt möglich?
Oder wie kann man das am besten umsetzen?

Liebe Grüße
Easy4Breezy

Content-ID: 297448

Url: https://administrator.de/forum/multiple-port-forwarding-297448.html

Ausgedruckt am: 23.12.2024 um 07:12 Uhr

maretz
maretz 26.02.2016 um 07:49:24 Uhr
Goto Top
Uff - dafür das du dich schon "eine Weile" damit beschäftigst ist das aber noch ausbaufähig...

Also erstmal ist die Frage was du möchtest... Von aussen (internet) auf einen Server weiterleiten geht eh nur per Port-Forward (uPnP übers Internet wäre ... merkwürdig...). Jetzt sagst du deinem Router also alles was auf Port 80 ankommt geht halt auf IP xyz - auch auf Port 80 (portnummern sind beides mal variabel).

Von innen nach aussen hast du normal kein Port-Forwarding sondern ein reines NAT -> d.h. du öffnest eine Verbindung (z.B. rufst du http://www.meinelieblingsseite.de auf -> also Port 80). Jetzt sagt dein Router (sofern du keine Firewall hast oder der Port erlaubt ist) "alles klar, geht durch". Du sendest also das erste Paket (sozusagen ein "Hallo, hier bin ich") an den Webserver. Wenn der dir jetzt antworten möchte hat sich dein Router gemerkt das deine IP 123.123.123.123 an die IP 124.124.124.124 auf Port 80 was geschickt hat, dies in der Network-Adress-Translation-Table abgelegt und routet die Antwort direkt wieder zu dir. Als nächstes handelst du mit dem Server eh einen anderen Port aus auf dem du kommunizierst - da der Server Port 80 gerne wieder für andere Anfragen frei haben will und ja vermutlich nicht nur mit dir sprechen mag. Also kickt ihr euer Gespräch in die sog. "High-Ports" (1023+) - und auch dies merkt sich der Router. Der weiss jetzt dass das Gespräch von 123.123.123.123:32226 mit 124.124.124.124:32323 zwischen euch stattfindet und verteilt das ganze (hierfür gibt es im IP-Protokoll div. Flags wie SYN, ACK, RST, FIN,....).

Gehst du jetzt bei und machst ein statisches Port-Forward von innen nach aussen (for whatever reason) geht das natürlich auch (je nach Firewall-/Porteinstellmöglichkeiten). Du kannst natürlich auch sagen das von IP 123.123.123.123 jede Anfrage auf deine Router-IP x an Port 80 auf eine beliebige IP im Web auf einen beliebigen Port gehen soll. Mir persönlich würde jetzt ad hoc kein sinnvoller Einsatzzweck dafür einfallen - aber natürlich ist das technisch trotzdem möglich. Dies wären dann aber eher Dinge die ein Load-Balancer machen würde - die generelle Arbeitsweise bleibt aber ähnlich.
easy4breezy
easy4breezy 26.02.2016 um 08:24:47 Uhr
Goto Top
Ich habe nicht meines ganzes Wissen über Port-Forwarding hier niedergeschrieben, aber naja..

Ich möchte folgendes:
Im LAN sind verschiedene Konsolen im Einsatz, sowie ausschließlich iPhones, die für Facetime etc. extra Ports benötigen, die PS4 benötigt auch extra Ports für den Partychat und einige Spiele.
Ich kann aber schlecht für mehrere Geräte einen speziellen Port freigeben, da jedes Gerät natürlich eine IP hat.
DHCP ist trotz statischer IP- Vergabe mit MAC-Adress Verknüpfung an, da manche Geräte trotz manueller Eingabe der Settings trotzdem rausfliegen, warum auch immer.
Von daher kann ich auch ziemlich eindeutig einem Gerät einen Port zuweisen, aber wie gesagt immer nur einen.
Ich suche aber nach einer Lösung um einen Port an mehrere Geräte freizugeben, daher war meine Frage, ob ich einfach alle benötigten Ports für einen Server freigeben kann und alle anderen Geräten dann über diesen routen lassen kann.
Ich bin doch sicher nicht der einzige Mensch auf dieser Welt, der mehrere Kinder im Haushalt mit einer Konsole hat? ;)
maretz
maretz 26.02.2016 um 08:32:05 Uhr
Goto Top
nein - du bist nicht der einzige - aber was du willst ist auch nat.
Wenn du ein Port-Forward haben willst weil eine SW das auch von innen nach aussen braucht (mir wäre da nix bekannt) dann musst du halt verschiedene Ports nehmen oder uPNP nutzen (wobei uPNP auch eigentlich von aussen nach innen konfiguriert).
easy4breezy
easy4breezy 26.02.2016 um 08:56:10 Uhr
Goto Top
Naja, der Playstation Party Chat braucht Ports, Facetime auch.. und das sind nicht die einzigsten.
127132
127132 26.02.2016 um 08:57:24 Uhr
Goto Top
Ich suche aber nach einer Lösung um einen Port an mehrere Geräte freizugeben
Wieso willst du das eigentlich machen?
Deepsys
Deepsys 26.02.2016 um 09:21:16 Uhr
Goto Top
Moin,

Zitat von @easy4breezy:

Naja, der Playstation Party Chat braucht Ports, Facetime auch.. und das sind nicht die einzigsten.
Facetime braucht eingehende Ports?
Das wäre mir aber neu, und ja uPNP habe ich zu Hause deaktiviert und es klappt auch ohne offene eingehende Ports.
Und vor allem brauchst du dann, bei dynamischen IP, noch einen DNS-Dienst.
Genau wie TeamViewer, braucht auch keine eingehenden Ports.

Die meisten Programme bauen heute Verbindungen nach außen auf und sagen dann z.B. über die Apple Server das sie erreichbar sind.

Kann es sein das du evtl. auf dem falschen Weg unterwegs bist?
aqui
aqui 26.02.2016 um 09:27:57 Uhr
Goto Top
Da stellt sich meine Frage, wie Firmen das regeln.
Klassische Freitagsfrage....
Die arbeiten logischerweise mit VPNs !! Da stellt sich das Problem gar nicht erst.
Mal abgesehen davon das bei Port Forwarding die Firewall durchlöchert wird und viel schlimmer die ganze Welt diese Daten mitlesen kann da unverschlüsselt übertragen.
Eigentlich ist PFW ein NoGo heutzutage wem seine Daten lieb sind !
easy4breezy
easy4breezy 26.02.2016 um 10:21:51 Uhr
Goto Top
Ja eventuell missverstehe ich da etwas.. kann gut sein face-smile
Also kann ich ohne Bedenken alle Ports blocken?
Ich steh grade irgendwie auf dem Schlauch glaube ich ..
114757
114757 26.02.2016 aktualisiert um 10:52:43 Uhr
Goto Top
Zitat von @easy4breezy:
Ja eventuell missverstehe ich da etwas.. kann gut sein face-smile
Ja das sieht leider sehr danach aus ...
Also kann ich ohne Bedenken alle Ports blocken?
Ich steh grade irgendwie auf dem Schlauch glaube ich ..
Ziemlicher langer Schlauch ist das face-wink

Du solltest mal etwas mehr über die Funktionsweise eines Routers und NAT lesen. Für jede Anwendung/Gerät was von deinem internen Netz eine Verbindung nach außen aufbaut wird in der NAT-Tabelle des Routers ein Eintrag mit der Quell-Adresse und Quellport hinterlegt. D.h. das der Router Pakete die zu der laufenden Verbindung gehören auch automatisch wieder zurück ins Netz lässt. Verbindungen die von extern auf die IP des Routers auflaufen und nicht zu einer existierenden Verbindung gehören die von intern aufgebaut wurde werden natürlich geblockt

Du brauchst also für eine normales simples Netz und Otto-Normalrouter auf deiner Firewall keinerlei Ports auf dem WAN explizit öffnen. Die funktionieren out of-the-box.

Professionelle Firewalls (nicht die von Fritte und Co.!!) können Traffic natürlich über die Forwarding-Table von intern nach extern filtern, erst dann musst du explizit definieren welche Anwendungen du von intern nach extern kommunizieren dürfen.

Gruß jodel32
easy4breezy
easy4breezy 26.02.2016 um 11:00:13 Uhr
Goto Top
Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird? Dann ist das ja eigentlich nicht notwendig, denn ich rufe ja von intern den Port auf und will nach außen.
Aber ist es sinnvoll Ports von innen zu blocken?
Außer ich möchte nicht, dass jemand etwas bestimmtes macht, oder?

Ich habe das irgendwie umgedreht verstanden, dass man Portforwarding von innen nach außen benötigt, das erklärt auch meinen langen, langen Schlauch ;)

Also kann ich UpNp bedenkenlos ausschalten? Bzw ich tue es allein der Sicherheit wegen face-smile

Ich habe einen OpenWrt TP-Link und einen Asus AC87U mit der Merlin WRT Software im zur Verfügung, der Asus ist aber im Moment im Einsatz.
Von der fritzbox halte ich selbst auch recht wenig..
114757
114757 26.02.2016 aktualisiert um 11:09:11 Uhr
Goto Top
Zitat von @easy4breezy:

Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird? Dann ist das ja eigentlich nicht notwendig, denn ich rufe ja von intern den Port auf und will nach außen.
Sicher es gibt vereinzelte Anwendungen die bestimmte Ports angewiesen sind wie z.B. VoIP etc. Das ist aber nicht die Regel.
Aber ist es sinnvoll Ports von innen zu blocken?
Logisch, in Firmennetzen und Hotspots ist das gang und gebe ...
Außer ich möchte nicht, dass jemand etwas bestimmtes macht, oder?
Eben.
Ich habe das irgendwie umgedreht verstanden, dass man Portforwarding von innen nach außen benötigt, das erklärt auch meinen langen, langen Schlauch ;)
Nee, deswegen sage ich ja lesen die Unterlagen zu NAT (SRC-NAT und DST-NAT) dann wäre der Thread hier auch obsolet gewesen
https://de.wikipedia.org/wiki/Network_Address_Translation#Funktionsweise

Also kann ich UpNp bedenkenlos ausschalten? Bzw ich tue es allein der Sicherheit wegen face-smile
Ein vernünftiger Admin macht das immer, uPnP aktivierte Portöffnung ist ein absolutes NO-GO für ein sicheres Netz und ein Einfallstor für Viren und Trojaner!

Ich habe einen OpenWrt TP-Link und einen Asus AC87U mit der Merlin WRT Software im zur Verfügung, der Asus ist aber im Moment im Einsatz.
Naja auch alles nur China-Büchsen face-wink
maretz
maretz 26.02.2016 um 11:09:00 Uhr
Goto Top
Moin,

das wird nicht gehen mit deinem uPNP. Nochmal - das was das macht ist das dein Gerät INNEN sagt das es gewisse Port-Forwards von aussen nach innen gerne hätte (da der Entwickler ja weiss welche Ports er alle möchte). Es konfiguriert sozusagen deine Firewall "für dich" um.

Schaltest du jetzt also uPNP aus dann musst du selbst dafür sorgen das die Ports von aussen nach Innen passend weitergeleitet werden. Wenn du das kannst ist das kein Problem - wenn du das nicht machst gehen halt einige Dinge nicht. Z.B. möchtest du via Skype eine Datei geschickt bekommen - mit uPNP sorgt dein Skype (wenn es uPNP unterstützt, k.a.) dafür das die passenden Ports in der Firewall freigeschaltet und weitergeleitet werden. Ohne uPNP musst du diese Sachen halt dann manuell und statisch schalten - selbst wenn Skype nicht läuft sind die Forwards dann aktiv.

Ob das ganze jetzt eine Sicherheitslücke ist oder nicht liegt an deinem Setup - so pauschal lässt sich das auch nicht beantworten. Es ist nicht sicherer wenn du uPNP abschaltest aber dafür eh alles weiterleitest was fragt. Wenn du das dagegen überlegt machst und z.B. für BitTorrent die Forwards nicht einträgst während deine PSx dann eingetragen wird kann es die Sicherheit erhöhen...
119944
119944 26.02.2016 um 11:28:15 Uhr
Goto Top
Moin,

hab mich auch schon immer gefragt, warum immer auf die Xbox oder Playstation Ports weitergeleitet werden sollen...
Bei meinem MikroTik Router ist von außen alles dicht und die aktuelle Playstation funktioniert wie gewünscht.
Eine aktuelle Firewall funktioniert ja immer "statefull", dadurch können deine Geräte nach außen und die Gegenseite kann darauf reagieren.

Also kann ich UpNp bedenkenlos ausschalten?
Ja sicher! Ich hätte da eher so meine Bedenken wenn ich es an hätte...

VG
Val
easy4breezy
easy4breezy 26.02.2016 um 11:52:34 Uhr
Goto Top
Okay dann habe ich einfach alles was das Thema betrifft irgendwie falsch verstanden. Dann lasse ich uPnP aus und trage auch keine extra Ports ein.
Thema erledigt. Ein Heimnetz sicherer.

Danke allen für die schnelle Hilfe und die guten Erklärungen! face-smile
aqui
aqui 26.02.2016 aktualisiert um 17:16:19 Uhr
Goto Top
Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird?
Das ist für Otto Dummuser gedacht. Ansonsten können Solche Dienste doch von außen die Router Firewall nicht überwinden und das auch aus gutem Grund wie du dir denken kannst !
Du musst also wissentlich ein Loch in deine Firewall bohren und dem Router sagen:
"Hey, wenn von außen Party Dummchat und Call of Duty reinkommt, dann bitte keine Firewall dafür und forwarde mir das direkt auf mein internes LAN und dort bitte Rechner mit der IP xyz "
Das sowas gefährlich sein kann liegt auf der Hand, denn wenn nun einer den Call of Duty Port missbraucht um mit einem Amgriffstool zuzuschlagen landet der direkt auf dem Call of Duty Rechner.....
Man sollte sich also sehr gut überlegen was man da freigibt.
Abgesehen davon ist der Chat, Call of Duty oder sonstwas nicht geschützt und für jedermann abhörbar im Internet. Auch da sollte man sich gut überlegen WAS man da spricht...
Mit einem VPN hat man solche Probleme nicht !
P.S.: Ist der Thread jetzt gelöst oder warum hast du ihn auf gelöst geklickt ?!
easy4breezy
easy4breezy 26.02.2016 um 17:56:15 Uhr
Goto Top
Ja das geöffnete Ports unsicher sind von außen ist mir bewusst, daher habe ich lieber mal hier nachgefragt.
Und ja es ist gelöst, ich hab ja gedacht bzw. verwechselt das Portforwarding von innen nach außen ist und nicht wie es wirklich ist von außen nach innen, was eben genau das Sicherheitsproblem ist.
Daher schalte ich einfach uPnP aus und öffne auch keine Ports.
Sollte ja klappen?
Damit ist meine Frage sozusagen gelöst, ich habe es einfach falsch verstanden.
Vision2015
Vision2015 27.02.2016 um 21:26:04 Uhr
Goto Top
Zitat von @maretz:

Uff - dafür das du dich schon "eine Weile" damit beschäftigst ist das aber noch ausbaufähig...

das hast du schön gesagt....