Multiple Port Forwarding
Hi Leute,
ich beschäftige mich schon eine Weile mit den Ports und wie das Forwarding läuft etc.
Nun möchte ich eigene Ports freigeben und das sowieso unsichere UpnP in die Rente schicken.
Problem hierbei ist, dass sich mehrere Geräte im LAN befinden.
Da stellt sich meine Frage, wie Firmen das regeln.
Da man Ports ja nur für eine IP freigeben kann, muss es ja eventuell über eine Server-Client Verbindung funktionieren?
Sagen wir ich öffne alle Ports, die ich eben offen habe möchte für den Server und alle weiteren Geräte in LAN routen über den Server.
Ist so etwas überhaupt möglich?
Oder wie kann man das am besten umsetzen?
Liebe Grüße
Easy4Breezy
ich beschäftige mich schon eine Weile mit den Ports und wie das Forwarding läuft etc.
Nun möchte ich eigene Ports freigeben und das sowieso unsichere UpnP in die Rente schicken.
Problem hierbei ist, dass sich mehrere Geräte im LAN befinden.
Da stellt sich meine Frage, wie Firmen das regeln.
Da man Ports ja nur für eine IP freigeben kann, muss es ja eventuell über eine Server-Client Verbindung funktionieren?
Sagen wir ich öffne alle Ports, die ich eben offen habe möchte für den Server und alle weiteren Geräte in LAN routen über den Server.
Ist so etwas überhaupt möglich?
Oder wie kann man das am besten umsetzen?
Liebe Grüße
Easy4Breezy
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 297448
Url: https://administrator.de/forum/multiple-port-forwarding-297448.html
Ausgedruckt am: 23.12.2024 um 07:12 Uhr
17 Kommentare
Neuester Kommentar
Uff - dafür das du dich schon "eine Weile" damit beschäftigst ist das aber noch ausbaufähig...
Also erstmal ist die Frage was du möchtest... Von aussen (internet) auf einen Server weiterleiten geht eh nur per Port-Forward (uPnP übers Internet wäre ... merkwürdig...). Jetzt sagst du deinem Router also alles was auf Port 80 ankommt geht halt auf IP xyz - auch auf Port 80 (portnummern sind beides mal variabel).
Von innen nach aussen hast du normal kein Port-Forwarding sondern ein reines NAT -> d.h. du öffnest eine Verbindung (z.B. rufst du http://www.meinelieblingsseite.de auf -> also Port 80). Jetzt sagt dein Router (sofern du keine Firewall hast oder der Port erlaubt ist) "alles klar, geht durch". Du sendest also das erste Paket (sozusagen ein "Hallo, hier bin ich") an den Webserver. Wenn der dir jetzt antworten möchte hat sich dein Router gemerkt das deine IP 123.123.123.123 an die IP 124.124.124.124 auf Port 80 was geschickt hat, dies in der Network-Adress-Translation-Table abgelegt und routet die Antwort direkt wieder zu dir. Als nächstes handelst du mit dem Server eh einen anderen Port aus auf dem du kommunizierst - da der Server Port 80 gerne wieder für andere Anfragen frei haben will und ja vermutlich nicht nur mit dir sprechen mag. Also kickt ihr euer Gespräch in die sog. "High-Ports" (1023+) - und auch dies merkt sich der Router. Der weiss jetzt dass das Gespräch von 123.123.123.123:32226 mit 124.124.124.124:32323 zwischen euch stattfindet und verteilt das ganze (hierfür gibt es im IP-Protokoll div. Flags wie SYN, ACK, RST, FIN,....).
Gehst du jetzt bei und machst ein statisches Port-Forward von innen nach aussen (for whatever reason) geht das natürlich auch (je nach Firewall-/Porteinstellmöglichkeiten). Du kannst natürlich auch sagen das von IP 123.123.123.123 jede Anfrage auf deine Router-IP x an Port 80 auf eine beliebige IP im Web auf einen beliebigen Port gehen soll. Mir persönlich würde jetzt ad hoc kein sinnvoller Einsatzzweck dafür einfallen - aber natürlich ist das technisch trotzdem möglich. Dies wären dann aber eher Dinge die ein Load-Balancer machen würde - die generelle Arbeitsweise bleibt aber ähnlich.
Also erstmal ist die Frage was du möchtest... Von aussen (internet) auf einen Server weiterleiten geht eh nur per Port-Forward (uPnP übers Internet wäre ... merkwürdig...). Jetzt sagst du deinem Router also alles was auf Port 80 ankommt geht halt auf IP xyz - auch auf Port 80 (portnummern sind beides mal variabel).
Von innen nach aussen hast du normal kein Port-Forwarding sondern ein reines NAT -> d.h. du öffnest eine Verbindung (z.B. rufst du http://www.meinelieblingsseite.de auf -> also Port 80). Jetzt sagt dein Router (sofern du keine Firewall hast oder der Port erlaubt ist) "alles klar, geht durch". Du sendest also das erste Paket (sozusagen ein "Hallo, hier bin ich") an den Webserver. Wenn der dir jetzt antworten möchte hat sich dein Router gemerkt das deine IP 123.123.123.123 an die IP 124.124.124.124 auf Port 80 was geschickt hat, dies in der Network-Adress-Translation-Table abgelegt und routet die Antwort direkt wieder zu dir. Als nächstes handelst du mit dem Server eh einen anderen Port aus auf dem du kommunizierst - da der Server Port 80 gerne wieder für andere Anfragen frei haben will und ja vermutlich nicht nur mit dir sprechen mag. Also kickt ihr euer Gespräch in die sog. "High-Ports" (1023+) - und auch dies merkt sich der Router. Der weiss jetzt dass das Gespräch von 123.123.123.123:32226 mit 124.124.124.124:32323 zwischen euch stattfindet und verteilt das ganze (hierfür gibt es im IP-Protokoll div. Flags wie SYN, ACK, RST, FIN,....).
Gehst du jetzt bei und machst ein statisches Port-Forward von innen nach aussen (for whatever reason) geht das natürlich auch (je nach Firewall-/Porteinstellmöglichkeiten). Du kannst natürlich auch sagen das von IP 123.123.123.123 jede Anfrage auf deine Router-IP x an Port 80 auf eine beliebige IP im Web auf einen beliebigen Port gehen soll. Mir persönlich würde jetzt ad hoc kein sinnvoller Einsatzzweck dafür einfallen - aber natürlich ist das technisch trotzdem möglich. Dies wären dann aber eher Dinge die ein Load-Balancer machen würde - die generelle Arbeitsweise bleibt aber ähnlich.
nein - du bist nicht der einzige - aber was du willst ist auch nat.
Wenn du ein Port-Forward haben willst weil eine SW das auch von innen nach aussen braucht (mir wäre da nix bekannt) dann musst du halt verschiedene Ports nehmen oder uPNP nutzen (wobei uPNP auch eigentlich von aussen nach innen konfiguriert).
Wenn du ein Port-Forward haben willst weil eine SW das auch von innen nach aussen braucht (mir wäre da nix bekannt) dann musst du halt verschiedene Ports nehmen oder uPNP nutzen (wobei uPNP auch eigentlich von aussen nach innen konfiguriert).
Ich suche aber nach einer Lösung um einen Port an mehrere Geräte freizugeben
Wieso willst du das eigentlich machen?
Moin,
Das wäre mir aber neu, und ja uPNP habe ich zu Hause deaktiviert und es klappt auch ohne offene eingehende Ports.
Und vor allem brauchst du dann, bei dynamischen IP, noch einen DNS-Dienst.
Genau wie TeamViewer, braucht auch keine eingehenden Ports.
Die meisten Programme bauen heute Verbindungen nach außen auf und sagen dann z.B. über die Apple Server das sie erreichbar sind.
Kann es sein das du evtl. auf dem falschen Weg unterwegs bist?
Zitat von @easy4breezy:
Naja, der Playstation Party Chat braucht Ports, Facetime auch.. und das sind nicht die einzigsten.
Facetime braucht eingehende Ports?Naja, der Playstation Party Chat braucht Ports, Facetime auch.. und das sind nicht die einzigsten.
Das wäre mir aber neu, und ja uPNP habe ich zu Hause deaktiviert und es klappt auch ohne offene eingehende Ports.
Und vor allem brauchst du dann, bei dynamischen IP, noch einen DNS-Dienst.
Genau wie TeamViewer, braucht auch keine eingehenden Ports.
Die meisten Programme bauen heute Verbindungen nach außen auf und sagen dann z.B. über die Apple Server das sie erreichbar sind.
Kann es sein das du evtl. auf dem falschen Weg unterwegs bist?
Da stellt sich meine Frage, wie Firmen das regeln.
Klassische Freitagsfrage....Die arbeiten logischerweise mit VPNs !! Da stellt sich das Problem gar nicht erst.
Mal abgesehen davon das bei Port Forwarding die Firewall durchlöchert wird und viel schlimmer die ganze Welt diese Daten mitlesen kann da unverschlüsselt übertragen.
Eigentlich ist PFW ein NoGo heutzutage wem seine Daten lieb sind !
Ja das sieht leider sehr danach aus ...
Du solltest mal etwas mehr über die Funktionsweise eines Routers und NAT lesen. Für jede Anwendung/Gerät was von deinem internen Netz eine Verbindung nach außen aufbaut wird in der NAT-Tabelle des Routers ein Eintrag mit der Quell-Adresse und Quellport hinterlegt. D.h. das der Router Pakete die zu der laufenden Verbindung gehören auch automatisch wieder zurück ins Netz lässt. Verbindungen die von extern auf die IP des Routers auflaufen und nicht zu einer existierenden Verbindung gehören die von intern aufgebaut wurde werden natürlich geblockt
Du brauchst also für eine normales simples Netz und Otto-Normalrouter auf deiner Firewall keinerlei Ports auf dem WAN explizit öffnen. Die funktionieren out of-the-box.
Professionelle Firewalls (nicht die von Fritte und Co.!!) können Traffic natürlich über die Forwarding-Table von intern nach extern filtern, erst dann musst du explizit definieren welche Anwendungen du von intern nach extern kommunizieren dürfen.
Gruß jodel32
Also kann ich ohne Bedenken alle Ports blocken?
Ich steh grade irgendwie auf dem Schlauch glaube ich ..
Ziemlicher langer Schlauch ist das Ich steh grade irgendwie auf dem Schlauch glaube ich ..
Du solltest mal etwas mehr über die Funktionsweise eines Routers und NAT lesen. Für jede Anwendung/Gerät was von deinem internen Netz eine Verbindung nach außen aufbaut wird in der NAT-Tabelle des Routers ein Eintrag mit der Quell-Adresse und Quellport hinterlegt. D.h. das der Router Pakete die zu der laufenden Verbindung gehören auch automatisch wieder zurück ins Netz lässt. Verbindungen die von extern auf die IP des Routers auflaufen und nicht zu einer existierenden Verbindung gehören die von intern aufgebaut wurde werden natürlich geblockt
Du brauchst also für eine normales simples Netz und Otto-Normalrouter auf deiner Firewall keinerlei Ports auf dem WAN explizit öffnen. Die funktionieren out of-the-box.
Professionelle Firewalls (nicht die von Fritte und Co.!!) können Traffic natürlich über die Forwarding-Table von intern nach extern filtern, erst dann musst du explizit definieren welche Anwendungen du von intern nach extern kommunizieren dürfen.
Gruß jodel32
Zitat von @easy4breezy:
Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird? Dann ist das ja eigentlich nicht notwendig, denn ich rufe ja von intern den Port auf und will nach außen.
Sicher es gibt vereinzelte Anwendungen die bestimmte Ports angewiesen sind wie z.B. VoIP etc. Das ist aber nicht die Regel.Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird? Dann ist das ja eigentlich nicht notwendig, denn ich rufe ja von intern den Port auf und will nach außen.
Aber ist es sinnvoll Ports von innen zu blocken?
Logisch, in Firmennetzen und Hotspots ist das gang und gebe ...Außer ich möchte nicht, dass jemand etwas bestimmtes macht, oder?
Eben.Ich habe das irgendwie umgedreht verstanden, dass man Portforwarding von innen nach außen benötigt, das erklärt auch meinen langen, langen Schlauch ;)
Nee, deswegen sage ich ja lesen die Unterlagen zu NAT (SRC-NAT und DST-NAT) dann wäre der Thread hier auch obsolet gewesenhttps://de.wikipedia.org/wiki/Network_Address_Translation#Funktionsweise
Also kann ich UpNp bedenkenlos ausschalten? Bzw ich tue es allein der Sicherheit wegen
Ein vernünftiger Admin macht das immer, uPnP aktivierte Portöffnung ist ein absolutes NO-GO für ein sicheres Netz und ein Einfallstor für Viren und Trojaner!Ich habe einen OpenWrt TP-Link und einen Asus AC87U mit der Merlin WRT Software im zur Verfügung, der Asus ist aber im Moment im Einsatz.
Naja auch alles nur China-Büchsen
Moin,
das wird nicht gehen mit deinem uPNP. Nochmal - das was das macht ist das dein Gerät INNEN sagt das es gewisse Port-Forwards von aussen nach innen gerne hätte (da der Entwickler ja weiss welche Ports er alle möchte). Es konfiguriert sozusagen deine Firewall "für dich" um.
Schaltest du jetzt also uPNP aus dann musst du selbst dafür sorgen das die Ports von aussen nach Innen passend weitergeleitet werden. Wenn du das kannst ist das kein Problem - wenn du das nicht machst gehen halt einige Dinge nicht. Z.B. möchtest du via Skype eine Datei geschickt bekommen - mit uPNP sorgt dein Skype (wenn es uPNP unterstützt, k.a.) dafür das die passenden Ports in der Firewall freigeschaltet und weitergeleitet werden. Ohne uPNP musst du diese Sachen halt dann manuell und statisch schalten - selbst wenn Skype nicht läuft sind die Forwards dann aktiv.
Ob das ganze jetzt eine Sicherheitslücke ist oder nicht liegt an deinem Setup - so pauschal lässt sich das auch nicht beantworten. Es ist nicht sicherer wenn du uPNP abschaltest aber dafür eh alles weiterleitest was fragt. Wenn du das dagegen überlegt machst und z.B. für BitTorrent die Forwards nicht einträgst während deine PSx dann eingetragen wird kann es die Sicherheit erhöhen...
das wird nicht gehen mit deinem uPNP. Nochmal - das was das macht ist das dein Gerät INNEN sagt das es gewisse Port-Forwards von aussen nach innen gerne hätte (da der Entwickler ja weiss welche Ports er alle möchte). Es konfiguriert sozusagen deine Firewall "für dich" um.
Schaltest du jetzt also uPNP aus dann musst du selbst dafür sorgen das die Ports von aussen nach Innen passend weitergeleitet werden. Wenn du das kannst ist das kein Problem - wenn du das nicht machst gehen halt einige Dinge nicht. Z.B. möchtest du via Skype eine Datei geschickt bekommen - mit uPNP sorgt dein Skype (wenn es uPNP unterstützt, k.a.) dafür das die passenden Ports in der Firewall freigeschaltet und weitergeleitet werden. Ohne uPNP musst du diese Sachen halt dann manuell und statisch schalten - selbst wenn Skype nicht läuft sind die Forwards dann aktiv.
Ob das ganze jetzt eine Sicherheitslücke ist oder nicht liegt an deinem Setup - so pauschal lässt sich das auch nicht beantworten. Es ist nicht sicherer wenn du uPNP abschaltest aber dafür eh alles weiterleitest was fragt. Wenn du das dagegen überlegt machst und z.B. für BitTorrent die Forwards nicht einträgst während deine PSx dann eingetragen wird kann es die Sicherheit erhöhen...
Moin,
hab mich auch schon immer gefragt, warum immer auf die Xbox oder Playstation Ports weitergeleitet werden sollen...
Bei meinem MikroTik Router ist von außen alles dicht und die aktuelle Playstation funktioniert wie gewünscht.
Eine aktuelle Firewall funktioniert ja immer "statefull", dadurch können deine Geräte nach außen und die Gegenseite kann darauf reagieren.
VG
Val
hab mich auch schon immer gefragt, warum immer auf die Xbox oder Playstation Ports weitergeleitet werden sollen...
Bei meinem MikroTik Router ist von außen alles dicht und die aktuelle Playstation funktioniert wie gewünscht.
Eine aktuelle Firewall funktioniert ja immer "statefull", dadurch können deine Geräte nach außen und die Gegenseite kann darauf reagieren.
Also kann ich UpNp bedenkenlos ausschalten?
Ja sicher! Ich hätte da eher so meine Bedenken wenn ich es an hätte...VG
Val
Warum gibt es dann Anleitungen im Internet, dass man z.B. für den PSN-Partychat Ports freigeben muss? Oder für Call of Duty, dass der NAT Typ offen wird?
Das ist für Otto Dummuser gedacht. Ansonsten können Solche Dienste doch von außen die Router Firewall nicht überwinden und das auch aus gutem Grund wie du dir denken kannst !Du musst also wissentlich ein Loch in deine Firewall bohren und dem Router sagen:
"Hey, wenn von außen Party Dummchat und Call of Duty reinkommt, dann bitte keine Firewall dafür und forwarde mir das direkt auf mein internes LAN und dort bitte Rechner mit der IP xyz "
Das sowas gefährlich sein kann liegt auf der Hand, denn wenn nun einer den Call of Duty Port missbraucht um mit einem Amgriffstool zuzuschlagen landet der direkt auf dem Call of Duty Rechner.....
Man sollte sich also sehr gut überlegen was man da freigibt.
Abgesehen davon ist der Chat, Call of Duty oder sonstwas nicht geschützt und für jedermann abhörbar im Internet. Auch da sollte man sich gut überlegen WAS man da spricht...
Mit einem VPN hat man solche Probleme nicht !
P.S.: Ist der Thread jetzt gelöst oder warum hast du ihn auf gelöst geklickt ?!
Zitat von @maretz:
Uff - dafür das du dich schon "eine Weile" damit beschäftigst ist das aber noch ausbaufähig...
das hast du schön gesagt....Uff - dafür das du dich schon "eine Weile" damit beschäftigst ist das aber noch ausbaufähig...