3
W10P: Zugriff auf APP via HTTP nur mit Portangabe möglich
Hallo zusammen ...
Ich habe ein Problem, welches ich nicht in den Griff bekomme.
Fritzbox 7490
Lenovo Thinkstation i7 mit W10P, Subsonic Server HTTP auf Port 4040, Tonido "Cloud" HTTP auf Port 10001
Hyper-V mit Ubuntu 16.04 LTS, Apache, Mariadb, Nextcloud, SSL, Port 443
Der Subsonic Server wird über eine Subdomain angesprochen, geht grundsätzlich nur per subsonic.xxxxxxxx.de:4040 Port forwarding aktiv
Tonido wird über einen eigenen DynDNS Service xxxxx.tonidoid.com angesprochen, dafür braucht der Port nicht mal in der Fritzbox eingetragen werden
Die Nextcloud wird auch (wie subsonic) über eine eigene Subdomain angesprochen die als DynDNS konfiguriert werden kann, ohne Port forwarding geht nix
Es läuft kein AV außer der W10P interne, die Programme sind in der Firewall freigegeben, Firewall ganz aus bringt auch nichts.
Erstens irritiert mich die unterschiedliche Behandlung der Ports in der fritzbox.
Zweitens würde ich gerne das :4040 für den Zugriff weg bekommen.
Hat jemand eine Idee?
Ich habe ein Problem, welches ich nicht in den Griff bekomme.
Fritzbox 7490
Lenovo Thinkstation i7 mit W10P, Subsonic Server HTTP auf Port 4040, Tonido "Cloud" HTTP auf Port 10001
Hyper-V mit Ubuntu 16.04 LTS, Apache, Mariadb, Nextcloud, SSL, Port 443
Der Subsonic Server wird über eine Subdomain angesprochen, geht grundsätzlich nur per subsonic.xxxxxxxx.de:4040 Port forwarding aktiv
Tonido wird über einen eigenen DynDNS Service xxxxx.tonidoid.com angesprochen, dafür braucht der Port nicht mal in der Fritzbox eingetragen werden
Die Nextcloud wird auch (wie subsonic) über eine eigene Subdomain angesprochen die als DynDNS konfiguriert werden kann, ohne Port forwarding geht nix
Es läuft kein AV außer der W10P interne, die Programme sind in der Firewall freigegeben, Firewall ganz aus bringt auch nichts.
Erstens irritiert mich die unterschiedliche Behandlung der Ports in der fritzbox.
Zweitens würde ich gerne das :4040 für den Zugriff weg bekommen.
Hat jemand eine Idee?
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 372192
Url: https://administrator.de/contentid/372192
Ausgedruckt am: 24.11.2024 um 16:11 Uhr
3 Kommentare
Neuester Kommentar
Hallo,
https://en.wikipedia.org/wiki/Tonido
https://www.sans.edu/student-files/presentations/LVReverseShell.pdf
https://en.wikipedia.org/wiki/Reverse_connection
Fazit. Dein LAN und Inhalt steht jedem offen wenn er über Tonido zu dir kommt. Wolke halt.
Gruß,
Peter
Zitat von @3Dscrewer:
Tonido wird über einen eigenen DynDNS Service xxxxx.tonidoid.com angesprochen, dafür braucht der Port nicht mal in der Fritzbox eingetragen werden
Dafür hält der Permanent einen Port zu Tonido offen und bekommst so deine anfragen. Wolke halt.Tonido wird über einen eigenen DynDNS Service xxxxx.tonidoid.com angesprochen, dafür braucht der Port nicht mal in der Fritzbox eingetragen werden
Erstens irritiert mich die unterschiedliche Behandlung der Ports in der fritzbox.
Nun, wenn Tonido keine Ports benötigt da es für deine Fritte nur Ausgehender Verkher darstellt...Zweitens würde ich gerne das :4040 für den Zugriff weg bekommen.
Dann ändere doch am Server und bei den Freigabe(n) alles auf 80 ab, sofern nichts bei dir läuft was den Port 80 schon verwendet.https://en.wikipedia.org/wiki/Tonido
https://www.sans.edu/student-files/presentations/LVReverseShell.pdf
https://en.wikipedia.org/wiki/Reverse_connection
Fazit. Dein LAN und Inhalt steht jedem offen wenn er über Tonido zu dir kommt. Wolke halt.
Gruß,
Peter
1
Erstens irritiert mich die unterschiedliche Behandlung der Ports in der fritzbox.
Dein Rechner baut eine Verbindung mit tonido.com über die tonido Software auf, Raus darf er ja und damit
die Antwort auch wieder rein.
Reverse access ein alter Hut nett verpackt und ein Grund warum Firewalls ohne DeepPacket Inspection sich
nur Packetfilter schimpfen dürfen.
Zweitens würde ich gerne das :4040 für den Zugriff weg bekommen.
Gar nicht. HTTP ist per Definition Port 80 (und Https 443).Das ist was die Browser kennen und nicht anzeigen. Jeglicher HTTP Dienst
der über einen anderen Port angesprochen wird wird dann halt auch mit dem Port im Browser angezeigt.
Einzige Abhilfe währe es den Dienst auf Port 80 Lauschen lassen, oder wenn nur von draußen "schick" sein soll.
nur die Portweiterleitung von 80 auf 4040 einrichten.
Je Nach lese Art hast du ggf. schon was auf Port 80 laufen. Dann würde nur noch
ein eigner Reserve Proxy helfen der das dann intern richtig umleitet.
1
Vielen Dank,
in der Tat ....
tonido.exe 9420 TCP xxxxx.fritz.box 55126 xxxxxxxx.ip4.static.sl-reverse.com 24466 ESTABLISHED 11 1.166 11 759
damit hatte ich nicht gerechnet, erklärt aber auch, warum das an meinem vorherigen DS-Lite Stack funktioniert hat.
Ja, Reverse Proxy, geht mit der Pro auch, also mal was zum lesen .... weil ich ohnehin auf den anderen Apps auch SSL haben wollte.
Die Frage wäre dann nur noch ob ich das besser aus der VM heraus mit Apache2 löse oder via IIS.
Nun gut immerhin habe ich einen Ansatz.
in der Tat ....
tonido.exe 9420 TCP xxxxx.fritz.box 55126 xxxxxxxx.ip4.static.sl-reverse.com 24466 ESTABLISHED 11 1.166 11 759
damit hatte ich nicht gerechnet, erklärt aber auch, warum das an meinem vorherigen DS-Lite Stack funktioniert hat.
Ja, Reverse Proxy, geht mit der Pro auch, also mal was zum lesen .... weil ich ohnehin auf den anderen Apps auch SSL haben wollte.
Die Frage wäre dann nur noch ob ich das besser aus der VM heraus mit Apache2 löse oder via IIS.
Nun gut immerhin habe ich einen Ansatz.
