Wie komme ich von meinem PC uber Router zum anderen PC

[gms]

Und warum muss ich dann jedesmal meine firewall ausschalten damit ich auf denn pc
zugreife wie machen das hacker schalten die auch meine firewall aus?

Die Hacker können eine Firewall so konfigurieren, daß sie erlaubte Dienste duchlassen und nicht erlaubte blockieren. Das ist offensichtlich ein Handwerk, welches du noch erlernen müßtest/solltest

[Xfan]

Und warum muss ich dann jedesmal meine firewall ausschalten damit ich auf denn pc
zugreife wie machen das hacker schalten die auch meine firewall aus?

Die Hacker können eine Firewall so konfigurieren, daß sie erlaubte Dienste duchlassen und nicht erlaubte blockieren. Das ist offensichtlich ein Handwerk, welches du noch erlernen müßtest/solltest

Aber wie das denn die loggen sich von aussen ein und konfigurieren meine Firewall
und dann loggen sich mit telnet oder ssh ein?
Und was ich mich schon immer gefragt habe der port 80 ist ja fürs http
und der ist ja immer offen praktisch können die auch über denn port 80 mit telnet reinkommen
oder?

[iamnew]

hallo,

wenn ich mich mal kurz einmischen darf?

zur erklärung, in großen firmennetzwerken gibt es dhcp nur für mobile geräte, alles was feststehend ist wird auch statisch konfiguriert. dhcp hat eine funktion die sich leasetime nennt und mit der mann festlegen kann, wie lange der pc diese adresse benutzen darf bevor er eine andere benutzen muss. dhcp ist nur sinnvoll, wenn man eine lanstruktur hat in der man mobile geräte beherbergrn möchte, und bietet damit leider auch noch eine großes sicherheitsloch, da jeder der sich einloggt auch einen ip adresse aus dem segment bekommt.
da ich hier viel gelesen habe, was man braucht um auf den zweiten rechner zuzugreifen, aber nicht wirklich erfahren konnte was du eigentlich zwischen den beiden rechnern machen möchtest, noch mal die frage? willst du daten und recourcen sharen oder willst du mittels des einen pc den anderen hacken und dies live kontrollieren?
alle anregungen die ich in diesem themsa gelesen habe sind super für beide möglichkeiten, aber ich gebe gms recht, du solltest darüber nachdenken, ob du nicht den pc (oben auf den du zugreifen möchtest) auf eine statische adresse umstellst.
du kannst dein anderen pc immer noch über die dhcp fuunktion betreiben, da sich der adressraum auch auf eine oder zwei adresse beschränken läst.
ich weiß nicht ob du ein wlan betreibst und dein zweiter pc ein laptop ist, aber aus sicherheitsgründen falls es bei dir so ist, würde ich mal überlegen den standard adressbereich 192.168.0.X zu wechseln. wenn du angst hast, das die kiddies dein zugang knacken, musst du noch viel über security lernen und auch anwenden, da alle router immer eine standardeinstellung haben die man tunlichst verändern sollt um zumindestens die grundlegenden security features auzunutzen die mit dem router geliefert werden.
also was hast du vor, dann kann man evtl. gezielter darauf hintarbeiten deine einstellungen und probleme zu behandeln.
tö iamnew

[Xfan]

hallo,



zur erklärung, in großen firmennetzwerken gibt es dhcp nur für mobile geräte,

Nehmen wir an die Firma hat 2000 pcs die konfigurieren die doch nicht einzeln
soweit ich weiss wird doch ein dhcp server konfiguriert der das managet oder nicht?

willst du daten und recourcen sharen oder willst du mittels des einen pc den anderen hacken und dies live kontrollieren?

Beides wollte mich etwas tiefer mit der materie auseinnadersetzten

ich weiß nicht ob du ein wlan betreibst und dein zweiter pc ein laptop ist, aber aus sicherheitsgründen falls es bei dir so ist, würde ich mal überlegen den standard adressbereich 192.168.0.X zu wechseln.

Habe 2 Router 1 normalen und ein wlan und ein notebook mit pcmci wlan karte.

adressbereich ändern in zbs 10.0.0.255 ?

wenn du angst hast, das die kiddies dein zugang knacken, musst du noch viel über security lernen und auch anwenden, da alle router immer eine standardeinstellung haben die man tunlichst verändern sollt um zumindestens die grundlegenden security features auzunutzen die mit dem router geliefert werden.

Ja ich habe angst unsichere config zu betreiben und ich möchte mehr über security lernen was sind denn deiner meinung die grundlegenden security feature?
Die ich an meinem Router ändern sollte?

also was hast du vor, dann kann man evtl. gezielter darauf hintarbeiten deine einstellungen und probleme zu behandeln.

Ich möchte alles gut absichern und dennoch ohne probleme zugreifen zu können
und ich will mal meinen eigenen pc hacken damit ich das nachvollziehe wie das
geht hat mich immer gejuckt natürlich nur meinen.
Es ist nicht so das ich keinen plan über netzwerkmaterie habe sagen wir mal
mehr die theorie als praxis.
Ich blicke zwar netzwerke zu configurieren standart aber nicht mit sicherheitsfeature
und mit telnet und ssh habe ich auch nicht richtig gearbeitet.
Aber ich bin Lernwillig und blicke alles schnell.
Und wenn ich telnet starte auf dem laptop
1. muss ich auf dem anderen pc auch telnet starten damit das funzt?
wenn ich von meinem laptop telnet starte mit open 192.168.0.199
dann kommt keine verbindung zustande warum das?
der andere pc hat diese ip was mache ich da falsch?

Es ist für mich kein Problem wenn jeder was schreibst bin auch jedem dankbar
wenn er vollständig meine Fragen beantwortet.

gruss Xfan[/quote]

[iamnew]

hallo Xfan,

xfan: Nehmen wir an die Firma hat 2000 pcs die konfigurieren die doch nicht einzeln
soweit ich weiss wird doch ein dhcp server konfiguriert der das managet oder nicht?

soweit so gut, aber das ist nicht wirklich so, da dieses netzwerk mit dhcp nicht mehr händelbar wäre. auch ein firmennetzwerk wird in verschiedene teile (subnetze) aufgeteilt, sonst ist die geschichte nicht mehr administrierbar. dhcp wird von jedem administrator den ich kenne nur wiederwillig und wenn dann nur begrenzt auf mobilgeräte eingesetzt. (bin selbst soeiner)

grundlegend zur Sicherheit bei soho netzwerken, wie man sie nennt (small office home office), ist es erstmal den default adressbereich zu ändern, den kennt nämlich jeder, da du die manual von den herstellern runterladen kannst, wo sie nun einmal vermerkt sind, da der user ja auch seinen router konfigurieren muss. so ist das auch mit allen einstellungen die der router in bezug auf sicherheit bietet. es ist im manual vermerkt, welche prot freigeschaltet sind und was vom router beantwortet wird, einfach alles ist beschrieben.
dies bietet natürlich viel angirffsmöglichkeiten. also solltest du dir klar werden, welche ports must du nach draussen haben (tcp so wie udp ports sperren, die man nicht benötigt). viele router haben offenen ports für geschichten wie gambling für xbox oder für software wie viren porgramme. wenn man diese nicht hat, protweiterleitung abschalten.
weiterhin überlegen, ob überhaupt jemnad von aussen deinen router sehen darf (ping)
bei den meisten routern kann man die anfrage des ping (wird über das protokoll icmp abgewickelt) einfach abblocken, das heißt, der ping wird einfach verworfen und der anfragende bekommt keine rückmeldung, sieht somit auch nicht die adresse, falls er einen broadcast ping macht (sollte in großen netzen eh vom admin verboten sein aufs netzwerk zu pingen).
dann haben wir da noch das lästige thema wlan. als admin eines netzwerks kann ich nur sagen, eingentlich sollte man nichts anderes als wpa benutzen oder sogar noch einen authentifizierungsserver betreiben (tacacs oder radius, etwas übertrieben) den auch die Verschlüsselung mit wep ist nicht dass mass der dinge um sicher zu sein (knacken eines schlüssels mit 128bit geht auch schon mal in einer stunde)
all diese dinge schränken nicht dein tuen im internen lan oder nach aussen ins internet ein, sondern nur den verkehr der von aussen auf deinen router zugreifen will.

Bei der administration per telnet oder ssh sieht die sache so aus.
Beide geschichten sind sine client host anwendung (wie fast alles in der netzwerk und computerwelt)
das heißt: wenn du den befehl absetzt, muss auf der anderen seite auch jemand die befehle entgegennehmen können. also auf dem PC auf den du zugreifen willst (zb windows) musst du den server erstmal aktivieren (systemsteuerung / dienst / telnet / automatisch starten), dann nimmt er deine anfrage vom anderen pc auch an und fragt nach den login daten.
ssh ist genau das selbe nur auf einer etwas sichereren schiene, wobei hier keine implementation in windows vorhanden ist. kann man aber über freewarre wie cgywin oder ähnliches auch gestallten (cygwin ist der server und zb putty als client)
bei linux gibt es das glieche sshd und clients in hülle und fülle.

also versuch mal dein glück und viel spaß

[herrchen]

dhcp wird von jedem administrator den ich kenne nur wiederwillig und wenn dann nur begrenzt auf mobilgeräte eingesetzt. (bin selbst soeiner)

off-topic:
hast du dafür eine sinnvolle begründung?

herrchen

[Xfan]

bei den meisten routern kann man die anfrage des ping (wird über das protokoll icmp abgewickelt) einfach abblocken,

Weist du wie diese option zufällig heist die man da einstellt?

den auch die Verschlüsselung mit wep ist nicht dass mass der dinge um sicher zu sein (knacken eines schlüssels mit 128bit geht auch schon mal in einer stunde)

wenn das so ist wie ist es dann bei der bank die benutzen doch auch 128bit https
dann ist das ja auch easy knackbar?

Beide geschichten sind sine client host anwendung (wie fast alles in der netzwerk und computerwelt)

Also verstehe ich das richtig wenn man keine ports offen hat und keine anwendung (telnet ssh )installiert hat ist es unmöglich in denn rechner reinzukommen ?
Oder gibt es da doch möglichkeiten zbs über port 80 der ist doch immer offen fürs net?
Weil wenn ich denn zumache dann kann ich doch gar nicht http benutzen oder?
[/quote]
gruss Xfan

[herrchen]

bei den meisten routern kann man die anfrage des ping (wird über das protokoll icmp abgewickelt) einfach abblocken,

Weist du wie diese option zufällig heist die man da einstellt?

diese option ist eher "schlangenöl", als ein sinnvolles feature.

wie ist es dann bei der bank die benutzen doch auch 128bit https dann ist das ja auch easy knackbar?

nein, die schwäche liegt bei WEP.

Also verstehe ich das richtig wenn man keine ports offen hat und keine anwendung (telnet ssh )installiert hat ist es unmöglich in denn rechner reinzukommen ?

ja, solange der TCP/IP stack des OS keine schwächen aufweist. das ist aber recht unwahrscheinlich.

Oder gibt es da doch möglichkeiten zbs über port 80 der ist doch immer offen fürs net?
Weil wenn ich denn zumache dann kann ich doch gar nicht http benutzen oder?

du musst zwischen aus- und eingehendem traffic unterscheiden.
der TCP port 80 ist auf einem webserver offen.
dein browser verbindet sich mit einem hohen port dorthin.

herrchen

[Xfan]

ja, solange der TCP/IP stack des OS keine schwächen aufweist. das ist aber recht unwahrscheinlich.

was bitte ist genau ein tcp/ip stack?

du musst zwischen aus- und eingehendem traffic unterscheiden.
der TCP port 80 ist auf einem webserver offen.
dein browser verbindet sich mit einem hohen port dorthin.

Das verstehe ich nicht ganz ich dachte wenn man doch eine seite aufruft
dann macht man doch ne ausgehende verbindung und der server sendedt doch
die anfrage (seite) zurück dann ist es doch wieder ne eingehende verbindung.

So wie ich das verstehe ist es doch immer ne ein und ausgehende verbindung
bitte um genau erklärung.

[gms]

So wie ich das verstehe ist es doch immer ne ein und ausgehende verbindung
bitte um genau erklärung.

eine tcp verbindung ist in der Tat bidirektional.
Hier geht es aber darum, von wo die Verbindung aufgebaut wird:
eine eingehende Verbindung wird von außen initiiert
eine ausgehende Verbindung wird von innen aufgebaut.

Gruß
gms

[Xfan]

Um ein genaueres Beispiel damit ich das auch richtig verstehe wäre ich dankbar
weil das hört sich irgenwie gleich an.

[gms]

du öffnest einen Browser und gibst eine Adresse ein:
Dein Browser holt sich einen freien (lokalen, hohen) Port und sendet zum Webserver zum Port 80, daß er eine Verbindung aufbauen möchte (syn). Das ist eine ausgehende Verbindung. Der Webserver antwortet und sendet vom Port 80 zu deinem lokalen Port eine Bestätigung, daß er diesen Verbindungsaufbau erhalten hat (syn/ack). Dein Browser finalisiert den Verbindungsaufbau (established) indem er vom lokalen Port wieder eine Bestätigung an den Webserver auf Port 80 schickt (ack).

[Xfan]

du öffnest einen Browser und gibst eine Adresse ein:
Dein Browser holt sich einen freien (lokalen, hohen) Port und sendet zum Webserver zum Port 80, daß er eine Verbindung aufbauen möchte (syn). Der Webserver antwortet und sendet vom Port 80 zu deinem lokalen Port eine Bestätigung, daß er diesen Verbindungsaufbau erhalten hat (syn/ack). Dein Browser finalisert den Verbindungsaufbau (established) indem er vom lokalen Port wieder eine Bestätigung an den Webserver auf Port 80 schickt (ack).

ok das habe ich mal gelesen das war doch der tcp/ip stack oder nicht ,was ich aber nicht verstehe ist:

mein browser (anwendung) holt sich einen hohen lokalen port?????
ich dachte die ganze http komunnikation funzt nur über port 80

und was genau meint herchen mit

du musst zwischen aus- und eingehendem traffic unterscheiden.
der TCP port 80 ist auf einem webserver offen.
dein browser verbindet sich mit einem hohen port dorthin.

[gms]

mein browser (anwendung) holt sich einen hohen lokalen port?????
ich dachte die ganze http komunnikation funzt nur über port 80

da denkst du falsch, wenn es so funktionieren würde, könntest du auf einem PC nicht mehr surfen, sobald dort ein Webserver lauft

und was genau meint herchen mit

du musst zwischen aus- und eingehendem traffic unterscheiden.
der TCP port 80 ist auf einem webserver offen.
dein browser verbindet sich mit einem hohen port dorthin.

Das habe ich dir schon im obigen Post versucht zu erklären, im Prinzip meint er aber das Gegenteil von dem was du meinst:

ich dachte die ganze http komunnikation funzt nur über port 80

[gms]

du öffnest einen Browser und gibst eine Adresse ein:
Dein Browser holt sich einen freien (lokalen, hohen) Port und sendet zum Webserver zum Port 80, daß er eine Verbindung aufbauen möchte (syn). Der Webserver antwortet und sendet vom Port 80 zu deinem lokalen Port eine Bestätigung, daß er diesen Verbindungsaufbau erhalten hat (syn/ack). Dein Browser finalisert den Verbindungsaufbau (established) indem er vom lokalen Port wieder eine Bestätigung an den Webserver auf Port 80 schickt (ack).

ok das habe ich mal gelesen das war doch der tcp/ip stack oder nicht

Das ist ein TCP Verbindungsaufbau, auch Drei-Wege-Handshake genannt. Hat mit dem TCP/IP Stack nur insofern etwas zu tun, daß dieser Verbindungsaufbau in der TCP/UDP Schicht des TCP/IP Stacks stattfindet und daher logischerweise auch die Protokolle darunter verwendet werden.

[Xfan]

Xfan hat folgendes geschrieben:
mein browser (anwendung) holt sich einen hohen lokalen port?????
ich dachte die ganze http komunnikation funzt nur über port 80

da denkst du falsch, wenn es so funktionieren würde, könntest du auf einem PC nicht mehr surfen, sobald dort ein Webserver lauft Wink

ok wie soll ich dann richtig denken damit ich das verstehe ?

voralem das mit dem ein und aus verstehe ich nicht ganz,
habe mal gelesen das der router configuriert wird das alles raus darf aber nix rein
dann verstehe ich nicht wie dann die seite oder halt das protokoll kommt oder ist das dann gefilter und was filter der router eigentlich genau?

Sorry wenn ich dumme fragen stelle aber möchte halt gerne das blicken.
gruss Xfan
[/quote]

[iamnew]

Xfan hat folgendes geschrieben:
voralem das mit dem ein und aus verstehe ich nicht ganz,
habe mal gelesen das der router configuriert wird das alles raus darf aber nix rein
dann verstehe ich nicht wie dann die seite oder halt das protokoll kommt oder ist das dann gefilter und was filter der router eigentlich genau?

Sorry wenn ich dumme fragen stelle aber möchte halt gerne das blicken.
gruss Xfan

hallo Xfan,

zum ersten dumme fragen gibt es nicht.
punkt 1: der tcp/ip stack ist eine implementierung in einer software um überhaupt die kommunikation von daten und physik sicherzustellen.
dort gibt es je nach model bis zu sieben schichten (google doch mal nach dem IEEE 7 schichten modell bzw OSI-Modell unter wikipedia).
dieses modell beschribt die schichten und die kommunikation der schichten untereinander.
beginnen wir mal mit der Mitte des Modells, dort befindet sich der Transprot layer, hier gibt es verschiedene Protokolle unter anderem auch unser beliebtes TCP und UDP.
diese beiden portokolle setzen auf die nächste schicht unterhalb auf, dem sogenannten networklayer, der das portokoll IP behebergt. TCP/UDP setzt auf das IP Portokoll mittels einer definierten Schnittstelle auf, die sich Ports nennt. es gibt die sogenannten wellknown ports (0-1024) und die frei verfügbaren (1025- XXXXX).
hier sihst du auch schon, das der port 80 ein wellnown port ist, und die wellknown ports sprechen immer eine anwendung an (22=ssh, 23=telnet, 25=smtp=mail, 80=webserver usw.) Auch andere anwendungen benutzen diese Ports wie z.b. tauschbörsen.
deshalb ist es immer wichtig, und auch immer der erste punkt den man durchführt, alle ports die nicht hinter einem Router im lokalen netz benötigt werden, weil dort evtl. ein server beherbergt ist, zu sperren. (also auch den Port 80)
willst du auf einen webserver zugreifen, wählt dein pc einen freien port von seiner transportschicht aus dem pool der freiverfügbaren ports aus (wir nehmen an er nimmt port 65000) und sendet diese anfrage (192.168.0.2 port 65000) an den router, der eh ein NAT/PAT (network-/port address translation) macht, was bedeutet er ändert die IP adresse und den port für die Abfrage, das er ja mit einer öffentlichen adresse ins netz muss.
er benutzt dan also z.b. die adresse 80.123.123.45 port 8909 und sendet deine anfrage mit diesen daten an den webserver. dieser antwortet genau auf diesen socket (so nennt man das gebilde aus ip adresse und port) und somit funktioniert dann die kommunikation zwischen deinem pc und dem webserver. die daten werden vom server zurück an den router gesendet und der weis welchen port ausgehend er welchen port intern zugeordnet hatte und sendet somit die adten zurück an deinen socket (192.168.0.2:65000).
überings, die kommunikation zum webserver isat für normal nur udp und damit nicht verbindungsorientiert wie tcp, es findet also nicht diese prozedur mit dem 3way handshake statt.

Zitat:
bei den meisten routern kann man die anfrage des ping (wird über das protokoll icmp abgewickelt) einfach abblocken,

Xfan schrieb:
Weist du wie diese option zufällig heist die man da einstellt?

bei mir heis das: block annonymous internet request


iamnew hat folgendes geschrieben:
dhcp wird von jedem administrator den ich kenne nur wiederwillig und wenn dann nur begrenzt auf mobilgeräte eingesetzt. (bin selbst soeiner)

herrchen schrieb:
off-topic:
hast du dafür eine sinnvolle begründung?

ein netz welches so groß ist würde unter der verwendung von dhcp instabil, da es mit daurenden anfragen und leases die auslaufen beschäftigt wäre, verkehr im netz der nicht sein muß und falsche leases, die auslaufen blocken zuviel adressspace

bis dann

[gms]

überings, die kommunikation zum webserver isat für normal nur udp und damit nicht verbindungsorientiert wie tcp, es findet also nicht diese prozedur mit dem 3way handshake statt.

http lauft üblicherweise über den TCP Port 80 (und nicht UDP).,

HTTP communication usually takes place over TCP/IP connections. The
default port is TCP 80 [19], but other ports can be used.

Gruß
gms

[iamnew]

gms schrieb:
http lauft üblicherweise über den TCP Port 80 (und nicht UDP).,

HTTP communication usually takes place over TCP/IP connections. The
default port is TCP 80 [19], but other ports can be used.

hallo gms,
da hast du recht, sorry habe mcih vertan, die ersten packete des verbindungsaufbaus sind dns queries, die laufen über udp. steht die namensauflösung, wird die verbindung auf tcp aufgesetzt.
Sorry für dieses schluderige verhalten , obwohl auch udp port 80 den www dienst beherbergt und zum beispiel für secure shell benutzt wird
http://www.iana.org/assignments/port-numbers
also nix für ungut und weitermachen

[Xfan]

punkt 1: der tcp/ip stack ist eine implementierung in einer software um überhaupt die kommunikation von daten und physik sicherzustellen.

Also verstehe ich das richtig jede software die zbs mit internet zu tun hat
ist der tcp/ip stack vorhasnden.

dort gibt es je nach model bis zu sieben schichten (google doch mal nach dem IEEE 7 schichten modell bzw OSI-Modell unter wikipedia).
dieses modell beschribt die schichten und die kommunikation der schichten untereinander.
beginnen wir mal mit der Mitte des Modells, dort befindet sich der Transprot layer, hier gibt es verschiedene Protokolle unter anderem auch unser beliebtes TCP und UDP.

Also ich habe mal das mit dem Osi modell vor langer zeit mal durchgenommen
habe aber mehr die theorie als die praxis verstanden.
Ich weiss das die oberste schicht die anwendungsschiht ist also die software zbs
die unterste physikalische also die hardware und die 2 die sicherungschicht
da wird der aufbau gewährleistet die anderen schichten kenne ich zwar auch
aber ganz verstehe ich das nicht zbs.

der port 80 ein wellnown port ist, und die wellknown ports sprechen immer eine anwendung an (22=ssh, 23=telnet, 25=smtp=mail, 80=webserver usw.) Auch andere anwendungen benutzen diese Ports wie z.b. tauschbörsen.
deshalb ist es immer wichtig, und auch immer der erste punkt den man durchführt, alle ports die nicht hinter einem Router im lokalen netz benötigt werden, weil dort evtl. ein server beherbergt ist, zu sperren. (also auch den Port 80)

Was ich nicht ganz verstehe wenn ich doch denn port 80 sperre dann kann ich doch
gar nicht mit dem webserver kommunizieren,oder was meinst du mit:

alle ports die nicht hinter einem Router im lokalen netz benötigt werden, weil dort evtl. ein server beherbergt ist, zu sperren. (also auch den Port 80)

Oder meinst du mann kann das 2 seitig konfigurieren intern (Lan) kein port 80
und (extern)Wan ja port 80.

willst du auf einen webserver zugreifen, wählt dein pc einen freien port von seiner transportschicht aus dem pool der freiverfügbaren ports aus (wir nehmen an er nimmt port 65000) und sendet diese anfrage (192.168.0.2 port 65000) an den router, der eh ein NAT/PAT (network-/port address translation) macht, was bedeutet er ändert die IP adresse und den port für die Abfrage, das er ja mit einer öffentlichen adresse ins netz muss.

Wie soll das gehen wenn ich die doch gesperrt habe ich dachte alle ports die ich nicht brauche sperre ich also ich hätte zbs nur denn port 80 offen gelassen damit ich im
Internet zbs surfe oder macht der router nen virtuellen port?

er benutzt dan also z.b. die adresse 80.123.123.45 port 8909 und sendet deine anfrage mit diesen daten an den webserver. dieser antwortet genau auf diesen socket (so nennt man das gebilde aus ip adresse und port) und somit funktioniert dann die kommunikation zwischen deinem pc und dem webserver. die daten werden vom server zurück an den router gesendet und der weis welchen port ausgehend er welchen port intern zugeordnet hatte und sendet somit die adten zurück an deinen socket (192.168.0.2:65000).

Ich glaube ich verstehe nicht ganz den router wenn ich doch intern zbs
4 pcs habe :

192.168.3.5
192.168.3.6
192.168.3.7
192.168.3.8

und der router gateway ist doch 192.168.3.1

ok alle pcs gehen über denn gateway wie macht der router das,
mittels nat oder pat
aber wie genau meine internet ip ist ja eine andere er hat dann so ein pool
so wie ich das verstehe und vermischte er die inet ip mit seiner und sendet das an die anderen pcs?
Was ich auch net verstehe ist mit denn ports warum er dann nen anderen port nimmt
ich dachte jede anwendung hat seinen festgelegten (festen)port?
Meine hausnummer ändert sich doch auch nicht ständig:)
gruss Xfan

[iamnew]

Xfan schrieb:
Also verstehe ich das richtig jede software die zbs mit internet zu tun hat
ist der tcp/ip stack vorhasnden.


NEE: der Stack ist mehr im betriebssystem verankert, da werden ja die physik und die anwendung verknüpft.


Xfan schrieb:
Was ich nicht ganz verstehe wenn ich doch denn port 80 sperre dann kann ich doch
gar nicht mit dem webserver kommunizieren,oder was meinst du mit:

du must die kommunikationsrichtung im auge behalten.
Kommunikation aus deinen internen LAN in Richtung Internet speert defaultmäßig keine Port, wenn nicht mit einer firewall eingerichtet, also kannst du nach aussen die wellknown ports ansprechen, aber jemand von aussen kann keine wellknown ports bei dir intern ansprechen.




Xfan schrieb:
ok alle pcs gehen über denn gateway wie macht der router das,
mittels nat oder pat
aber wie genau meine internet ip ist ja eine andere er hat dann so ein pool
so wie ich das verstehe und vermischte er die inet ip mit seiner und sendet das an die anderen pcs?

genau, er hat auf der wan seite eine ip vom provider die er benutzt um mit dem inet zu kommunizieren und eine gateway adress aus denem lan (192.168.3.1) mit der kommuniziert er mit deinen pc. zwischen den adressen macht er nat pat.


Xfan schrieb:
Was ich auch net verstehe ist mit denn ports warum er dann nen anderen port nimmt
ich dachte jede anwendung hat seinen festgelegten (festen)port?
Meine hausnummer ändert sich doch auch nicht ständig:)


stimmt, aber du kommunizierst mit deinen bekannten und soweiter auch mal über pc und telefon schreibst mal einen brief usw.
das sendest du an die entsprechenden empfänger und dessen festgelgte kommunikationspunkte (telnr. post adr usw. = wellknown port)
aber von wo du anrufst oder wie der absender auf dem briefumschlag ist, das ist egal (frei verfügbarer port).

Gruß

[Xfan]

du must die kommunikationsrichtung im auge behalten.
Kommunikation aus deinen internen LAN in Richtung Internet speert defaultmäßig keine Port, wenn nicht mit einer firewall eingerichtet, also kannst du nach aussen die wellknown ports ansprechen, aber jemand von aussen kann keine wellknown ports bei dir intern ansprechen.

ok intern ports offen extern zu und dennoch kommuniziert die anwendung
aber wie geht das wenn aussen zu wie kann der dann kommunizieren nach innen
wenn ich doch zbs ssh benutze port 22 von innen nach aussen ich dachte dann
kommt die rückmeldung genauso also von aussen auf den port 22 rein???

Bitte erklär mir auch nochmal bitte warum der die anderen ports nimmt:

(wir nehmen an er nimmt port 65000) und sendet diese anfrage (192.168.0.2 port 65000) an den router, der eh ein NAT/PAT (network-/port address translation) macht, was bedeutet er ändert die IP adresse und den port für die Abfrage, das er ja mit einer öffentlichen adresse ins netz muss.

Vielen Dank für die erklärungen
[/quote]

[iamnew]

Bitte erklär mir auch nochmal bitte warum der die anderen ports nimmt:
(wir nehmen an er nimmt port 65000) und sendet diese anfrage (192.168.0.2 port 65000) an den router, der eh ein NAT/PAT (network-/port address translation) macht, was bedeutet er ändert die IP adresse und den port für die Abfrage, das er ja mit einer öffentlichen adresse ins netz muss.

hi Xfan,

ganz einfach. nehmen wir mal an du befindest dich in einem netz mit zwei pc die über einen router ins internet gehen.
der eine hat pc hat die ip 10.1.1.1 und der andere die 10.1.1.2. jetzt sprechen beide über den router eine www seite im internet an (also port 80 auf dem Server im Internet).
der router hat ja im internet nur eine adresse z.b. 80.1.1.1 und eine adresse im internen lan z.b. 10.1.1.254 mit der er aber nicht im internet kommunizieren kann.(du erinnerst dich an NAT/PAT)
Wenn der router jetzt mit seiner öffentlichen adresse an den server herantritt z.b. die adresse 80.1.1.1 und dort den port 80 anspricht, verbergen sich zwar beide anfragen von den beiden pc's hinter diesem socket (ip adr und port nennen sich so) aber der absende port ist jeweils ein anderer. Also die anfrage des pc1 kommt mit der 80.1.1.1:65000 und die anfrage von pc2 kommt mit dem socket 80.1.1.1:50000. beide anfragen gehen an den www-server:80 aber der kann nun anhand des absender sockets genau die sachen zurücksenden die gefordert wurden und der router kann dies ins interne lan umsetzen.

bei deiner lösung würde der www-server alle anfragen auf den port 80 bzw. auf den socket 80.1.1.1:80 deines routers zurück senden; Frage: Wie soll dein router nun unterscheiden, welches paket für welchen router in seinem internen lan ist, da ja alles auf einem socket ankommt und alles auch von einem bestimmten socket kommt?

richtig:
www-server:80 <---------------------> 80.1.1.1:65000 <---------------------> 10.1.1.1
www-server:80 <---------------------> 80.1.1.1:50000 <---------------------> 10.1.1.2

falsch:
www-server:80 <---------------------> 80.1.1.1:80 <------------//---------> 10.1.1.1
...............................................................................<--------------//------- >10.1.1.2

wie du siehst, mit nur einem socket ( port 80) könnte der router nur eine Verkehrsbeziehung zustande bringen, da sich sonst die daten der beiden pc vermischen würden, und das sollte wohl vermieden werden, oder ?
wenn du noch fragen hast, immer drauf los, dafür sind wir da.
gruß

[Xfan]

Wenn der router jetzt mit seiner öffentlichen adresse an den server herantritt z.b. die adresse 80.1.1.1 und dort den port 80 anspricht, verbergen sich zwar beide anfragen von den beiden pc's hinter diesem socket (ip adr und port nennen sich so) aber der absende port ist jeweils ein anderer. Also die anfrage des pc1 kommt mit der 80.1.1.1:65000 und die anfrage von pc2 kommt mit dem socket 80.1.1.1:50000. beide anfragen gehen an den www-server:80 aber der kann nun anhand des absender sockets genau die sachen zurücksenden die gefordert wurden und der router kann dies ins interne lan umsetzen.

Sehr gut erklärt kennst dich aber gut aus ,ich gehe davon aus das du mit netzwerken täglich zu tun hast habe noch paar fragen.Danke

Ok du hast das sehr gut erklärt aber verstehe ich das richtig der router selber regelt das mit denn ports separat abgesehen von dennen die ich offen gelassen habe.
Was ich damit meine ist : gehen wir davon aus ich habe nur port 80 offen gelassen sonst kann ich gar nicht denn www server ansprechen , alle anderen ports sind zu.
Aber dann verstehe ich auch nicht ganz deine zeichnung:

richtig:
www-server:80 <---------------------> 80.1.1.1:65000 <---------------------> 10.1.1.1
www-server:80 <---------------------> 80.1.1.1:50000 <---------------------> 10.1.1.2

Ich dachte das muss so sein:
www-server:80<---------------------->80.1.1.1:65000 <---------------------><80>10.1.1.1
www-server:80<---------------------->80.1.1.1:50000 <---------------------><80>10.1.1.2

Auf dein Beispiel zurückzukommen so wie ich das verstehe der router steuert oder regelt intern in seiner config die anderen ports wie jetzt auf dein beispiel 50000 65000 damit er weiss wohin die packete hin müssen pc1 pc 2 .......
Das hat mit NaT /pat zu tun oder?
Somit kann zbs auf mein internes lan kein anderes packet kommen ausser über port 80
Verstehe ich das richtig.
Du hast vorher geschrieben:

Kommunikation aus deinen internen LAN in Richtung Internet speert defaultmäßig keine Port, wenn nicht mit einer firewall eingerichtet, also kannst du nach aussen die wellknown ports ansprechen, aber jemand von aussen kann keine wellknown ports bei dir intern ansprechen.

Auch nicht denn port 80 obwohl ich denn offen gelassen habe ?
Wenn keiner von aussen die ports ansprechen kann dann verstehe ich nicht
wie ich die ports mit ssh oder telnet ansprechen soll !
odernur wenn ich sie offen lasse?
gruß

[iamnew]

Was ich damit meine ist : gehen wir davon aus ich habe nur port 80 offen gelassen sonst kann ich gar nicht denn www server ansprechen , alle anderen ports sind zu.
Aber dann verstehe ich auch nicht ganz deine zeichnung:

Falsch: du kannst auch mit dem Server reden mit gesperrtem port 80, da die ports die du sperrst die port sind, die vmo internet aus auf deinem router angesprochen werden können, also du sperrst den port 80, dann kannst du keinen webserver in deinem lan betreiben, aber trotzdem alle webserver erriechen, da die ja nicht den port 80 ansprechen, sondern den port der mit der anfrage mitgeliefert wurde.
Ports die du von innen nach aussen sperrst begrenzen dann deine pcs in ihren anfragen; sperrst du z.b. den port 21 ausgehend, könnten deine pc's keinen ftp mehr machen.

Ich dachte das muss so sein:
www-server:80<---------------------->80.1.1.1:65000 <---------------------><80>10.1.1.1
www-server:80<---------------------->80.1.1.1:50000 <---------------------><80>10.1.1.2

nein so:
richtig:
www-server:80 <---------------------> 80.1.1.1:65000 <---------------------> anfrage an www-server:80 mit dem socket 10.1.1.1:44444
www-server:80 <---------------------> 80.1.1.1:50000 <---------------------> anfrage an www-server:80 mit dem socket 10.1.1.2:33333

Auf dein Beispiel zurückzukommen so wie ich das verstehe der router steuert oder regelt intern in seiner config die anderen ports wie jetzt auf dein beispiel 50000 65000 damit er weiss wohin die packete hin müssen pc1 pc 2 .......
Das hat mit NaT /pat zu tun oder?

soweit richitg:

Somit kann zbs auf mein internes lan kein anderes packet kommen ausser über port 80
Verstehe ich das richtig.

das kann man nicht so stehen lassen, da die pakete eben nicht über den port 80 kommen, sondern über den vom router gewählten. (65000 o. 50000 in unserem beispiel)

Du hast vorher geschrieben:

Kommunikation aus deinen internen LAN in Richtung Internet speert defaultmäßig keine Port, wenn nicht mit einer firewall eingerichtet, also kannst du nach aussen die wellknown ports ansprechen, aber jemand von aussen kann keine wellknown ports bei dir intern ansprechen.

Auch nicht denn port 80 obwohl ich denn offen gelassen habe ?
Wenn keiner von aussen die ports ansprechen kann dann verstehe ich nicht
wie ich die ports mit ssh oder telnet ansprechen soll !
odernur wenn ich sie offen lasse?
gruß

so nicht, wie schon oben erwähnt: die ports die du sperrst sind die ports die du für den verkehr vom Internet in dein internes lan sperrst. damit verhinderst du z.b. das einer aus dem internet eine telnet verbindung zu einem deiner pc oder deinem router aufbaut.
also so:

internet pc:55555 ------------------> deinrouter:23(telnet) geht nicht
internet pc:23 <----------------------- deinrouter:35678 (telnet) geht

wird hier abgeblockt, da du den port 23 gesperrt hast, wäre er offen, würde der router den telnet zulassen und wäre dann auf diesem port angreifbar.
Wenn du ports offen läst, dann nur wenn du wirklich dahinter anwendungen wie z.b. webserver (80), ssh zugriff auf einen deiner pc's (22) oder ftp server (21) betreiben willst.
sonst ist das öffnen der ports völlig unnötig
Gruß