Peter Gyger online

"Gring ache u seckle" (Quelle: A. Weyermann)

NAVIGATION - SEARCH

Portforwarding mit einem Zyxel Gerät

Portforwarding - Portweiterleitung - ist ein Thema, dass viele Internetnutzer betrifft. Zumindest solange es IP V4 und die NAT gibt. Der Datenverkehr von eigenen Netzwerk zum Internet wird über Protokolle abgewickelt. Jedes Protokoll benötigt für den Datenaustausch die Information über welchen der 65635 Ports  kommuniziert wird.

 

Nachfolgend ein kleines Beispiel aus der Praxis. Auf einem Windows PC ist das Programm Calibre  installiert. Damit können elektronische Dokumente wie E-Books verwaltet werden. Calibre hat einen "Nachrichtenserver" integriert. Dieser Nachrichtenserver ermöglicht den Zugriff auf die E-Books über das Internet. U.a. bestimmt man mit dem aktivieren des Nachrichtenservers auf welchem Port er "hören" soll. D.h. der Nachrichtenserver reagiert nur auf Anfragen, die über diesen Port kommen. Nach dem starten des Nachrichtenservers kann man klassisch über "netstart /a" überprüfen, ob der Port abgehört wird

Interessante Frage, welche einem zeigt wie weit man das Konzept von NAT und Port verstanden hat: Warum sieht man den offen Port nur auf diesem Computer? Auf einem anderen Computer im Netzwerk sieht das Resultat der Abfrage so aus

Jetzt ist der abschliessende Schritt, die Verbindung von NAT zum Computer auf der der Service läuft. Der Router den man vom ISP erhält hat weniger Optionen als der Durchschnitt der Geräte. Das hat den Vorzug, dass er einfach einzurichten ist. Hier die Einstellung im aktuellen Router der Swisscom: "Internet-Box 2". In diesem Beispiel werden die eingehenden IP Pakete am TCP Port 9000 an den Computer mit dem Namen "raspberrypi" weitergeleitet.

 

 Nachfolgend das Beispiel mit einem Zyxel Gerät. Das Betriebssystem dieses Gerätes entspricht in seiner Komplexität den typischen Modellen am Markt. In der Regel findet man die Einstellung unter NAT.

Dort fügt man eine neue Regel hinzu. Die Einstellungen sind selbsterklärend. Auch die WAN IP ist nicht erforderlich, da man i.d.R. nicht über mehr als eine Verbindung zum Internet hat.

Der Test mit dem Zugriff auf diese WAN IP gelangt nicht mit einem Gerät aus dem LAN. Selbst die deaktivierte (SPI-) Firewall und das neustarten des Routers änderte nichts daran. D.h. man sollte den Zugriff extern (Remote) prüfen.

 

Im nächsten Versuch verwende ich anstatt des Routers eine reine Firewall von Zyxel. In diesem Beispiel eine USG 100. Im Vergleich mit anderen Produkten am Markt hat sie geringere Einstiegshürden. Ideal für zu Hause oder einen kleinen Betrieb. Nach Installation der Firewall ist sie betriebsbereit. Die Prüfung über den Heise Netzwerk Check zeigt, dass nur Port 443 (TLS) offen ist. Die Menustruktur ist vergleichbar mit dem Router des letzten Beispieles. Daher die ähnliche Menustruktur. Hier ist eine Anleitung wie man es einrichtet.

 

 In der verlinkten Anleitung ist die Logfunktion nicht aktiviert. Für ein späteres Troubleshooting sollte man das besser aktivieren. Die Anleitung ist so aufgebaut das zuerst drei Objekte erstellt werden:

  1. WAN IP-Adresse ("WAN1_IP")
  2. RDP Server        ("RDP_Server")
  3. RDP Dienst        ("RDP_Service")

Diese findet man anschliessend auch im Menupunkt "Objekte", wenn eine Änderung gemacht werden muss. Natürlich kann man eigene Werte für das Feld "Namen" verwenden. Einfach in der Anleitung ab Punkt 6 auf diese 3 Namen referenzieren, wenn man eigene Bezeichnungen verwendet.

Der Punkt 8 der Anleitung - die Erstellung der Firewall Regel - aktiviere ich zumindest am Anfang das loggen. Damit wird eine Fehlersuche überhaupt erst möglich. Die neue Regel müsste im "IPv4 Rule Summary" zuoberst (FIFO) eingefügt sein. Andernfalls kann die Berüchsichtigung nicht mit Sicherheit erwartet werden.

 

 

"Netstat /a" ist nicht das effizienteste Windows Kommando. "netsh int ipv4 show" liefert deutlich mehr Informationen. Einfach in der CLI das Kommando abschicken, dann sieht man welche Zusätze zu diesem Befehl welche Resultate liefern. 

Die anfangs gestellte Frage, warum "netstat /a" nur auf dem einen Gerät den Port 9000 als offen zeigt hat folgende Antwort. Ein Port ist offen, wenn ein Programm den Port öffnet. Das Programm in diesem Beispiel ist "Calibre". Da Calibre in diesem Beispiel nur auf dem Computer Minix läuft, ist auch nur dort der Port offen. Und daher müssen Anfragen die über diesen Port erfolgen, an diesen Computer weitergeleitet ("Portforwarding") werden. Nur hier ist das Programm installiert, dass diese Anfrage verarbeiten kann. 

Quellen:

Superuser.com

 

 

Add comment

  Country flag

biuquote
  • Comment
  • Preview
Loading