Ports freigeben

Hinweis: In dem Thema Ports freigeben gibt es 4 Antworten. Der letzte Beitrag () befindet sich ganz unten auf dieser Seite.

    Hallo ich habe ein kleines Problem


    Meine Aufgabe ist es ein fremdes Programm welches aus Client und Server besteht zum laufen zu bringen in der Anleitung steht dass die ein/ausgehenden Pakete mit dem Source/Destinationport 8888 zugelassen sein müssen.


    Ich habe also unter YaST -> Security and Users -> Firewall -> Allowed Services -> Advanced aufgerufen


    Da ich mir nicht sicher war in welches Feld diese Zahl nun muss habe ich sie einfach mal in alle geschrieben


    anschließend ok -> next -> finish


    Es funktioniert jedoch nicht


    War das soweit richtig bzw welches der 4 Felder wäre ausreichend gewesen und was könnte ich sonst noch probieren?

    Für den Inhalt des Beitrages 97837 haftet ausdrücklich der jeweilige Autor: Shadoo

    Probieren ist nicht die beste Möglichkeit.
    Wissen hilft.


    Es gibt drei Zonen, die eine Firewall unterscheidet:
    externe, demilitarisierte und interne Zone.
    Die kann man einzelnen Netzwerkkarten nach Wunsch zuordnen.
    (und damit dann ein fein granuliertes Netz zu basteln).
    In YaST/Firewall gibt es dafür oben ein Listfeld.


    Für deine Zwecke ist es das einfachste, deinen Eintrag in allen Zonen vorzunehmen.
    (wenn auch sicherlich nicht Sinn&Zweck)


    Damit ist der Port erreichbar.
    Eine andere Frage mag sein, ob der Dienst nur via IP- Adressen erreichbar sein soll,
    oder auch mit Domainnamen.


    Und ob der Dienst von überall aus erreichbar sein soll.
    Da ist nämlich i.d.R. irgendwo irgendein Router dazwischen.
    Dort müssen dann natürlich -wieder nur in der einfachsten Form- diese Ports auch zu dem entsprechenden Rechner weitergeleitet werden.

    Zitat von Berichtigung

    Es gibt drei Zonen, die eine Firewall unterscheidet:
    externe, demilitarisierte und interne Zone.
    Die kann man einzelnen Netzwerkkarten nach Wunsch zuordnen

    Das würde mich auch sehr interessieren. Berechtigung magst du das vielleicht etwas näher erläutern bzw. erklären?

    Für den Inhalt des Beitrages 97843 haftet ausdrücklich der jeweilige Autor: T0lpan

    Die externe Zone ist das böse Internet ganz weit draußen.
    Ein Rechner, der sich in dieser Zone befindet, ist von jedem Rechner aus dem Internet aus erreichbar.
    Entsprechend sachkundig sollte root dann sein.
    Jeder Port ist ohne Rücksicht einfach von außen erreichbar.


    Die demilitarisierte Zone ist ein Zwischen- Bereich.
    Quasi ein Todesstreifen zwischen dem braven Heimnetz und dem bösen Internetz.
    Dort stehen i.d.R. Server, die ihre Dienste anbieten.
    Die für diese Dienste nötigen Ports werden dann vom Router, der die eingehenden Netzwerkpakete aus dem bösen Internetz empfängt, an die jeweiligen Ports der Zielserver weitergeleitet. Untereinander können die Server in dieser Zone natürlich auch kommunizieren.


    Die interne Zone ist dann das "pirvate Netzwerk".
    Also das Heimnetzwerk in dem Mutti, Opa und Kinder ihre Geräte haben,
    oder eine Firma ihr firmeninternes Netzwerk.


    Eine Linuxfirewall kann man natürlich für alle möglichen Szenarien einsetzen,
    und deshalb kennt die openSUSE Firewall natürlich auch alle.


    Bei dem normalen DSL Privatanschluß hat man heute einfach einen WLAN Router der via DSL zum Internet offen ist.
    Und intern hat man einfach ein normales ( (Wireless) LAN (LocalAreaNetwork).
    Und dann war es das.


    Es geht aber auch komplizierter.
    Man verbindet sich mit DSL nur mit einem DSL-Modem.
    Das hat keinerlei Routingfähigkeit.
    Es gibt nur zwei Anschlüsse: Einmal LAN und einmal WAN (WideAreaNetwork)
    (Der Anschluß eines WLAN Routers, den man an die DSL Dose stöpselt wird oft WAN-Port genannt)


    In diesem Fall schliessen wir einen Linuxrechner mit dem LAN Kabel an unser DSL-Modem an.
    Dieser Rechner baut nun in Deutschland meist mit pppoE (Point-to-Point-ProtocolOverEthernet ) die Verbindung auf.
    Das pppoE ist verwendet man, weil das ppp zwischen DSL-Modem und Provider einfacher zu bedienen ist.
    Hautsächlich um die Zugangsdaten beim Verbindungsaufbau leicht mitsenden zu können, damit das DSL-Modem die auch verwenden kann.
    (Es gibt andere Varianten, die aber für private Haushalte keinerlei Rolle spielen)


    Dieser Rechner kann nun in das Internet.
    Er hat aber noch eine zweite Netzwerkkarte.
    Und die ist wieder mit LAN Kabel mit einem Hub/Swich verbunden (ein kleines Kästchen mit ein paar Netzwerkbuchsen)
    (Heute gibt es im SoHo (SmallHomeSmallOffice) Feld keine Hubs mehr. Das sind jetzt schon alles Switche.)


    An diesem Switch hängen nun drei weitere Linuxrechner.
    Einer ist ein Mailserver und einer ein Webserver.
    Der Rechner mit dem DSL-Modem ist nun der Router.


    Er bedient die externe Zone, also das DSL-Modem und das dahinter liegende Internet.
    Pakete für die anderen schaufelt er also vom DSL-Modem Strang der externen Zone
    in die demilitarisierte Zone zu dem Mail- und Webservern.


    Ein dritter Linuxrechner, der ebenfalls zwei Netzwerkkarten hat, hängt auch noch an diesem Switch in der demilitarisierte Zone.
    Und der ist jetzt der Router von der demilitarisierte Zone. in die interne Zone.
    Und dort sind nun an einem weiteren Swich Oma, Mamma, Sohnemann und der Router dran.


    Damit erreicht man eine sauber Trennung der Zonen und somit eine saubere Trennung der internen Rechner von den Servern und dem Internet.


    Linux kann von Haus aus mehrere Netzwerkkarten verwalten.
    Und es kann von Haus aus jeder Netzwerkkarte mehrere IP-Adressen zuteilen samt der Networkmask.
    Es sind alle Variationen denkbar.


    Man kann also auch mit nur einem Linuxrouter dieses Szenario nachbilden.
    Dazu braucht man dann nur einen Switch an dem alle privaten Rechner und die Server hängen.
    Aber privates Netz und Server unterscheiden sich in der IP-Adresse/Netwerkmaske.
    Die privaten kann man unter
    192.168,0.x betreiben,
    die Server dann unter
    192.168,1,x


    Damit hat man zwei Netzsegmente, wie das im Jargon so heißt.
    Der Linuxrouter bindet dann z.B,. die 192.168.0.1 und die 192.168.1.1 auf die EINE Netzwerkkarte, die am Switch hängt.
    Der Rest bleibt unverändert.
    Damit sind wieder die drei Zonen voneinander getrennt.
    Auf der DSL Seite physikalisch (und somit implizit logisch)
    Die interne Zone ist von der demilitarisierten Zone aber nur logisch getrennt. (Sie werden ja von derselben pysikalischen Netzwerkkarte aus bedient)


    Das waren nur zwei Varianten, um einfach diese Begriffe anschaulich zu schildern.
    Man kann noch viel mehr schräges Zeuchs damit basteln.
    Da das meist eh nicht funktioniert, besteht auch keine Gefahr. Also immer feste druff.


    Da man als Endanwender sowas eigentlich gar nicht braucht, ist da das Wissen oft ein wenig mau.
    In Firmen hat man meist eh komplexere Netztopologien, die dann auch von hoffentlich Sachkundigen betrieben werden.
    Wenn man aber mit eingehende Verbindungen spielt, reicht es, das Konzept soweit verstanden zu haben.
    Dort ist ja normalerweise das Netzwerk durch die Firewall auf dem WLAN router gesichert.
    (Und somit eine Firewall auf einem privaten Rechner eigentlich überflüssig, falls man dem Routerhersteller trauen kann/traut)